Mi a kattintás és hogyan lehet megvédeni magát tőle

[ware_item id=33][/ware_item]

A hackelést és az adattámadásokat sokféle módon hajtják végre, amelyek segítenek a támadónak az információk elérésében. De valószínűleg nem ismeri a hackerek által használt Clickjacking technikát. A szociális mérnököktől, az SQL injekciótól, a DDoS támadásoktól és másoktól eltérően a Clickjacking az, amelyről sokat nem beszélnek. Ugyanakkor ugyanolyan káros és sebezhető, mint mások.


Mi a clickjacking, hogyan lehet megakadályozni, és hol található? Mindezen kérdésekre ez a cikk segít választ adni. Ugyanakkor nehézséget okoz a hackelés ezen módszerének azonosítása.

Mi a Clickjacking??

A név szerinti kattintás olyan technika, amellyel a felhasználó csapdába eshet bármire kattintva. Ez többféle módon történik, ha megtéveszti a felhasználót, mivel az általuk kattintott tárgy különbözik attól, amelyiknek látszik.

Az UI-címzés egy másik kifejezés, amelyet a clickjacking-re használnak. Ennek oka az, hogy a folyamat magában foglal egy technikát, amellyel a felhasználói várható felület egy másik átlátszó felhasználói felület alá kerül. Ez az oka annak, hogy a felhasználó valami érdekesre kattintva rosszindulatúvá válik eszközére és adataira.

Az ebben a módszerben alkalmazott másik taktika az, hogy a felhasználó figyelmét elvonja a kurzorpozíció megváltoztatásával. Az egyik pozícióban megjelenített kurzor valójában egy másikban található. Ezen támadó révén az emberek rákattinthatnak olyan dolgokra, amelyek megadhatják személyes adataikat.

A clickjacking számos ilyen szokatlan és ötletes támadást tartalmaz. Hasonló volt a közelmúltban bejelentett jelentés, amelyben egy ártatlan megjelenésű kép a WhatsApp-on átadhatja fiókja irányítását a képküldőnek, mihelyt a képre kattint a vevő.

Mi a kattintás és hogyan lehet megvédeni magát tőle

Néhány ember a társadalmi-mérnöki támadásokat a clickjacking kategóriába is beilleszti. Például a twitter-ben egy 2009-ben körözött egy tweetet, amely tartalmaz egy linket és a „ne kattintson” kifejezést, és amikor bárki rákattint, akkor a saját fiókjáról is tweetelt. Ezt a módszert arra is használják, hogy pénzt keressen a facebook linkjein keresztül.

Ha azt feltételezi, hogy a kattintás csak a kattintással történik, akkor téved. Azt is jelentették az Android készülék. Az Android.Lockdroid.E, egy android ransomware a clickjacking révén ellenőrzést szerez a megcélzott eszközön.

Hogyan lehet megakadályozni a kattintást?

Ha Ön egy webhely rendszergazda, akkor megakadályozhatja a kattintást. De ha nem, akkor nincs sok hatékony és hasznos módszer a kattintások elkerülésére.

A kattintás elleni védelem egyik leginkább javasolt módja azonban a szkript nélküli Firefox kiterjesztés használata böngészés közben. Ugyanúgy, mint a kiterjesztések elkerülése érdekében, a nem-szkript megakadályozza a szkriptek betöltését, amíg bizonyos hitelesítés meg nem történik tőle.

A kattintás elleni funkciókkal nem rendelkező szkript azonosítja azt a szkriptet, amely átlátható átfedéseket generál a webhelyeken. Bizonyos kiterjesztések, amelyek megakadályozzák a szkript-funkciókat és az alkalmazások letöltését, szintén megmenthetik Önt a kattintásos böngészésből.

Mi a kattintás és hogyan lehet megvédeni magát tőle

Ugyanakkor a webhely adminisztrátorai képesek a legjobb kattintás elleni védekezésre. Ugyanakkor a legtöbbjük abszurd és technikai jellegű. De ha szeretné, hogy megvalósítsák őket, akkor megnézheted az OWASP Clickjacking Defense Cheat Sheet oldalán..

A kattintásszakadás megakadályozása érdekében beilleszthet egy x-frame-options HTTP fejlécet is, amely a webhely egyik leghatékonyabb módja. Megakadályozza, hogy webhelye tartalma keretbe (címkébe) vagy iframebe (címkébe) kerüljön..

A fenyegetés enyhítése hatékony módja a kattintás elkerülésének, mivel ezt a taktikát a kattintás és más rosszindulatú támadások támadásainak elősegítésére használják..

X-Frame opciókat használhat

Három lehetséges érték van az X-frame-options fejléchez;

TAGADNI:  az oldal nem jeleníthető meg a keretben, még akkor sem, ha a webhely megkísérli

SAMEORIGIN: amely csak az aktuális webhelyen teszi lehetővé a tartalom keretét.

MINDEN uri:  Az oldal csak a megadott származású keretben jeleníthető meg.

Manapság mindenki számára komoly aggodalomra ad okot az Android-készülékeikkel szembeni sebezhetőség. A telefonon történő kattintások valószínűségének csökkentése érdekében hiteles és megbízható alkalmazásokat kell használnia a letöltéshez. Az olyan alkalmazások letöltése, mint például az Apple App Store vagy a Google Play Store, valószínűleg nem tartalmaz semmiféle rosszindulatú tartalmat, összehasonlítva a harmadik féltől származó forrásokkal, ám ezek szintén nem teljesen mentesek az ilyen sebezhetőségektől..

Az alkalmazáson belüli böngészők a legvalószínűbb hely, ahol a kattintásszakadás támadással szembesülhetnek. Tehát az alkalmazáson belüli böngésző használata helyett beállíthatja az alapértelmezett viselkedést a linkek megnyitásához az alkalmazásokban a rendszer böngészőben történő megnyitáshoz. Ez még egy esélyt rejt magában, hogy csapdába essen.

Következtetés

A kattintás több kellemetlennek tűnik, mint valójában. Ha azonban a támadó hatékonyan és okosan használja, akkor hozzáférést biztosít számukra az érzékeny információkhoz és a személyes fiókokhoz..

A kattintással való komoly károkat okozhat, mivel általában válogatás nélküli forrásból származik. A Clickjacking elkerülése érdekében használhatott szkript-blokkoló kiterjesztéseket, de szem előtt tartva azt a tényt, hogy az ilyen kiegészítők szintén kissé ellentmondásosak.

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me