Klõpsamine: mis see on ja kuidas saate seda vältida?

Reklaam

Kui rääkida häkkerite ja pahavara levitajate juurdepääsu teie arvutile, siis on mõned asjad, millest räägitakse palju: sotsiaalne insener Mis on sotsiaalne insener? [MakeUseOf selgitab]Saate installida valdkonna tugevaima ja kalleima tulemüüri. Saate töötajaid koolitada põhiliste turvaprotseduuride ja tugevate paroolide valimise olulisuse kohta. Võite isegi serveriruumi lukustada - aga kuidas ... Loe rohkem , SQL-i süstimine Mis on SQL-i süstimine? [MakeUseOf selgitab]Interneti-turbe maailm vaevab avatud pordide, tagauste, turvaaukude, troojalaste, usside, tulemüüri haavatavuste ja paljude muude probleemidega, mis hoiavad meid kõiki iga päev varvastel. Erakasutajate jaoks ... Loe rohkem , DDoS rünnakud Mis on DDoS-rünnak? [MakeUseOf selgitab]Mõiste DDoS vilistab minevikus alati, kui küberaktivism tõstab massiliselt oma pea üles. Sellised rünnakud muudavad rahvusvahelisi pealkirju mitmel põhjusel. Need DDoS-rünnakute kiire käivitamine on sageli vaieldav või väga ... Loe rohkem , ja nii edasi. Kuid ühest rünnakust, millest ei räägita nii palju, mis on sama häbiväärne kui teised

klõpsamine.

Klõpsamist on keeruline tuvastada, see võib mõjutada peaaegu kõiki ja on laialt levinud väga paljudesse opsüsteemidesse ja rakendustesse. Klõpsamise kohta peate teadma järgmist, sealhulgas seda, mis see on, kus seda näete ja kuidas end selle eest kaitsta.

Mis on Clickjacking?

Nagu olete võinud nimest koguda, on klõpsamine kasutaja klikkide kaaperdamine arvuti (seda saab kasutada ka klahvivajutuste kaaperdamiseks, kuid "klahvivajutust" on palju raskem öelda). Sellel protsessil on mitmeid viise, kuid neil kõigil on üks ühine joon: kasutaja arvab, et ta klõpsab ühte asja, kui tegelikult klõpsab ta hoopis midagi muud.

Paljud klõpsamise rünnakud hõlmavad läbipaistvat kasutajaliidest, mis on paigutatud mõne muu liidese kohale, mida kasutaja ootab (see on põhjus, miks selle meetodi nimi on UI redressing). Siis, kui kasutaja arvab, et ta klõpsab millelegi, klõpsab ta tegelikult veel midagi, mida nad ei näe. Võite arvata, et klõpsate lingil, mis registreerub teie jaoks lahe infoleht Õppige midagi uut 10 väärtusega meilisõnumite kauduTeid üllatab täna uudiskirjade kvaliteet. Nad teevad tagasituleku. Liituge nende kümne fantastilise infolehega ja saate teada, miks. Loe rohkem , kui tegelikult klõpsate nuppu, mis annab küberkriminalistliku juurdepääsu näiteks teie e-posti kontole.

Teist tüüpi rünnak muudab kasutaja kursori tegelikku asukohta, kuid jätab ekraani puutumata, nii et kursor näeb välja nagu see oleks ühes kohas, kuid tegelikult teises. Kõlab nagu see oleks lihtsalt suur tüütus, kuid seda saab kasutada selleks, et panna inimesi klõpsama asjadele, mis ära annavad tundlik teave 10 tükki teavet, mida kasutatakse teie identiteedi varastamiseksIdentiteedivargus võib olla kulukas. Siin on kümme teavet, mida peate kaitsma, et teie isikut ei varastataks. Loe rohkem .

Mõned muud loomingulised rünnakud langevad ka clickjackingu alla. Näiteks kasutas hiljutine rünnak tükk pahavara, et suunata kasutajate otsingud Bingi, Google'i ja Yahoo kaudu kohandatud (ja petlikele) tulemuste lehtedele, mis olid täis Google'i AdSense'i toega reklaame. Kasutajad klõpsavad reklaamidel, arvates, et need on õigustatud otsingutulemid ja ründajad saavad selle eest palka.

Mõned inimesed hõlmavad isegi sotsiaalabi inseneritüüpi rünnakuid clickjackingisse; näiteks 2009. aastal käis Twitteris Twitteri ümber säuts, mis ütles: „Ärge klõpsake” ja sisaldab linki. Iga kord, kui keegi lingil klõpsas, siis see tiksus tema kontolt. Sarnased tehnikad Viis Facebooki ohtu, mis võivad teie arvutit nakatada, ja kuidas need töötavad Loe rohkem on kasutatud raha teenivate linkide levitamiseks Facebookis.

Klikkimine ei piirdu ainult veebisaitide ja rakendustega, kus kasutajatel on hiir; see võib juhtuda ka mobiilseadmetes. Üks hiljutine näide on Android. Lockdroid. E, tükk Androidi lunavara Androidi pahavara: 5 tüüpi, millest peate tõesti teadmaPahavara võib mõjutada nii mobiili- kui ka lauaarvuti seadmeid. Kuid ärge kartke: natuke teadmisi ja õigeid ettevaatusabinõusid võib teid kaitsta selliste ohtude eest nagu lunavara ja seksuaaltormi pettused. Loe rohkem mis kasutasid klõpsamist (või kui soovite, siis ka puudutamist), et saada sihtseadmele administraatoriõigusi. Ja me oleme hiljuti sellest kuulnud Juurdepääsetavus Androidi klikkimishaavatavuse korral Kuidas saab Androidi juurdepääsetavusteenuseid kasutada teie telefoni häkkimiseksAndroidi hõlbustuskomplektis on leitud mitmesuguseid turvaauke. Kuid milleks seda tarkvara isegi kasutatakse? Loe rohkem nutitelefonid ja tahvelarvutid.

Mida saate teha klikkimise takistamiseks?

Kahjuks pole klikkimise takistamiseks palju võimalik ära teha, kui te pole veebisaidi administraator. Ülekaalukalt kõige soovitatavam meetod enda kaitsmiseks sirvimise ajal on kasutamine NoScript, Firefoxi lisandmoodul, mis takistab skriptide laadimist ilma konkreetse volituseta sina. NoScriptil on mõned spetsiaalselt klikkimise vastased funktsioonid ja see on tõesti hea tuvastada skripte, mis loovad veebisaitidel läbipaistvaid ülekatteid.

Kõik sarnased laiendid, mida saate kasutada takistada skriptide või rakenduste laadimist Hallake oma veebisisu: hädavajalikud laiendused jälgimise ja skriptide blokeerimiseksTõde on see, et alati on keegi või keegi teie Interneti-tegevust ja sisu jälgimas. Lõppkokkuvõttes: mida vähem teavet nendele rühmadele anname, seda turvalisemaks me saame. Loe rohkem pakub ka teatavat kaitset.

Parimad kaitsed klikkimise eest peavad siiski olema saidi administraatoritel. Paljud kaitsemehhanismid on üsna tehnilised ja kui soovite täpselt teada saada, kuidas neid rakendada, siis soovitan tutvuda ClickWacki kaitsmise petulehega OWASP-ist.

Üks parimaid viise oma saidil klõpsamise ärahoidmiseks on lisada x-frame-options HTTP-päis, mis takistab teie saidi sisu laadimist raami ( silt) või iframe (

Ennetamine saitideülene skriptimine Mis on saitideülene skriptimine (XSS) ja miks see on turvariskSaidideülene skriptimise haavatavus on tänapäeval suurim veebisaidi turvaprobleem. Uuringute kohaselt on need šokeerivalt levinud - vastavalt White Hat Security juunis avaldatud värskeima raporti andmetele sisaldas 2011. aastal XSS-i haavatavust 55% veebisaitidest ... Loe rohkem (XSS) aitab ka vähendada saidil klikkimise rünnaku tõenäosust. Kuna XSS-d kasutatakse ka muude rünnakute jaoks, on hea mõte selle vastu igal juhul kaitsta.

Mobiilseadme kliki rünnaku tõenäosuse minimeerimiseks võiksite seda piirata laadige alla rakendusi ainult usaldusväärsetest allikatest, näiteks Apple App Store või Google Play Kauplus. Kuigi see ei taga, et rünnakutest vabaks satub, sisaldavad need rakendused pahatahtlikku koodi oluliselt vähem kui need, mida saate kolmanda osapoole allikast.

Samuti saate vältida rakendusesiseste brauserite kasutamist, kuna see on puutereklaamide tavaline koht. Seadistage rakenduste sisese brauseri asemel rakenduste sisesese brauseri asemel rakenduste lingi avamise vaikekäitumine ja kõrvaldate veel ühe võimaliku nõrkuse oma kaitses.

Tõeline oht

Nagu varem mainitud, kõlab klõpsamine rohkem teie turvalisust häirivana kui reaalse ohuna, kuid kui seda kasutatakse tõhusalt, see võib aidata ründajatel varastada väga olulist teavet või pääseda juurde teie veebikontodele, kus nad võivad tõsiselt tegutseda kahju.

Ja kuigi suurem osa kaitsest peab tulema kulisside tagant, saate kasutada skriptide blokeerimist laiendusi enamiku nende rünnakute ärahoidmiseks - kui teil on sedalaadi lisandmoodulite kasutamisel hea, näiteks nad on natuke vastuoluline AdBlock, NoScript & Ghostery - kurjuse trifectaViimase paari kuu jooksul on minuga ühendust võtnud paljud lugejad, kellel on olnud probleeme meie juhendite allalaadimisega või miks nad ei näe sisselogimisnuppe ega kommentaare, mis ei laadita; ja ... Loe rohkem .

Kas teate mõnda suuremahuliste klikirünnakute näidet või olete olnud nende rünnakute ohver? Kas kasutate NoScripti või rakendate oma veebisaidil mingeid kaitsemehhanisme? Jagage oma mõtteid allpool!

Kujutise krediit: Mozilla.