Co to są ataki Clickjacking? Wskazówki dotyczące ochrony i zapobiegania

Clickjacking , znany również pod takimi nazwami jak Reakcja za pomocą interfejsu użytkownika, Reakcja na atak z UI, Redukcja UI, jest typową złośliwą techniką wykorzystywaną przez atakujących do tworzenia wielu skomplikowanych warstw, aby skłonić użytkownika do kliknięcia przycisku lub link na innej stronie, gdy zamierzają kliknąć na innej stronie. W ten sposób atakujący skutecznie kontroluje użytkownika w celu kliknięcia łącza z zewnętrznego źródła podczas "przejęcia" go z oryginalnej strony. Technika ta ma nieograniczone zastosowanie w odniesieniu do eksploatacji użytkownika. Na przykład taki atak może przekonać klientów do wprowadzenia danych bankowych na stronie trzeciej, która jest podobna do oryginalnej strony.

Czym jest Clickjacking

Clickjacking to złośliwa działalność, w której szkodliwe linki są ukryte za oryginalnymi klikalnymi przyciskami lub linki, co powoduje, że użytkownicy aktywują nieprawidłowe kliknięcie za pomocą kliknięcia.

Typowym i niezwykle niszczącym przykładem tej techniki może być atakujący, który tworzy witrynę internetową z przyciskiem " Kliknij tutaj, aby wejdź do konkursu ". Jednak tuż obok przycisku znajdują się prawie niewidoczne ramki, które prowadzą do " Usuń wszystkie kontakty" na koncie Gmail ". Poszkodowany próbuje kliknąć przycisk, ale zamiast tego kliknie niewidoczny przycisk. W związku z tym atakujący "przejął" "kliknięcie" użytkownika, a więc nazwę "kliknięcie".

W ostatnim czasie Clickjacking trafił do popularnych serwisów, takich jak Adobe Flash Player i Twitter. Niektóre osoby atakujące zmieniły ustawienia wtyczki Adobe Flash. Po załadowaniu tej strony do niewidocznego elementu iframe osoba atakująca może nakłonić użytkownika do zmiany ustawień bezpieczeństwa w programie Flash, dając pozwolenie dowolnej animacji Flash na wykorzystanie mikrofonu i kamery komputera.

Mówiąc o Twitterze, kliknięcie kliknęło w robaka na Twitterze. Ten atak był dość sprytnie skierowany do użytkowników, zmuszając ich do retweetowania lokalizacji i szerokiego rozprzestrzeniania się, zanim Twitter wkroczył by kontrolować wirusa.

Co to jest Cursorjacking

Jeden rodzaj Clickjacking działa ukrywając kursor myszy i przekonując użytkownika aby zastąpić kliknięcia w innej lokalizacji na tej samej stronie. Popularny incydent Cursorjacking został wykryty w Mozilla Firefox na systemach Mac OS X za pomocą kodu Flash, HTML i JavaScript, który może również prowadzić do szpiegowania kamery internetowej i wykonania złośliwego dodatku pozwalającego na wykonanie złośliwego oprogramowania na komputerze uwięzionego użytkownika

Co to jest Likejacking

Oprócz Cursorjacking odnotowano również incydenty Likejacking . Popularny po pojawieniu się Facebooka w popkulturze, ten niewymyślny termin oznacza porwanie osoby, aby polubiła stronę na Facebooku, o której nie powinien wiedzieć.

Wskazówki dotyczące ochrony przed kliknięciem

Opcje X-Frame

To rozwiązanie firmy Microsoft jest jednym z najbardziej skutecznych przeciwko atakom typu "clickjacking" na twoim komputerze. Możesz dołączyć nagłówek HTTP X-Frame-Options na wszystkich swoich stronach internetowych. Zapobiegnie to umieszczeniu Twojej witryny w ramce. X-Frame jest obsługiwany przez najnowsze wersje większości przeglądarek, w tym Safari, Chrome, IE, ale może mieć pewne problemy z Firefoksem. Ogromną zaletą X-Frame jest to, że jest bardzo prosty, ale wymaga dostępu do konfiguracji serwera WWW i języka skryptowego na serwerze.

Przenoszenie elementów na strony

Atakujący próbuje umieścić na twoich stronach internetowych clickjacking nie jest świadomy bieżących lokalizacji elementów z Twojej strony. Umieszcza tylko zainfekowane elementy na podstawie domyślnych ustawień. Dobrym pomysłem jest wypróbowanie i przeniesienie elementów na twoją stronę; na przykład atakujący mogą planować przycisk "Lubię to na Facebooku". Przenosząc ten element do innej lokalizacji, można łatwo wykryć, kiedy nastąpi takie zdarzenie. Jedynym problemem związanym z tym rozwiązaniem jest to, że jest to niezwykle trudne dla zwykłych użytkowników.

Jednorazowe adresy URL

Jest to raczej zaawansowana metoda ochrony przed hakerami, którzy mogą posiadać wystarczającą wiedzę, aby przewyższyć podstawowe filtry. Atak może być znacznie trudniejszy, jeśli umieścisz jednorazowy kod w adresach URL na kluczowych stronach. Jest to podobne do noncesów używanych do zapobiegania CSRF, ale w sposób unikalny, ponieważ zawiera w adresach URL-e nonces w adresach, a nie w formularzach na tych stronach.

Framebuster Javascript

Kolejny sposób na ucieczkę z pazurami ataku typu "clickjacking" jest sprawdzanie kodu JavaScript do wykrycia. Ten proces nazywa się frambustingiem

Wskazówki dotyczące zapobiegania kliknięciom

Ocena ochrony poczty e-mail

Instalowanie i sprawdzanie silnego filtru spamu e-mail jest jednym ze sposobów skutecznego wykrywania wszelkich ataków na konta. Ataki typu "kliknięcie" zwykle rozpoczynają się od oszukiwania użytkownika za pośrednictwem poczty e-mail w celu odwiedzenia złośliwej witryny. Odbywa się to poprzez wprowadzenie fałszywych lub specjalnie spreparowanych e-maili, które wyglądają autentycznie. Blokowanie nielegalnych wiadomości e-mail zmniejsza potencjalny atak na klikanie i inne ataki.

Używanie zapór sieciowych

Zapory sieciowe WE w WEF są ważnym aspektem bezpieczeństwa w przypadku firm, które mają większość swoich danych w Internecie. Niektóre z tych firm zignorują potrzebę jednej z nich i zostaną zaatakowane masowymi incydentami związanymi z klikaniem. Ostatnie dane pokazały, że prawie 70 procent wszystkich małych i średnich firm zostało zhackowanych w pewnym stopniu w ciągu ostatniej dekady. Może to znieść ogromny ciężar z twojej płyty, znacznie zmniejsza ryzyko i kosztuje mniej niż strata, którą możesz napotkać.

Niestety, nie ma idealnego rozwiązania w zapobieganiu klikaniu, ponieważ napastnicy w końcu znajdą sposób na przebrnięcie przez większość technik. Mimo to najbardziej skutecznymi środkami przeciwko takim atakom będą X-Frame i JavaScript FrameBuster.

Teraz przeczytaj : Co to są oszustwa dotyczące kliknięć i oszustwa związane z reklamą online?