Mainos

Hakkereiden ja haittaohjelmien jakelijoiden pääsy tietokoneellesi on tietyistä asioista, joista puhutaan paljon: sosiaalinen tekniikka Mikä on sosiaalinen tekniikka? [MakeUseOf selittää]Voit asentaa alan vahvimman ja kalleimman palomuurin. Voit kouluttaa työntekijöitä perusturvallisuusmenettelyistä ja vahvojen salasanojen valinnan tärkeydestä. Voit jopa lukita palvelintilan - mutta kuinka ... Lue lisää , SQL-injektio Mikä on SQL-injektio? [MakeUseOf selittää]Internet-tietoturvan maailmaa vaivaa avoimet portit, takaovet, tietoturva-aukot, troijalaiset, madot, palomuurien haavoittuvuudet ja joukko muita asioita, jotka pitävät meidät kaikki varpaissamme päivittäin. Yksityisille käyttäjille ... Lue lisää , DDoS-hyökkäykset Mikä on DDoS Attack? [MakeUseOf selittää]Termi DDoS viheltyy ohi aina, kun verkkoaktivismi nostaa päänsä massiivisesti. Tällaiset hyökkäykset tekevät kansainvälisistä otsikoista monista syistä. Nämä DDoS-hyökkäykset käynnistävät kysymykset ovat usein kiistanalaisia ​​tai erittäin ... Lue lisää

instagram viewer
, ja niin edelleen. Mutta yhdestä hyökkäyksestä, josta ei puhuta niin paljon, joka on yhtä vahingollista kuin muut clickjacking.

Napsautusta on vaikea havaita, se voi vaikuttaa melkein mihin tahansa, ja se on levinnyt moniin erilaisiin käyttöjärjestelmiin ja sovelluksiin. Tässä on mitä sinun on tiedettävä napsautuksesta, mukaan lukien mikä se on, missä näet sen ja kuinka suojautua sinulta.

Mitä Clickjacking on?

Kuten olet saattanut kerätä nimestä, clickjacking on käyttäjän napsautuksen kaappaaminen tietokone (sitä voidaan käyttää myös näppäimistön kaappaamiseen, mutta “näppäinpainalluksella” on paljon vaikeampaa sanoa). Prosessi voi tapahtua monella tapaa, mutta niillä kaikilla on yksi yhteinen asia: käyttäjä luulee napsauttavansa yhtä asiaa, kun todellisuudessa he napsauttavat jotain muuta.

Moniin napsautuksen hyökkäyksiin sisältyy läpinäkyvä käyttöliittymä, joka on sijoitettu toisen käyttöliittymän päälle, jonka käyttäjä odottaa näkevän (minkä vuoksi ”käyttöliittymän korjaaminen” on tämän menetelmän toinen nimi). Sitten, kun käyttäjä luulee napsauttavan jotain, hän napsauttaa jotain muuta, jota he eivät voi nähdä. Saatat ajatella, että napsautat linkkiä, joka kirjaa sinut sisään viileä uutiskirje Opi jotain uutta 10 Worth-It -sähköpostiuutiskirjeen avullaYllätät tänään uutiskirjeiden laadusta. He tekevät paluuta. Tilaa nämä kymmenen upeaa uutiskirjettä ja selvitä miksi. Lue lisää , kun napsautat tosiasiallisesti painiketta, joka antaa verkkorikossa pääsyn esimerkiksi sähköpostitilillesi.

Toinen tyyppinen hyökkäys muuttaa käyttäjän kohdistimen todellista sijaintia, mutta jättää näytön koskemattomaksi, joten kohdistin näyttää siltä, ​​että se on yhdessä paikassa, mutta tosiasiallisesti toisessa. Kuulostaa siltä, ​​että se olisi vain suurta häirintää, mutta sitä voidaan käyttää saadaksesi ihmiset napsauttamaan asioita, jotka antavat pois arkaluontoista informaatiota 10 kappaletta tietoa, jota käytetään henkilöllisyytesi varastamiseenHenkilöllisyysvarkaudet voivat olla kalliita. Tässä on 10 tietoa, joita sinun on suojattava, jotta henkilöllisyyttäsi ei varastettaisi. Lue lisää .

Jotkut muut luovat hyökkäykset kuuluvat myös napsautuksen alla. Esimerkiksi äskettäisessä hyökkäyksessä käytettiin pala haittaohjelmia ohjaamaan käyttäjien Bingissä, Googlessa ja Yahoossa tekemiä hakuja räätälöityihin (ja vilpillisiin) tulossivuihin, jotka olivat täynnä Google-AdSense-pohjaisia ​​mainoksia. Käyttäjät napsauttavat mainoksia luuleen, että ne olivat laillisia hakutuloksia, ja hyökkääjät saavat palkan.

clickjack-avoimuus

Jotkut ihmiset sisällyttävät jopa sosiaalitekniikkatyyppisiä hyökkäyksiä napsautuksiin; Esimerkiksi, vuonna 2009, Twitterissä oli twiitti, joka sanoi ”Älä napsauta” ja sisälsi linkin. Aina kun joku napsautti linkkiä, sama juttu tweettiin heidän tililtä. Samanlaisia ​​tekniikoita Viisi Facebook-uhkaa, jotka voivat saastuttaa tietokoneesi, ja kuinka ne toimivat Lue lisää on käytetty levittämään rahaa tuottavia linkkejä Facebookissa.

Clickjacking ei rajoitu vain verkkosivustoihin ja sovelluksiin, joissa käyttäjillä on hiiri; se voi tapahtua myös mobiililaitteissa. Yksi tuore esimerkki on Android. Lockdroid. E, pala Android lunastusohjelma Haittaohjelmat Androidilla: 5 tyyppiä, joista sinun on tiedettäväHaittaohjelmat voivat vaikuttaa sekä mobiililaitteisiin että pöytälaitteisiin. Mutta älä pelkää: vähän tietoa ja oikeat varotoimenpiteet voivat suojata sinua uhkilta, kuten lunastusohjelmilta ja sukupuolihuijauksilta. Lue lisää joka käytti napsautusta (tai "kosketusleikkausta", jos haluat) saadaksesi järjestelmänvalvojan oikeuksia kohdelaitteeseen. Ja olemme äskettäin kuulleet aiheesta Saavutettavuus Clickjacking-haavoittuvuus Androidilla Kuinka Android-esteettömyyspalveluita voidaan käyttää puhelimen hakkerointiinAndroidin Esteettömyysohjelmasta on löydetty erilaisia ​​tietoturvahaavoja. Mutta mihin tätä ohjelmistoa edes käytetään? Lue lisää älypuhelimet ja tabletit.

Mitä voit tehdä napsautuksen estämiseksi

Valitettavasti ei voi tehdä paljon estääksesi napsautuksia, ellet ole verkkosivuston järjestelmänvalvoja. Ylivoimaisesti yleisin suositeltu tapa suojata itseäsi selaamisen aikana on käyttää NoScript, Firefox-lisäosa, joka estää komentosarjojen lataamisen ilman erillistä lupaa sinä. NoScriptillä on joitain erityisesti napsautuksen vastaisia ​​ominaisuuksia, ja se on todella hyvä havaitsemaan sellaisia ​​skriptejä, jotka luovat avoimia peittokuvia verkkosivustoille.

NoScript-firefox

Kaikki vastaavat laajennukset, joihin voit käyttää estää skriptien tai sovellusten lataamisen Hallitse verkkosivustosi: Oleelliset laajennukset seurannan ja komentosarjojen estämiseenTotuus on, että aina on joku tai jotain, joka valvoo Internet-toimintaa ja sisältöä. Viime kädessä mitä vähemmän tietoja annamme näille ryhmille, sitä turvallisempia me olemme. Lue lisää tarjoaa myös jonkin verran suojaa.

Paras suojaus napsautuksen estämistä vastaan ​​on kuitenkin tehtävä sivuston järjestelmänvalvojilta. Monet puolustuksista ovat melko teknisiä, ja jos haluat tietää tarkalleen kuinka ne toteutetaan, suosittelen tarkistamaan Clickjacking Defense -huijausarkki OWASP: ltä.

Yksi parhaimmista tavoista estää napsautuksen estäminen sivustollasi sisältää x-frame-options HTTP-otsikon, joka estää sivustosi sisällön lataamisen kehykseen ( tunniste) tai iframe (

X-frame-optiot

ehkäistä sivustojenvälinen komentosarja Mikä on sivustojen välinen komentosarja (XSS), ja miksi se on turvallisuusuhkaSivustojenväliset komentosarjojen haavoittuvuudet ovat nykyään suurin verkkosivustojen turvallisuusongelma. White Hat Securityn kesäkuussa julkaiseman viimeisimmän raportin mukaan tutkimuksissa on havaittu niiden olevan järkyttävän yleisiä - 55% verkkosivustoista sisälsi XSS-haavoittuvuuksia vuonna 2011 ... Lue lisää (XSS) auttaa myös vähentämään napsautushyökkäysmahdollisuuksia sivustolla. Koska XSS: ää käytetään myös muihin hyökkäyksiin, on hyvä idea suojautua siitä aina.

Voit rajoittaa mobiililaitteesi napsautushyökkäysten todennäköisyyttä minimoida lataa sovelluksia vain luotettavista lähteistä, kuten Apple App Store tai Google Play Store. Vaikka tämä ei takaa sitä, että vapaat hyökkäyksistä, nämä sovellukset sisältävät huomattavasti vähemmän todennäköisesti haitallisia koodeja kuin ne, jotka saat kolmannen osapuolen lähteistä.

Voit myös välttää sovelluksen sisäisten selainten käyttämistä, koska tämä on yleinen tapa koskettaa hyökkäyksiä. Aseta sovellusten linkkien avaamisen oletuskäyttäytyminen avautumaan järjestelmäselaimessa sovelluksen sisäisen selaimen sijaan, ja poistat vielä yhden mahdollisen heikkouden puolustuksessasi.

Todellinen uhka

Kuten aiemmin mainittiin, napsauttaminen kuulostaa enemmän häirinnältä kuin todelliselta uhalta tietoturvallesi, mutta jos sitä käytetään tehokkaasti, se voi auttaa hyökkääjiä varastamaan joitain erittäin tärkeitä tietoja tai pääsemään online-tiliisi, missä he voivat tehdä vakavia vahingoittaa.

Ja vaikka suurimman osan puolustuksesta on tultava kulissien takana, voit käyttää komentosarjojen estämistä laajennukset estämään suurimman osan näistä hyökkäyksistä - jos sinulla on oikein käyttää tällaisia ​​lisäosia, kuten he ovat vähän kiistanalainen AdBlock, NoScript & Ghostery - Pahan trifektaattiMuutaman viime kuukauden aikana minuun on ottanut yhteyttä lukuisia lukijoita, joilla on ollut ongelmia oppaidemme lataamisessa tai miksi he eivät näe kirjautumispainikkeita tai kommentteja, joita ei ladata; ja sisään... Lue lisää .

Tiesitkö esimerkkejä laaja-alaisista napsautushyökkäyksistä, vai oletko joutunut yhden näistä hyökkäyksistä? Käytätkö NoScriptiä vai asennatko mitään suojauksia omalle verkkosivustollesi? Jaa ajatuksesi alla!

Kuvaluotto: mozilla.

Dann on sisältöstrategia ja markkinointikonsultti, joka auttaa yrityksiä luomaan kysyntää ja johtaa. Hän myös blogeja strategia- ja sisältömarkkinoinnista osoitteessa dannalbright.com.