säkerhet

Clickjacking Vad är det, och hur kan du undvika det?

När det gäller sätt som hackare och malware-distributörer får tillgång till din dator, finns det några saker som talar mycket om: samhällsteknik Vad är socialteknik? [MakeUseOf Förklarar] Vad är socialteknik? [MakeUseOf Explains] Du kan installera branschens starkaste och dyraste brandvägg. Du kan utbilda anställda om grundläggande säkerhetsprocedurer och vikten av att välja starka lösenord. Du kan till och med låsa ner serverns rummet - men hur ... Läs mer, SQL-injektion Vad är en SQL-injektion? [MakeUseOf Förklarar] Vad är en SQL-injektion? [MakeUseOf Explains] Världen av Internet-säkerhet plågas med öppna portar, bakdörrar, säkerhetshål, trojaner, maskar, brandväggssårbarheter och en rad andra problem som håller oss alla på tårna varje dag. För privata användare, ... Läs mer, DDoS-attacker Vad är ett DDoS-angrepp? [MakeUseOf Förklarar] Vad är ett DDoS Attack? [MakeUseOf Explains] Termen DDoS visslar förbi när cyberaktivism ger upp huvudet en massa. Dessa typer av attacker gör internationella rubriker på grund av flera anledningar. De problem som hoppa över de DDoS-attackerna är ofta kontroversiella eller mycket ... Läs mer, och så vidare. Men en attack som inte pratar om så mycket som är lika skrämmande som de andra är clickjacking.

Clickjacking är svår att upptäcka, kan påverka nästan alla, och sprids över ett brett utbud av operativsystem och applikationer. Här är vad du behöver veta om clickjacking, inklusive vad det är, var du ska se det och hur man skyddar dig mot det.

Vad är Clickjacking?

Som du kanske har hämtat från namnet är clickjacking processen att kapra en användares klick på en dator (den kan också användas för att kapra tangenttryckningar, men “keystrokejacking” är mycket svårare att säga). Det finns ett antal sätt att processen kan ske, men de har alla en sak gemensamt: en användare tror att de klickar på en sak, när de i verkligheten klickar på något annat.

Många clickjacking attacker inkluderar ett transparent användargränssnitt placerat över ett annat gränssnitt som användaren förväntar sig att se (vilket är anledningen till “UI reparation” är ett annat namn för denna metod). Då, när den användaren tycker att de klickar på något, klickar de faktiskt på något annat som de inte kan se. Du kanske tror att du klickar på en länk som kommer att registrera dig för ett coolt nyhetsbrev Lär dig något nytt med 10 värdefulla nyhetsbrev från e-post Lär dig något nytt med 10 värdefulla nyhetsbrev från e-post Du kommer bli förvånad över kvaliteten på nyhetsbrev idag. De gör en comeback. Prenumerera på dessa tio fantastiska nyhetsbrev och ta reda på varför. Läs mer, när du faktiskt klickar på en knapp som ger en cybercriminal tillgång till ditt e-postkonto, till exempel.

En annan typ av attack ändrar den aktuella positionen för användarens markör, men lämnar displayen orörd, så att markören ser ut som den är på ett ställe, men är faktiskt i en annan. Det låter som om det bara skulle vara en stor irritation men det kan användas för att få folk att klicka på saker som ger bort känslig information. 10 Stycken information som används för att stjäla din identitet 10 stycken information som används för att stjäla din identitet till USA: s justitiedepartement, kostnader för identitetsstöldkostnader över 24 miljarder dollar 2012, mer än hushållsinbrott, motor och stöldskydd kombinerat. Dessa 10 bitar av information är vilka tjuvar ser ... Läs mer .

Några andra kreativa attacker faller också under paraplyet med clickjacking. Ett nytt angrepp använde till exempel en del skadlig kod för att omdirigera användarnas sökningar på Bing, Google och Yahoo till anpassade (och bedrägliga) resultatsidor som var fulla av Google-AdSense-drivna annonser. Användarna skulle klicka på annonserna, trodde att de var legitima sökresultat, och angriparna skulle få betalt.

Vissa människor inkluderar till och med socialt typiska attacker i clickjacking; till exempel, tillbaka 2009, gick en tweet runt Twitter som sagt “Klicka inte på” och inkluderade en länk. När någon klickade på länken, skulle samma sak tweeted från deras konto. Liknande tekniker Fem Facebook-hot som kan infektera din dator och hur de fungerar Fem Facebook-hot som kan smitta din dator och hur de fungerar Läs mer har använts för att sprida penninggenererande länkar på Facebook.

Clickjacking är inte bara begränsat till webbplatser och appar där användare har en mus, dock; det kan också hända på mobila enheter. Ett nytt exempel är Android.Lockdroid.E, en del Android ransomware Malware på Android: De 5 typerna du verkligen behöver veta om skadlig kod på Android: De 5 typerna du verkligen behöver veta om skadlig kod kan påverka mobila såväl som stationära enheter . Men var inte rädd: lite kunskap och de rätta försiktighetsåtgärderna kan skydda dig från hot som ransomware och sextortion bluffar. Läs mer som använde Clickjacking (eller “touchjacking,” om du föredrar) för att få administrativa rättigheter till målenheten. Och vi har nyligen hört talas om tillgängligheten Clickjacking sårbarhet på Android Hur Android-tillgänglighetstjänster kan användas för att hacka din telefon Hur Android-åtkomsttjänster kan användas för att hacka din telefon Säkerhetsforskare har identifierat ett säkerhetsproblem i Android: s tillgänglighetstjänster, vilket skulle kunna tillåta En angripare får kontroll över enheten. Låt oss se hur du kan stoppa det här händer. Läs mer smartphones och surfplattor.

Vad du kan göra för att förhindra Clickjacking

Tyvärr finns det inte mycket du kan göra för att förhindra clickjacking om du inte är en webbplatsadministratör. Den vanligaste rekommenderade metoden att skydda dig själv medan du surfar är att använda NoScript, Firefox-tillägget som förhindrar att skript laddas utan specifikt tillstånd från dig. NoScript har några specifika anti-clickjacking-funktioner och är riktigt bra för att upptäcka de olika skript som skapar transparenta överlagringar på webbplatser.

Eventuella liknande tillägg som du kan använda för att förhindra att skript eller appar laddas från Kontroller ditt webbinnehåll: Viktiga tillägg för att blockera spårning och skript Kontrollera ditt webbinnehåll: Viktiga tillägg för att blockera spårning och skript Sannheten är att det alltid finns någon eller något som övervakar din Internetaktivitet och innehåll. I slutändan, desto mindre information vi låter dessa grupper har ju säkrare vi kommer att vara. Läs mer ger också ett visst skydd.

De bästa försvaren mot clickjacking måste emellertid komma från administratörer på plats. Många av försvaren är ganska tekniska, och om du vill ta reda på exakt hur du implementerar dem, rekommenderar jag att du klickar på Clickjacking Defence Cheat Sheet från OWASP.

Ett av de bästa sätten att förhindra clickjacking på din webbplats är att inkludera en HTTP-rubrik med x-ram-alternativ som hindrar att webbplatsens innehåll laddas i en ram ( tagg) eller iframe ( märka). Eftersom dessa ofta används som attackvektorer - inte bara för clickjacking utan också för andra hot - är detta ett effektivt sätt att mildra hotet.</p><p><img src="//ephesossoftware.com/img/images_6/clickjacking-what-is-it-and-how-can-you-avoid-it_3.png"></p><p>Förhindra cross-site scripting Vad är cross-site scripting (XSS), och varför det är en säkerhetsrisk? Vad är cross-site scripting (XSS), och varför det är en säkerhetsrisk? Säkerhetsproblem på websidor är det största säkerhetsproblemet idag. Studier har funnit att de är chockerande vanliga - 55% av webbplatserna innehöll XSS sårbarheter under 2011, enligt White Hat Securitys senaste rapport, släpptes i juni ... Läs mer (XSS) kommer också att bidra till att minska risken för en clickjacking-attack på en webbplats. Eftersom XSS också används för andra attacker, är det en bra idé att skydda mot det ändå.</p><p>För att minimera sannolikheten för en clickjacking-attack på din mobila enhet kan du begränsa dig själv till att bara ladda ner appar från betrodda källor, till exempel Apple App Store eller Google Play Butik. Även om detta inte är en garanti för att du kommer att vara fri från attacker, är dessa appar avsevärt mindre sannolikt att innehålla skadlig kod än de du får från en tredje part.</p><p>Du kan också undvika att använda webbläsare i appen, eftersom det här är en vanlig plats för attackjacking-attacker som inträffar. Ange standardbeteendet för länköppning i dina appar för att öppna i systembläddraren istället för webbläsaren, och du eliminerar ytterligare en potentiell svaghet i ditt försvar.</p><h2>En verklig hot</h2><p>Som nämnts tidigare låter clickjacking vara mer irriterande än ett verkligt hot mot din säkerhet, men om det används effektivt kan det hjälpa angripare att stjäla mycket viktig information eller få tillgång till dina onlinekonton, där de kan göra allvarliga skador.</p><p>Och medan det mesta av försvaret måste komma bakom kulisserna, kan du använda skriptblockerande tillägg för att förhindra de flesta av dessa attacker - om du är okej med att använda dessa typer av tillägg, eftersom de är lite kontroversiella AdBlock , NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil Under de senaste månaderna har jag kontaktats av ett stort antal läsare som har haft problem med att ladda ner våra guider, eller varför de inte kan se inloggningsknapparna eller kommentarerna som inte laddas och i ... Läs mer .</p><p><strong>Känner du till några exempel på storskaliga clickjackingattacker, eller har du blivit utsatt för en av dessa attacker? Använder du NoScript eller distribuerar några försvar på din egen hemsida? Dela dina tankar nedan!</strong></p><p><small>Bildkrediter: Mozilla.</small></p> <p><small>Utforska mer om: Clickjacking, Hacking, Online Security.</small></p> </div> <div class="rek-block"> <center> <ins class="adsbygoogle" style="display:inline-block;width:580px;height:400px" data-ad-client="ca-pub-3810161443300697" data-ad-slot="3145557800"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </center> </div> <div class="row PageNavigation d-flex justify-content-between font-weight-bold"> <a class="prev d-block col-md-6" href="/articles/web-culture/clicking-consequences-why-donald-trump-is-your-fault.html"> « Klicka på konsekvenser Varför Donald Trump är din fel</a> <a class="next d-block col-md-6 text-lg-right" href="/articles/browsers/clicktoplugin-blocks-flash-in-safari-lets-you-watch-videos-anyway.html">ClickToPlugin blockerar Flash i Safari, låter dig titta på videoklipp ändå » </a> <div class="clearfix"></div> </div> </div> </div> </div> </div> </div> </div> <footer class="footer"> <div class="site-langs-list"> <ul> <li class="site-lang"><a href="https://ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-DE"></i>Deutsch</a></li> <li class="site-lang"><a href="https://nl.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-NL"></i>Nederlands</a></li> <li class="site-lang"><a href="https://sv.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-SE"></i>Svenska</a></li> <li class="site-lang"><a href="https://no.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-NO"></i>Norsk</a></li> <li class="site-lang"><a href="https://it.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-IT"></i>Italiano</a></li> <li class="site-lang"><a href="https://fr.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-FR"></i>Français</a></li> <li class="site-lang"><a href="https://es.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-ES"></i>Español</a></li> <li class="site-lang"><a href="https://ro.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-RO"></i>Românesc</a></li> </ul> </div> <div class="container"> <div class="row"> <div class="col-md-6 col-sm-6 text-center text-lg-left"> © <script> var currentTime = new Date(); var year = currentTime.getFullYear(); document.write(year); </script> <a href="https://sv.ephesossoftware.com">sv.ephesossoftware.com</a> </div> <div class="col-md-6 col-sm-6 text-center text-lg-right"> <span>Nyheter från världen av modern teknik!</span> </div> </div> </div> </footer> </div> <link rel="stylesheet" type="text/css" href="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.css" /> <script src="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.js"></script> <script> window.addEventListener("load", function(){ window.cookieconsent.initialise({ "palette": { "popup": { "background": "#edeff5", "text": "#838391" }, "button": { "background": "#4b81e8" } }, "theme": "classic", "position": "bottom-right" })}); </script> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <script src="js/jquery.min.js"></script> <script src="js/bootstrap.min.js"></script> <script src="https://unpkg.com/simple-jekyll-search@1.5.0/dest/simple-jekyll-search.min.js"></script> <script> SimpleJekyllSearch({ searchInput: document.getElementById('search-input'), resultsContainer: document.getElementById('results-container'), json: '/search.json', searchResultTemplate: '<li><a href="{url}">{title}</a></li>' }) </script> </body> </html>