Clickjacking: how to delete someone else's account?
Cuprins:
Clickjacking . > Atac de interfață pentru utilizator, atac de recuperare UI, redresare UI este o tehnică obișnuită malware utilizată de atacatori pentru a crea mai multe straturi complicate pentru a păcăli un utilizator apăsând pe un buton sau link-ul de pe o altă pagină atunci când au intenționat să facă clic pe o altă pagină. Astfel, atacatorul controlează cu succes utilizatorul făcând clic pe un link dintr-o sursă externă, în timp ce îl "deturnează" de pe pagina originală. Această tehnică are utilizări nelimitate atunci când vine vorba de exploatarea utilizatorului. De exemplu, un astfel de atac poate convinge clienții să introducă detaliile lor bancare într-o pagină terță parte care să oglindească pe cea originală. Ce este Clickjacking
Clickjacking este o activitate rău intenționată, unde link-urile rău intenționate sunt ascunse în spatele butoanelor autentice sau link-uri, făcând utilizatorilor să activeze o acțiune greșită cu clicul lor.
Un exemplu comun și extrem de distructiv al acestei tehnici ar putea fi atunci când un atacator care construiește un site care are un buton pe el care spune "
Faceți clic aici pentru a introduceți concursul ". Cu toate acestea, chiar lângă buton, au pus un cadru aproape invizibil, care face legătura cu " Ștergeți toate contactele" din contul dvs. Gmail ". Victima încearcă să facă clic pe buton, dar în schimb face clic pe butonul invizibil. Prin urmare, atacatorul a "deturnat" "clicul" utilizatorului și, prin urmare, numele de Clickjacking. În ultima vreme, Clickjacking a făcut drum spre servicii populare, inclusiv Adobe Flash Player și Twitter. Unii atacatori au modificat setările pluginului Adobe Flash. Prin încărcarea acestei pagini într-o iframe invizibilă, un atacator ar putea să-i smulgă pe utilizator să modifice setările de securitate ale Flash, oferind permisiunea pentru orice animație Flash care să utilizeze microfonul și camera foto.
Vorbind despre Twitter, clickjacking a intrat într-un vierme Twitter. Acest atac a fost destul de inteligent vizat pentru utilizatori, forțându-i să retwete o locație și să-l răspândească pe scară largă înainte ca Twitter să intre în controlul virusului.
Ce este Cursorjacking
Un tip de Clickjacking operează deghizând cursorul mouse-ului și convingând utilizatorul pentru a înlocui clicurile sale într-o altă locație din aceeași pagină. Un incident popular de
Cursorjacking a fost descoperit în Mozilla Firefox pe sistemele Mac OS X utilizând coduri Flash, HTML și JavaScript care pot duce și la spionarea camerei web și la execuția unui addon rău intenționat care permite executarea de programe malware pe computerul utilizatorului captiv. Ce este Likejacking
În afară de Cursorjacking, au fost raportate și incidente de
Likejacking . Făcut popular după apariția Facebook în cultura pop, acest termen auto-explicativ înseamnă deturnarea în persoana în a-și plăcea o pagină pe Facebook pe care nu ar trebui să o cunoască inițial. Sfaturi pentru protecția clickjacking
Opțiuni X-Frame
Această soluție de la Microsoft este una dintre cele mai eficiente împotriva atacurilor de tip clickjacking de pe computer. Puteți include antetul HTTP X-Frame-Options în toate paginile dvs. Web. Acest lucru va împiedica plasarea site-ului într-un cadru. X-Frame este susținut de cele mai recente versiuni ale celor mai multe browsere, inclusiv Safari, Chrome, IE, dar poate avea și unele probleme cu Firefox. Cea mai mare parte a utilizării X-Frame este că este extrem de simplă, dar are nevoie de acces la configurația serverului web și la limbajul de scripting pe server.
Mutați elemente pe paginile dvs.
Atacantul încearcă să pună clickjacking pe paginile dvs. Web nu cunoaște locațiile actuale ale elementelor din partea dvs. El își poate plasa numai elementele infectate pe baza setărilor implicite. Este o idee bună să încercați și să mutați elemente pe pagină; de exemplu, atacatorii pot intenționa să vizeze butonul Facebook Like. Prin mutarea acelui element într-o altă locație, puteți detecta cu ușurință când are loc un astfel de incident. Singura problemă cu această soluție este că este extrem de greu pentru utilizatorii normali să efectueze.
Adrese URL de o oră
Aceasta este o metodă destul de avansată de protecție împotriva clickjackerilor, care ar putea fi suficient de bine informați pentru a depăși filtrele de bază. Puteți face atacul mult mai greu dacă includeți un cod unic în adresele URL către pagini importante. Acest lucru este similar cu noncesul utilizat pentru a preveni CSRF, dar în unic în felul în care acesta include nonces în URL-uri către paginile țintă, nu în formularele din acele pagini.
Framebuster Javascript
O altă modalitate de a scăpa de ghearele unui atac clic este prin verificarea codului Javascript pentru a detecta. Acest proces se numește frambusting
Sfaturi de prevenire a clichelor
Evaluați protecția prin e-mail
Instalarea și verificarea unui filtru puternic de e-mail spam este o modalitate de a detecta eficient orice fel de atacuri asupra conturilor dvs. Atacurile atacurilor de tip clicjacking încep de obicei prin înșelăciunea unui utilizator prin e-mail în vizitarea unui site rău intenționat. Acest lucru se face prin implementarea de e-mailuri forjate sau special create, care par autentice. Blocarea e-mailurilor ilegale reduce un potențial atac pentru clickjacking și o serie de alte atacuri, de asemenea.
Utilizați Firewalls pentru aplicații web
Aplicațiile Web Firewall-urile WEF reprezintă un aspect important al securității în cazul întreprinderilor care dețin majoritatea datelor pe internet. Unele dintre aceste firme tind să ignore nevoia de unu și să ajungă să fie atacate cu incidente masive de clickjacking. Datele recente au arătat că aproape 70% din toate SMB-urile au fost hackate în anumite capacități în ultimul deceniu. Acesta poate lua o povară uriașă de pe farfurie, reduce foarte mult riscurile și costurile mai puțin decât pierderea cu care s-ar putea confrunta.
Din păcate, nu există o soluție perfectă de prevenire a click-back-ului, deoarece atacatorii vor găsi în cele din urmă modalități de a trece prin majoritatea tehnicilor. Cu toate acestea, cele mai eficiente remedii împotriva acestor atacuri vor fi X-Frame și FrameBuster Javascript.
Acum citiți
Cumpărătorii de web savvy sunt mereu în căutarea cupoanelor care le pot economisi bani pe tehnologie. Dar toate codurile de cupon nu sunt create egale, iar cele mai bune dintre ele nu sunt distribuite masei. Iată cum este culesul ofertelor insiderilor - oferte care sunt destinate familiei, prietenilor, angajaților sau afiliaților dvs. și care pot reduce în mod semnificativ costul PC-urilor și al altor produse electronice.
Majoritatea vânzătorilor importanți au oferte cu oferte privilegiate sau exclusive, adesea rambursabile pe zone speciale ale site-urilor lor Web. Unele dintre aceste site-uri sunt mai accesibile decât altele: Magazinul de angajați și afiliați din Programul de achiziție al membrilor Dell nu pare să necesite nici o dovadă că sunteți un angajat sau afiliat, în timp ce Programul de achiziții al contractorului Lenovo va fi vândut oricui cu cuponul potrivit cod, ușor de găsit pe site-urile web deal. Î
48% Dintre suedezii sunt împotriva legii viitoare, în comparație cu 32% în favoarea acesteia, scrie suedezul Svenska Dagbladet, care a comandat raportul. o corelare clară între vârstă, sex și opoziție; 74% dintre bărbații cu vârste cuprinse între 15 și 29 ani sunt împotriva legii. Cele mai puțin negative sunt persoanele de peste 65 de ani; în acest grup, 27% sunt împotriva legii.
Există o mișcare de rădăcini împotriva legii, în special pe Web. De exemplu, grupul Facebook Stoppa IPRED (Stop IPRED) a avut peste 81 000 de membri în momentul votării, potrivit fondatorilor săi.
Furtul de identitate online: Sfaturi de prevenire și protecție
Furtul de identitate online fură o identitate a persoanelor, cu intenția de a crea o fraudă. Aflați cum să o preveniți și să vă protejați și să vă mențineți în siguranță.