Werbung
Wenn es darum geht, wie Hacker und Malware-Distributoren Zugriff auf Ihren Computer erhalten, wird häufig über einige Dinge gesprochen: soziale Entwicklung Was ist Social Engineering? [MakeUseOf erklärt]Sie können die branchenweit stärkste und teuerste Firewall installieren. Sie können Mitarbeiter über grundlegende Sicherheitsverfahren und die Wichtigkeit der Auswahl sicherer Kennwörter informieren. Sie können sogar den Serverraum sperren - aber wie ... Weiterlesen , SQL-Injektion Was ist eine SQL-Injection? [MakeUseOf erklärt]Die Welt der Internetsicherheit ist von offenen Ports, Hintertüren, Sicherheitslücken, Trojanern, Würmern, Firewall-Schwachstellen und einer Reihe anderer Probleme geplagt, die uns jeden Tag auf Trab halten. Für private Benutzer ... Weiterlesen , DDoS-Angriffe Was ist ein DDoS-Angriff? [MakeUseOf erklärt]Der Begriff DDoS pfeift vorbei, wenn Cyber-Aktivismus massenhaft den Kopf hochzieht. Diese Art von Angriffen macht aus mehreren Gründen internationale Schlagzeilen. Die Probleme, die diese DDoS-Angriffe auslösen, sind oft kontrovers oder ... Weiterlesen , und so weiter. Aber ein Angriff, über den nicht so viel geredet wird, ist genauso schändlich wie die anderen Clickjacking.
Clickjacking ist schwer zu erkennen, kann nahezu jeden betreffen und ist auf eine Vielzahl von Betriebssystemen und Anwendungen verteilt. Hier erfahren Sie, was Sie über Clickjacking wissen müssen, einschließlich dessen, was es ist, wo Sie es sehen und wie Sie sich davor schützen können.
Was ist Clickjacking?
Wie Sie vielleicht aus dem Namen ersehen haben, ist Clickjacking der Vorgang, bei dem der Klick eines Benutzers auf a entführt wird Computer (es kann auch verwendet werden, um Tastenanschläge zu entführen, aber "Tastenanschlag" ist viel schwieriger zu tun sagen). Es gibt eine Reihe von Möglichkeiten, wie dieser Prozess stattfinden kann, aber alle haben eines gemeinsam: Ein Benutzer glaubt, auf eine Sache zu klicken, während er in Wirklichkeit auf etwas anderes klickt.
Viele Clickjacking-Angriffe enthalten eine transparente Benutzeroberfläche, die über einer anderen Benutzeroberfläche platziert ist, die der Benutzer erwartet (weshalb „UI Redressing“ ein anderer Name für diese Methode ist). Wenn dieser Benutzer glaubt, auf etwas zu klicken, klickt er tatsächlich auf etwas anderes, das er nicht sehen kann. Möglicherweise denken Sie, Sie klicken auf einen Link, über den Sie sich für einen anmelden cooler Newsletter Erfahren Sie etwas Neues mit 10 wertvollen E-Mail-NewsletternSie werden heute von der Qualität der Newsletter überrascht sein. Sie machen ein Comeback. Abonnieren Sie diese zehn fantastischen Newsletter und finden Sie heraus, warum. Weiterlesen , wenn Sie tatsächlich auf eine Schaltfläche klicken, mit der ein Cyberkrimineller beispielsweise auf Ihr E-Mail-Konto zugreifen kann.
Eine andere Art von Angriff ändert die tatsächliche Position des Cursors des Benutzers, lässt die Anzeige jedoch unberührt, sodass der Cursor so aussieht, als ob er sich an einer Stelle befindet, sich aber tatsächlich an einer anderen befindet. Klingt so, als wäre es nur ein großer Ärger, aber es kann verwendet werden, um Leute dazu zu bringen, auf Dinge zu klicken, die verraten heikle Informationen 10 Informationen, mit denen Sie Ihre Identität stehlen könnenIdentitätsdiebstahl kann kostspielig sein. Hier sind die 10 Informationen, die Sie zum Schutz benötigen, damit Ihre Identität nicht gestohlen wird. Weiterlesen .
Einige andere kreative Angriffe fallen ebenfalls unter das Dach des Clickjacking. Bei einem kürzlich durchgeführten Angriff wurde beispielsweise eine Malware verwendet, um die Suchanfragen der Nutzer auf Bing, Google und Yahoo auf angepasste (und betrügerische) Ergebnisseiten umzuleiten, die voll von Google-AdSense-Anzeigen waren. Nutzer würden auf die Anzeigen klicken und sie für legitime Suchergebnisse halten, und die Angreifer würden bezahlt.
Einige Leute schließen sogar Social-Engineering-Angriffe in Clickjacking ein. Im Jahr 2009 wurde beispielsweise auf Twitter ein Tweet mit dem Titel "Nicht klicken" und einem Link veröffentlicht. Immer wenn jemand auf den Link klickte, wurde dasselbe von seinem Konto getwittert. Ähnliche Techniken Fünf Facebook-Bedrohungen, die Ihren PC infizieren können, und wie sie funktionieren Weiterlesen wurden verwendet, um geldgenerierende Links auf Facebook zu verbreiten.
Clickjacking ist jedoch nicht nur auf Websites und Apps beschränkt, auf denen Benutzer eine Maus haben. Dies kann auch auf Mobilgeräten geschehen. Ein aktuelles Beispiel ist Android. Lockdroid. E, ein Stück Android Ransomware Malware auf Android: Die 5 Typen, die Sie wirklich kennen müssenMalware kann sowohl mobile als auch Desktop-Geräte betreffen. Aber keine Angst: Ein bisschen Wissen und die richtigen Vorsichtsmaßnahmen können Sie vor Bedrohungen wie Ransomware und Sextortionsbetrug schützen. Weiterlesen das Clickjacking (oder "Touchjacking", wenn Sie es vorziehen) verwendet hat, um Administratorrechte für das Zielgerät zu erlangen. Und wir haben kürzlich von dem gehört Barrierefreiheit Clickjacking-Sicherheitslücke unter Android Wie Android Accessibility Services verwendet werden können, um Ihr Telefon zu hackenIn der Accessibility Suite von Android wurden verschiedene Sicherheitslücken gefunden. Aber wofür wird diese Software überhaupt verwendet? Weiterlesen Smartphones und Tablets.
Was Sie tun können, um Clickjacking zu verhindern
Leider können Sie nicht viel tun, um Clickjacking zu verhindern, es sei denn, Sie sind Website-Administrator. Die bei weitem am häufigsten empfohlene Methode, sich beim Surfen zu schützen, ist die Verwendung NoScript, das Firefox-Add-On, das das Laden von Skripten ohne spezielle Berechtigung von verhindert Sie. NoScript verfügt über einige spezielle Anti-Clickjacking-Funktionen und ist wirklich gut darin, die Arten von Skripten zu erkennen, die transparente Überlagerungen auf Websites erstellen.
Alle ähnlichen Erweiterungen, die Sie verwenden können Verhindern, dass Skripte oder Apps geladen werden Steuern Sie Ihren Webinhalt: Grundlegende Erweiterungen zum Blockieren von Tracking und SkriptenDie Wahrheit ist, dass immer jemand oder etwas Ihre Internetaktivität und -inhalte überwacht. Je weniger Informationen wir diesen Gruppen zur Verfügung stellen, desto sicherer werden wir letztendlich sein. Weiterlesen bietet auch einen gewissen Schutz.
Die beste Abwehr gegen Clickjacking muss jedoch von Site-Administratoren kommen. Viele der Verteidigungen sind eher technisch, und wenn Sie genau wissen möchten, wie sie implementiert werden sollen, empfehlen wir Ihnen, das Clickjacking Defense Cheat Sheet von OWASP zu lesen.
Eine der besten Möglichkeiten, um Clickjacking auf Ihrer Website zu verhindern, besteht darin, einen HTTP-Header mit X-Frame-Optionen einzuschließen, der verhindert, dass der Inhalt Ihrer Website in einen Frame geladen wird. Tag) oder Iframe (
Verhindern Cross-Site-Scripting Was ist Cross-Site Scripting (XSS) und warum ist es eine Sicherheitsbedrohung?Cross-Site-Scripting-Schwachstellen sind heute das größte Sicherheitsproblem für Websites. Studien haben ergeben, dass sie erschreckend häufig sind - 55% der Websites enthielten 2011 XSS-Schwachstellen, so der jüngste Bericht von White Hat Security, der im Juni veröffentlicht wurde ... Weiterlesen (XSS) verringert auch die Wahrscheinlichkeit eines Clickjacking-Angriffs auf eine Site. Da XSS auch für andere Angriffe verwendet wird, ist es eine gute Idee, sich trotzdem davor zu schützen.
Um die Wahrscheinlichkeit eines Clickjacking-Angriffs auf Ihr Mobilgerät zu minimieren, möchten Sie möglicherweise eine Einschränkung vornehmen Sie dürfen nur Apps von vertrauenswürdigen Quellen wie dem Apple App Store oder Google Play herunterladen Geschäft. Dies ist zwar keine Garantie dafür, dass Sie frei von Angriffen sind, aber diese Apps enthalten mit deutlich geringerer Wahrscheinlichkeit schädlichen Code als solche, die Sie von einer Quelle eines Drittanbieters erhalten.
Sie können auch die Verwendung von In-App-Browsern vermeiden, da dies ein häufiger Ort für Touchjacking-Angriffe ist. Stellen Sie das Standardverhalten für das Öffnen von Links in Ihren Apps so ein, dass es im Systembrowser anstelle des In-App-Browsers geöffnet wird, und beseitigen Sie eine weitere potenzielle Schwachstelle in Ihrer Verteidigung.
Eine echte Bedrohung
Wie bereits erwähnt, klingt Clickjacking eher ärgerlich als eine echte Bedrohung für Ihre Sicherheit. Wenn es jedoch effektiv eingesetzt wird, Es kann Angreifern helfen, einige sehr wichtige Informationen zu stehlen oder Zugriff auf Ihre Online-Konten zu erhalten, wo sie ernsthafte Probleme haben könnten Schaden.
Und während der größte Teil der Verteidigung hinter den Kulissen erfolgen muss, können Sie die Skriptblockierung verwenden Erweiterungen, um die meisten dieser Angriffe zu verhindern - wenn Sie mit der Verwendung dieser Art von Add-Ons einverstanden sind, z Sie sind ein bisschen kontrovers AdBlock, NoScript & Ghostery - Das Trifecta des BösenIn den letzten Monaten wurde ich von einer Reihe von Lesern kontaktiert, die Probleme beim Herunterladen unserer Anleitungen hatten oder warum sie die Anmeldeschaltflächen oder Kommentare nicht sehen können, die nicht geladen wurden. und in... Weiterlesen .
Kennen Sie Beispiele für groß angelegte Clickjacking-Angriffe oder waren Sie Opfer eines dieser Angriffe? Verwenden Sie NoScript oder setzen Sie Schutzmaßnahmen auf Ihrer eigenen Website ein? Teilen Sie Ihre Gedanken unten!
Bildnachweis: Mozilla.
Dann ist ein Content-Strategie- und Marketingberater, der Unternehmen dabei hilft, Nachfrage und Leads zu generieren. Er bloggt auch über Strategie- und Content-Marketing auf dannalbright.com.