Annuncio pubblicitario

Quando si tratta di modi in cui hacker e distributori di malware ottengono l'accesso al tuo computer, ci sono alcune cose di cui si parla molto: Ingegneria sociale Che cos'è l'ingegneria sociale? [MakeUseOf Explains]Puoi installare il firewall più potente e costoso del settore. È possibile istruire i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password complesse. Puoi persino bloccare la sala server, ma come ... Leggi di più , SQL Injection Che cos'è un'iniezione SQL? [MakeUseOf Explains]Il mondo della sicurezza di Internet è afflitto da porte aperte, backdoor, falle di sicurezza, trojan, worm, vulnerabilità del firewall e una serie di altri problemi che ci tengono tutti in allerta ogni giorno. Per utenti privati, ... Leggi di più , Attacchi DDoS Che cos'è un attacco DDoS? [MakeUseOf Explains]Il termine DDoS sibila ogni volta che il cyber-attivismo alza la testa in massa. Questo tipo di attacchi fanno notizia a livello internazionale a causa di molteplici ragioni. I problemi che fanno scattare quegli attacchi DDoS sono spesso controversi o altamente ...

instagram viewer
Leggi di più , e così via. Ma un attacco di cui non si parla tanto è tanto nefasto quanto gli altri clickjacking.

Il clickjacking è difficile da rilevare, può interessare praticamente chiunque ed è diffuso in un'ampia varietà di sistemi operativi e applicazioni. Ecco cosa devi sapere sul clickjacking, incluso ciò che è, dove lo vedrai e come proteggerti da esso.

Che cos'è il clickjacking?

Come potresti aver raccolto dal nome, il clickjacking è il processo di dirottamento del clic di un utente su un computer (può anche essere usato per dirottare le sequenze di tasti, ma "keystrokejacking" è molto più difficile dire). Esistono diversi modi in cui questo processo può aver luogo, ma tutti hanno una cosa in comune: un utente pensa di fare clic su una cosa, mentre in realtà fa clic su qualcos'altro.

Molti attacchi clickjacking includono un'interfaccia utente trasparente posizionata su un'altra interfaccia che l'utente si aspetta di vedere (motivo per cui "UI redressing" è un altro nome per questo metodo). Quindi, quando quell'utente pensa di fare clic su qualcosa, in realtà sta facendo clic su qualcos'altro che non può vedere. Potresti pensare di fare clic su un link che ti iscriverà a bella newsletter Scopri qualcosa di nuovo con 10 newsletter e-mail degne di notaOggi sarai sorpreso dalla qualità delle newsletter. Stanno tornando. Iscriviti a queste dieci fantastiche newsletter e scopri perché. Leggi di più , ad esempio quando fai effettivamente clic su un pulsante che consente un accesso criminale informatico al tuo account email.

Un altro tipo di attacco cambia la posizione effettiva del cursore dell'utente, ma lascia intatto il display, in modo che il cursore sembri essere in un punto, ma in realtà si trova in un altro. Sembra che sarebbe solo un grande fastidio, ma può essere usato per indurre le persone a fare clic su cose che danno via informazione sensibile 10 informazioni che vengono utilizzate per rubare la tua identitàIl furto di identità può essere costoso. Ecco le 10 informazioni che devi proteggere per non rubare la tua identità. Leggi di più .

Anche alcuni altri attacchi creativi rientrano nel campo del clickjacking. Ad esempio, un recente attacco ha utilizzato un malware per reindirizzare le ricerche degli utenti su Bing, Google e Yahoo a pagine dei risultati personalizzate (e fraudolente) piene di annunci basati su Google AdSense. Gli utenti farebbero clic sugli annunci, pensando che fossero risultati di ricerca legittimi e gli aggressori verrebbero pagati.

clickjack-trasparenza

Alcune persone includono persino attacchi di tipo social-engineering nel clickjacking; ad esempio, nel 2009, un tweet stava girando su Twitter e diceva "Non fare clic" e includeva un collegamento. Ogni volta che qualcuno ha fatto clic sul collegamento, la stessa cosa sarebbe twittata dal proprio account. Tecniche simili Cinque minacce di Facebook che possono infettare il tuo PC e come funzionano Leggi di più sono stati utilizzati per diffondere link generatori di denaro su Facebook.

Il clickjacking non si limita solo ai siti Web e alle app in cui gli utenti dispongono di un mouse; può succedere anche su dispositivi mobili. Un esempio recente è Android. Lockdroid. E, un pezzo di Ransomware Android Malware su Android: i 5 tipi che devi davvero conoscereIl malware può influire sui dispositivi mobili e desktop. Ma non temere: un po 'di conoscenza e le giuste precauzioni possono proteggerti da minacce come ransomware e truffe sextortion. Leggi di più che utilizzava il clickjacking (o "touchjacking", se preferisci) per ottenere diritti amministrativi sul dispositivo di destinazione. E recentemente abbiamo sentito parlare del Accessibilità Vulnerabilità del clickjacking su Android Come possono essere utilizzati i servizi di accessibilità Android per hackerare il telefonoVarie vulnerabilità di sicurezza sono state rilevate nella suite di accessibilità di Android. Ma a cosa serve questo software? Leggi di più smartphone e tablet.

Cosa puoi fare per prevenire il clickjacking

Sfortunatamente, non puoi fare molto per prevenire il clickjacking a meno che tu non sia un amministratore del sito web. Il metodo di gran lunga più comunemente raccomandato per proteggersi durante la navigazione è l'uso NoScript, il componente aggiuntivo di Firefox che impedisce il caricamento degli script senza autorizzazione specifica da tu. NoScript ha alcune funzioni specificamente anti-clickjacking ed è davvero bravo a rilevare i tipi di script che creano sovrapposizioni trasparenti sui siti Web.

noscript-firefox

Eventuali estensioni simili a cui puoi utilizzare impedire il caricamento di script o app Controlla il tuo contenuto Web: estensioni essenziali per bloccare il monitoraggio e gli scriptLa verità è che c'è sempre qualcuno o qualcosa che monitora la tua attività e contenuti su Internet. Alla fine, meno informazioni concediamo a questi gruppi, più sicuro saremo. Leggi di più fornirà anche una certa protezione.

Le migliori difese contro il clickjacking, tuttavia, devono provenire dagli amministratori del sito. Molte delle difese sono piuttosto tecniche e se vuoi scoprire esattamente come implementarle, ti consiglio di consultare il Cheat Sheet di Clickjacking Defense di OWASP.

Uno dei modi migliori per evitare che il clickjacking sul tuo sito includa un'intestazione HTTP con opzioni x frame che impedisce il caricamento del contenuto del tuo sito in un frame ( tag) o iframe (

x-frame-opzioni

Prevenire cross Site Scripting Che cos'è Cross-Site Scripting (XSS) e perché è una minaccia alla sicurezzaLe vulnerabilità di scripting tra siti sono oggi il problema di sicurezza del sito Web più grande. Gli studi hanno scoperto che sono sorprendentemente comuni: il 55% dei siti Web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno ... Leggi di più (XSS) aiuterà anche a ridurre le possibilità di un attacco clickjacking su un sito. Poiché XSS viene utilizzato anche per altri attacchi, è comunque consigliabile proteggerlo.

Per ridurre al minimo la probabilità di un attacco di clickjacking sul tuo dispositivo mobile, potresti voler limitare te stesso per scaricare app solo da fonti attendibili, come l'Apple App Store o Google Play Memorizzare. Sebbene questa non sia una garanzia che sarai libero dagli attacchi, queste app hanno considerevolmente meno probabilità di includere codice dannoso rispetto a quelle che ricevi da una fonte di terze parti.

Puoi anche evitare di utilizzare i browser in-app, in quanto questo è un luogo comune in cui si verificano gli attacchi di touchjacking. Imposta il comportamento predefinito per l'apertura dei collegamenti nelle tue app in modo che si apra nel browser di sistema, anziché nel browser in-app, e eliminerai un ulteriore potenziale punto debole nella tua difesa.

Una vera minaccia

Come accennato in precedenza, il clickjacking sembra più un fastidio che una vera minaccia per la tua sicurezza, ma se viene utilizzato in modo efficace, può aiutare gli aggressori a rubare alcune informazioni molto importanti o ottenere l'accesso ai tuoi account online, dove potrebbero fare sul serio danno.

E mentre la maggior parte della difesa deve provenire da dietro le quinte, puoi usare il blocco degli script estensioni per prevenire la maggior parte di questi attacchi - se stai bene usando questo tipo di componenti aggiuntivi, come Loro sono un po 'controverso AdBlock, NoScript & Ghostery - The Trifecta Of EvilNegli ultimi mesi sono stato contattato da un buon numero di lettori che hanno avuto problemi a scaricare le nostre guide o perché non vedono i pulsanti di accesso o i commenti non caricarsi; e in ... Leggi di più .

Conosci qualche esempio di attacco clickjacking su larga scala o sei stato vittima di uno di questi attacchi? Usi NoScript o distribuisci difese sul tuo sito Web? Condividi i tuoi pensieri qui sotto!

Credito immagine: Mozilla.

Dann è un consulente di marketing e strategia dei contenuti che aiuta le aziende a generare domanda e lead. Inoltre blog su strategia e content marketing su dannalbright.com.