Clickjacking, također poznat po imenima poput Korisničko sučelje nadoknađuje napad, UI korektivni napad, UI ispravka, je uobičajena zlonamjerna tehnika koju napadači upotrebljavaju za stvaranje višestruko složenih slojeva kako bi korisnicima izigrali klik na gumb ili vezu na drugoj stranici kada su namjeravali kliknuti na drugu stranicu. Dakle, napadač uspješno kontrolira korisnika klikom na vezu s vanjskog izvora, a otimajući je s originalne stranice. Ova tehnika ima neograničenu upotrebu kada je u pitanju eksploatacija korisnika. Na primjer, takav napad može uvjeriti korisnike da unesu svoje bankovne podatke u stranicu treće strane koja odražava izvorni.
Što je Clickjacking
Klikanje je zlonamjerna aktivnost, u kojoj su zlonamjerne veze skrivene iza originalnih gumba ili veza koji se mogu kliknuti, čime korisnici aktiviraju pogrešnu radnju klikom.
Zajednički i jako destruktivan primjer ove tehnike može biti kada napadač koji gradi web stranicu koja ima gumb na njemu koja kaže "Kliknite ovdje za ulazak u natječaj„. Međutim, uz gumb, stavili su gotovo nevidljivi okvir koji povezuje "Izbriši sve kontakte "svog Gmail računa", Žrtva pokušava kliknuti na gumb, ali zapravo klikne na nevidljivi gumb. Dakle, napadač je "otet" korisnika "klik", a time i naziv Clickjacking.
U posljednje vrijeme, Clickjacking je napravio svoj put do popularnih usluga, uključujući Adobe Flash Player i Twitter. Neki napadači izmijenili su Adobe Flash dodatke. Ako učitavate ovu stranicu u nevidljivu iframe, napadač može previdjeti korisnika u promjeni sigurnosnih postavki Flasha, dajući dopuštenje za bilo koju animaciju Flasha da iskoriste mikrofon i fotoaparat računala.
Govoreći o Twitteru, clickjacking je dobio u Twitter crv. Ovaj je napad bio prilično pametno usmjeren prema korisnicima, prisilivši ih da ponovno postavljaju lokaciju i šire ga široko prije nego što je Twitter ušao u kontrolu virusa.
Što je Cursorjacking
Jedna vrsta Clickjackinga djeluje prikrivajući pokazivač miša i uvjeravajući korisnika da zamijeni svoje klikove na drugo mjesto na istoj stranici. Popularni incident od Cursorjacking otkriven je u Mozilla Firefoxu na sustavima Mac OS X pomoću Flash, HTML i JavaScript koda koji također mogu dovesti do špijanja web kamere i izvršavanja zlonamjernih dodataka koji omogućuju izvođenje zlonamjernog softvera na računalu zarobljenog korisnika.
Što je Likejacking
Osim Cursorjackinga, također su zabilježeni incidenti Likejacking, Napravljen popularnim nakon pojave Facebooka u pop kulturu, taj pojam koji se samo-objašnjava znači otmicu u osobu da bi se svidjela Facebook stranici koju zaista ne bi trebao izvorno znati.
Savjeti za zaštitu clickjackinga
X-Frame Mogućnosti
Ovo rješenje tvrtke Microsoft jedan je od najučinkovitijih napada klikanja na vašem računalu. Možete uključiti HTTP zaglavlje za X-Frame-Options na svim svojim web stranicama. To će spriječiti da se vaša web lokacija stavi u okvir. X-Frame podržava najnovije verzije većine preglednika, uključujući Safari, Chrome i IE, ali mogu imati neke probleme s Firefoxom. Veliki dio korištenja X-Frame je da je iznimno jednostavan, ali treba pristup konfiguraciji web poslužitelja i skriptnim jezikom na poslužitelju.
Premjestite elemente na svoje stranice
Napadač koji pokušava postaviti klikanje na vaše web stranice nije svjestan trenutnih lokacija elemenata s vaše strane. On može staviti zaražene elemente samo na temelju zadanih postavki. Dobro je pokušati premjestiti elemente na svoju stranicu; na primjer, napadači mogu namjeriti ciljati gumb Like Like Like. Premještanjem tog elementa na drugo mjesto možete lako otkriti kada se takav incident odvija. Jedini problem s ovim rješenjem je taj da je iznimno teško normalnim korisnicima.
Jednokratni URL-ovi
Ovo je prilično napredna metoda zaštite od klikerača koji mogu biti dovoljno obrazovani da nadmašuju vaše osnovne filtre. Napad možete učiniti mnogo teže ako uključite jednokratni kôd u URL-ove na ključne stranice. To je slično onome što se ne koristi za sprječavanje CSRF-a, ali jedinstveno na način koji uključuje neprilike u URL-ovima za ciljanje stranica, a ne u obrascima unutar tih stranica.
Framebuster Javascript
Drugi način izbjegavanja kandži napada klikanja jest provjera Javascript koda za otkrivanje. Ovaj se proces zove frambusting
Savjeti za sprječavanje Clickjackinga
Procijenite zaštitu e-pošte
Instaliranje i provjera snažnog filtra za neželjenu e-poštu jedan je od načina učinkovito otkrivanja bilo kakvih napada na vaše račune. Napadi na klikanje obično počinju zavaravanjem korisnika putem e-pošte u posjeti zlonamjernom web mjestu. To se provodi primjenom krivotvorenih ili posebno izrađenih e-poruka koje izgledaju autentično. Blokiranje nelegitimnih poruka e-pošte smanjuje potencijalni napad za klikanje i ubijanje drugih napada.
Koristite vatrozide za web aplikacije
Web aplikacija Vatrozidi WEF-ova su važan aspekt sigurnosti u slučaju tvrtki koje imaju većinu svojih podataka na Internetu. Neke od tih tvrtki imaju tendenciju ignorirati potrebu za jednom i završiti uzimajući napadnut s masivnim Clickjacking incidenata. Nedavni podaci pokazuju da je gotovo 70 posto svih malih i srednjih poduzeća bilo u nekom kapacitetu prošlo posljednjih desetak godina. To može zauzeti ogroman teret vašeg tanjura, uvelike smanjuje rizike i košta manje od gubitka s kojim se suočavate.
Nažalost, nema idealnog rješenja za sprječavanje klikanja, jer će napadači na kraju pronaći načine kako doći do većine tehnika. Usprkos tome, najučinkovitije lijekove protiv takvih napada bit će X-Frame i FrameBuster Javascript.
Sada pročitajte: Što su prijevare klikova i prijevare na mreži oglašavanja?
