Clickjacking Wat is het en hoe kun je het vermijden?
Als het gaat om manieren waarop hackers en malwaredistributeurs toegang krijgen tot uw computer, zijn er een aantal dingen waar veel over wordt gesproken: social engineering Wat is social engineering? [MakeUseOf Explains] Wat is social engineering? [MakeUseOf Explains] U kunt de sterkste en duurste firewall van de industrie installeren. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. U kunt de serverruimte zelfs vergrendelen - maar hoe ... Lees meer, SQL-injectie Wat is een SQL-injectie? [MakeUseOf Explains] Wat is een SQL-injectie? [MakeUseOf Explains] De wereld van internetbeveiliging wordt geplaagd door open poorten, achterdeurtjes, gaten in de beveiliging, Trojaanse paarden, wormen, kwetsbaarheden voor firewalls en een hele reeks andere problemen die ons dagelijks scherp houden. Voor privé-gebruikers, ... Lees Meer, DDoS-aanvallen Wat is een DDoS-aanval? [MakeUseOf Explains] Wat is een DDoS-aanval? [MakeUseOf Explains] De term DDoS fluit voorbij als cyberactivisme massaal zijn hoofd opsteekt. Dit soort aanvallen maken internationale krantenkoppen vanwege meerdere redenen. De problemen die de start zijn van die DDoS-aanvallen zijn vaak controversieel of zeer ... Lees meer, enzovoort. Maar een aanval waar niet zoveel over wordt gesproken, is net zo schandelijk als de anderen clickjacking.
Clickjacking is moeilijk te detecteren, kan zowat iedereen beïnvloeden en is verspreid over een breed scala aan besturingssystemen en applicaties. Dit is wat u moet weten over clickjacking, inclusief wat het is, waar u het zult zien en hoe u zich ertegen kunt beschermen.
Wat is Clickjacking?
Zoals je misschien hebt gezien bij de naam, is clickjacking het proces waarbij de klik van een gebruiker op een computer wordt gekaapt (het kan ook worden gebruikt om toetsaanslagen te kapen, maar “keystrokejacking” is veel moeilijker te zeggen). Er zijn een aantal manieren waarop dit proces kan plaatsvinden, maar ze hebben allemaal één ding gemeen: een gebruiker denkt dat ze op één ding klikken, terwijl ze in werkelijkheid op iets anders klikken.
Veel clickjacking-aanvallen omvatten een transparante gebruikersinterface die over een andere interface wordt geplaatst die de gebruiker verwacht te zien (en dat is waarom “UI redressing” is een andere naam voor deze methode). Als die gebruiker vervolgens denkt ergens op te klikken, klikken ze feitelijk op iets anders dat ze niet kunnen zien. U denkt misschien dat u op een link klikt die u aanmeldt voor een leuke nieuwsbrief. Learn Something New With 10 Worth-It E-mail Nieuwsbrieven Leer iets nieuws met 10 Worth-It e-mailnieuwsbrieven U zult verrast zijn over de kwaliteit van de nieuwsbrieven van vandaag. Ze maken een comeback. Abonneer u op deze tien fantastische nieuwsbrieven en ontdek waarom. Lees Meer, wanneer u bijvoorbeeld op een knop klikt die cybercrimineel toegang geeft tot uw e-mailaccount.
Een ander type aanval verandert de werkelijke positie van de cursor van de gebruiker, maar laat het display ongemoeid, zodat de cursor eruit ziet alsof hij zich op één plek bevindt, maar zich in een andere bevindt. Het klinkt alsof het een grote ergernis zou zijn, maar het kan worden gebruikt om mensen te laten klikken op dingen die gevoelige informatie weggeven. 10 Stukken informatie die worden gebruikt om je identiteit te stelen 10 stukjes informatie die worden gebruikt om je identiteit te stelen aan het Amerikaanse Bureau of Justice, identiteitsdiefstal slachtoffers meer dan $ 24 miljard in 2012, meer dan inbraak van het huishouden, motor en diefstal van eigendommen. Deze 10 stukjes informatie zijn wat dieven op zoek zijn ... Lees meer .
Sommige andere creatieve aanvallen vallen ook onder de paraplu van clickjacking. Een recente aanval gebruikte bijvoorbeeld een stukje malware om de zoekopdrachten van gebruikers op Bing, Google en Yahoo om te leiden naar aangepaste (en frauduleuze) resultatenpagina's die vol stonden met AdSense-advertenties op Google. Gebruikers klikten op de advertenties en dachten dat het legitieme zoekresultaten waren, en de aanvallers zouden worden betaald.
Sommige mensen nemen zelfs aanvallen van het type social-engineering op in clickjacking; bijvoorbeeld, in 2009, ging een tweet rond Twitter die zei “Klik niet” en bevatte een link. Wanneer iemand op de link klikte, werd hetzelfde getweet vanuit zijn account. Vergelijkbare technieken Vijf Facebook-bedreigingen die je pc kunnen infecteren, en hoe ze werken Vijf Facebook-bedreigingen die je pc kunnen infecteren, en hoe ze werken Lees meer zijn gebruikt om geldgenererende links te verspreiden op Facebook.
Clickjacking is niet alleen beperkt tot websites en apps waarin gebruikers een muis hebben; het kan ook op mobiele apparaten gebeuren. Een recent voorbeeld is Android.Lockdroid.E, een stuk Android ransomware Malware op Android: de 5 soorten die u echt moet weten over malware op Android: de 5 typen die u echt moet weten over malware kan zowel mobiele als desktopapparaten beïnvloeden . Maar wees niet bang: een beetje kennis en de juiste voorzorgsmaatregelen kunnen je beschermen tegen bedreigingen zoals ransomware en sextortion-zwendel. Meer lezen waarbij Clickjacking is gebruikt (of “touchjacking,” als u daar de voorkeur aan geeft) om beheerdersrechten te verkrijgen voor het doelapparaat. En we hebben onlangs gehoord over de kwetsbaarheid van toegankelijkheid Clickjacking op Android Hoe Android-toegankelijkheidsservices kunnen worden gebruikt om uw telefoon te hacken Hoe Android-toegankelijkheidsservices kunnen worden gebruikt om uw telefoon te hacken Beveiligingsonderzoekers hebben een beveiligingsrisico vastgesteld in de toegankelijkheidsservices van Android een aanvaller om controle over het apparaat te krijgen. Laten we kijken hoe u dit kunt voorkomen. Lees Meer smartphones en tablets.
Wat u kunt doen om Clickjacking te voorkomen
Helaas kun je niet heel veel doen om klikping te voorkomen, tenzij je een websitebeheerder bent. Veruit de meest gebruikelijke methode om jezelf te beschermen tijdens het browsen is om NoScript te gebruiken, de Firefox-add-on die voorkomt dat scripts worden geladen zonder specifieke toestemming van jou. NoScript heeft enkele specifiek anti-clickjacking-functies, en is erg goed in het detecteren van de soorten scripts die transparante overlays creëren op websites.
Vergelijkbare uitbreidingen die u kunt gebruiken om te voorkomen dat scripts of apps worden geladen Uw webinhoud regelen: Essentiële uitbreidingen voor blokkeren van tracering en scripts Uw webinhoud beheren: essentiële uitbreidingen voor blokkeren van tracering en scripts De waarheid is dat er altijd iemand of iets toezicht op u houdt Internetactiviteit en inhoud. Uiteindelijk, hoe minder informatie we deze groepen hebben, hoe veiliger we zullen zijn. Meer lezen biedt ook enige bescherming.
De beste verdedigingen tegen clickjacking moeten echter afkomstig zijn van sitebeheerders. Veel van de verdedigingen zijn nogal technisch, en als je precies wilt weten hoe je ze moet implementeren, raad ik aan om de Clickjacking Defence Cheat Sheet te bekijken van OWASP.
Een van de beste manieren om Clickjacking op uw site te voorkomen, is om een X-frame-opties HTTP-header op te nemen die voorkomt dat de inhoud van uw site in een frame wordt geladen ( tag) of iframe (
Voorkomen van cross-site scripting Wat is Cross-Site Scripting (XSS), en waarom is dit een bedreiging voor de beveiliging? Wat is Cross-Site Scripting (XSS), en waarom is dit een beveiligingsbedreiging? Cross-site scriptingkwetsbaarheden zijn tegenwoordig het grootste beveiligingsprobleem van de website. Uit onderzoek is gebleken dat ze schokkend veel voorkomen: 55% van de websites bevatte XSS-kwetsbaarheden in 2011, volgens White Hat Security's laatste rapport, uitgebracht in juni ... Lees meer (XSS) zal ook helpen de kansen op een clickjackingaanval op een site te verkleinen. Omdat XSS ook wordt gebruikt voor andere aanvallen, is het een goed idee om er toch tegen te beschermen.
Om de waarschijnlijkheid van een clickjacking-aanval op uw mobiele apparaat te minimaliseren, wilt u misschien alleen apps downloaden van vertrouwde bronnen, zoals de Apple App Store of de Google Play Store. Hoewel dit geen garantie is dat u geen aanvallen zult hebben, is het aanzienlijk minder waarschijnlijk dat deze apps schadelijke code bevatten dan die u krijgt van een externe bron.
U kunt ook voorkomen dat in-app-browsers worden gebruikt, omdat dit een veelvoorkomende plaats is voor touchjacking-aanvallen. Stel het standaardgedrag in voor het openen van links in uw apps om te openen in de systeembrowser, in plaats van de in-app-browser, en u elimineert nog een potentiële zwakte in uw verdediging.
Een echte dreiging
Zoals eerder vermeld, klinkt clickjacking eerder als hinderlijk dan als een reële bedreiging voor uw veiligheid, maar als het effectief wordt gebruikt, kan het aanvallers helpen belangrijke informatie te stelen of toegang te krijgen tot uw online accounts, waar zij ernstige schade kunnen aanrichten.
En hoewel het grootste deel van de verdediging van achter de schermen moet komen, kun je script-blocking-extensies gebruiken om de meeste van deze aanvallen te voorkomen - als je oke bent met het gebruik van dit soort add-ons, omdat ze een beetje controversieel AdBlock zijn , NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil De afgelopen paar maanden ben ik benaderd door een groot aantal lezers die problemen hebben gehad met het downloaden van onze gidsen, of waarom ze niet kunnen zie de inlogknoppen of commentaren die niet laden; en in ... Lees meer .
Kent u voorbeelden van grootschalige clickjacking-aanvallen of bent u het slachtoffer geworden van een van deze aanvallen? Gebruikt u NoScript of implementeert u alle verdedigingen op uw eigen website? Deel je gedachten hieronder!
Afbeelding tegoed: Mozilla.
Ontdek meer over: Clickjacking, Hacking, Online Security.