Clickjacking: quel est-il, et comment pouvez-vous éviter?

En ce qui concerne les moyens qui gagnent les pirates et les distributeurs de logiciels malveillants accès à votre ordinateur, il y a des choses qui se parle beaucoup: ingénierie sociale

, injection SQL, Les attaques DDoS, etc. Mais une attaque qui ne soit pas parlé autant qui est tout aussi néfaste que les autres est clickjacking.Qu`est-ce que l`ingénierie sociale? [MakeUseOf Explique]Qu`est-ce que l`ingénierie sociale? [MakeUseOf Explique]Vous pouvez installer le plus fort et le pare-feu le plus cher de l`industrie. Vous pouvez renseigner les employés sur les procédures de sécurité de base et l`importance de choisir des mots de passe. Vous pouvez même verrouiller vers le bas la salle des serveurs - mais comment ...Lire la suite

Clickjacking est difficile à détecter, peut affecter à peu près tout le monde, et est répartie sur une grande variété de systèmes d`exploitation et des applications. Voici ce que vous devez savoir sur clickjacking, y compris ce qu`elle est, où vous le verrez, et comment vous protéger contre elle.

Qu`est-ce que Clickjacking?

Comme vous pouvez avoir rassemblé du nom, clickjacking est le processus de détournement d`avion clic d`un utilisateur sur un ordinateur (il peut également être utilisé pour pirater les frappes, mais « keystrokejacking » est beaucoup plus difficile à dire). Il y a plusieurs façons que ce processus peut avoir lieu, mais ils ont tous une chose en commun: un utilisateur pense qu`ils sont en cliquant sur une chose, alors qu`en réalité, ils sont en cliquant sur autre chose.

De nombreuses attaques clickjacking comprennent une interface utilisateur transparente placé sur une autre interface que l`utilisateur attend de voir (ce qui explique pourquoi « UI redressement » est un autre nom pour cette méthode). Puis, quand l`utilisateur pense qu`ils sont en cliquant sur quelque chose, ils sont en fait sur une autre vidéo qu`ils ne peuvent pas voir. Vous pourriez penser que vous êtes en cliquant sur un lien qui vous vous inscrire à un bulletin d`information fraîche, lorsque vous cliquez sur un bouton qui fait donne un accès cybercriminel à votre compte e-mail, par exemple.En savoir quelque chose de nouveau avec 10 Worth-It Bulletins électroniquesEn savoir quelque chose de nouveau avec 10 Worth-It Bulletins électroniquesVous serez surpris de la qualité des bulletins d`information aujourd`hui. Ils font un come-back. Abonnez-vous à ces dix bulletins fantastiques et découvrez pourquoi.Lire la suite

Un autre type d`attaque modifie la position réelle du curseur de l`utilisateur, mais laisse intacte l`écran, de sorte que le curseur semble que ce soit dans un endroit, mais est en fait dans un autre. On dirait que ce serait juste un grand ennui, mais il peut être utilisé pour amener les gens à cliquer sur les choses qui donnent suite information sensible.

D`autres attaques créatives tombent sous l`égide de clickjacking, aussi. Par exemple, une attaque récente a utilisé un morceau de logiciel malveillant pour rediriger les recherches des utilisateurs sur Bing, Google, Yahoo et à mesure (et frauduleuses) les pages de résultats qui étaient pleins de Google AdSense alimenté par annonces. Les utilisateurs seraient cliquer sur les annonces, pensant qu`ils étaient les résultats de recherche légitimes et les attaquants payés.

Certaines personnes comprennent même attaques de type ingénierie sociale, en 2009, un tweet à clickjacking- par exemple circulait dans Twitter qui dit: « Ne cliquez pas sur » et inclus un lien. Chaque fois que quelqu`un a cliqué sur le lien, serait tweeté la même chose de leur compte. Des techniques similaires ont été utilisés pour diffuser des liens générateurs d`argent sur Facebook.Cinq Facebook menaces qui peuvent infecter votre PC, et comment ils fonctionnentCinq Facebook menaces qui peuvent infecter votre PC, et comment ils fonctionnentLire la suite

Clickjacking ne se limite pas aux sites Web et des applications dont les utilisateurs ont une souris, il peut aussi si-passer sur les appareils mobiles. Un exemple récent est Android.Lockdroid.E, un morceau de ransomware Android que clickjacking utilisé (ou « touchjacking » si vous préférez) d`acquérir des droits d`administration au dispositif cible. Nous avons récemment entendu parler de la vulnérabilité Accessibilité Clickjacking sur Android smartphones et tablettes.

Ce que vous pouvez faire pour prévenir Clickjacking

Malheureusement, il n`y a pas beaucoup que vous pouvez faire pour éviter clickjacking sauf si vous êtes un administrateur du site. De loin la méthode la plus recommandée de vous protéger pendant que vous naviguez est d`utiliser NoScript, l`extension de Firefox qui empêche les scripts de chargement sans autorisation spécifique de votre part. NoScript a des caractéristiques spécifiquement anti-clickjacking, et il est vraiment bon pour détecter les types de scripts qui créent des superpositions transparentes sur les sites Web.

Toutes les extensions similaires que vous pouvez utiliser pour empêcher les scripts ou des applications de chargement également fournir une certaine protection.Contrôlez votre contenu Web: Essential extensions de suivi des blocs et des scriptsContrôlez votre contenu Web: Essential extensions de suivi des blocs et des scriptsLa vérité est, il y a toujours quelqu`un ou quelque chose à surveiller votre activité Internet et le contenu. En fin de compte, moins d`informations que nous laisser ces groupes ont le plus sûr que nous serons.Lire la suite

Les meilleures défenses contre clickjacking, cependant, doivent provenir admins du site. La plupart des défenses sont assez techniques, et si vous voulez savoir exactement comment les mettre en œuvre, je vous recommande de vérifier la fiche Cheat Défense Clickjacking de OWASP.

L`une des meilleures façons de s`y prendre pour prévenir clickjacking sur votre site pour inclure un en-tête x-cadre-options HTTP qui empêche le contenu de votre site d`être chargé dans un cadre ( tag) ou iframe (

La prévention cross-site scripting (XSS) contribuera également à réduire les chances d`une attaque clickjacking sur un site. Parce que XSS est également utilisé pour d`autres attaques, il est une bonne idée de protéger contre toute façon.Qu`est-ce Cross-Site Scripting (XSS), & Pourquoi est-il une menace pour la sécuritéQu`est-ce Cross-Site Scripting (XSS), & Pourquoi est-il une menace pour la sécuritévulnérabilités de script intersites sont le plus gros problème de sécurité du site aujourd`hui. Des études ont montré qu`ils sont scandaleusement commun - 55% des sites web contenant des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, sorti en Juin ...Lire la suite

Afin de minimiser la probabilité d`une attaque clickjacking sur votre appareil mobile, vous pouvez vous limiter à seulement télécharger des applications provenant de sources fiables, comme l`Apple App Store ou Google Play Store. Bien que cela ne garantit pas que vous serez libre d`attaques, ces applications sont beaucoup moins susceptibles d`inclure du code malveillant que ceux que vous obtenez à partir d`une source tierce.

Vous pouvez également éviter d`utiliser en application des navigateurs, car cela est un lieu commun pour les attaques de touchjacking se produire. Définir le comportement par défaut pour le lien d`ouverture dans vos applications pour ouvrir dans le navigateur du système, au lieu de l`application dans le navigateur, et vous éliminerez une faiblesse plus de potentiel dans votre défense.

Une menace réelle

Comme mentionné précédemment, clickjacking ressemble plus d`une gêne qu`une réelle menace pour votre sécurité, mais si elle est utilisée efficacement, il peut aider les attaquants voler des informations très importantes ou l`accès de gain à vos comptes en ligne, où ils pourraient causer des dommages graves.

Et alors que la plupart de la défense doit venir de derrière les coulisses, vous pouvez utiliser des extensions de blocage script pour éviter la plupart de ces attaques - si vous êtes d`accord avec l`utilisation de ces types d`add-ons, car ils sont un peu controversé.AdBlock, NoScript & Ghostery - Le Trifecta Of EvilAdBlock, NoScript & Ghostery - Le Trifecta Of EvilAu cours des derniers mois, j`ai été contacté par un bon nombre de lecteurs qui ont eu des problèmes pour télécharger nos guides, ou pourquoi ils ne peuvent pas voir les boutons de connexion ou des commentaires non chargement- et ...Lire la suite

Connaissez-vous des exemples d`attaques de clickjacking à grande échelle, ou si vous avez été victime d`une de ces attaques? Utilisez-vous NoScript ou de déployer des défenses sur votre site? Partagez votre opinion ci-dessous!