Advertentie
Als het gaat om manieren waarop hackers en distributeurs van malware toegang krijgen tot uw computer, zijn er een aantal dingen waarover veel wordt gesproken: social engineering Wat is social engineering? [MakeUseOf Explains]U kunt de sterkste en duurste firewall van de branche installeren. U kunt werknemers informeren over basisbeveiligingsprocedures en het belang van het kiezen van sterke wachtwoorden. U kunt zelfs de serverruimte vergrendelen - maar hoe ... Lees verder , SQL injectie Wat is een SQL-injectie? [MakeUseOf Explains]De wereld van internetbeveiliging wordt geplaagd door open poorten, achterdeuren, beveiligingsgaten, Trojaanse paarden, wormen, firewall-kwetsbaarheden en een hele reeks andere problemen die ons elke dag scherp houden. Voor particuliere gebruikers, ... Lees verder , DDoS-aanvallen Wat is een DDoS-aanval? [MakeUseOf Explains]De term DDoS fluit voorbij wanneer cyberactivisme massaal de kop opsteekt. Dit soort aanvallen halen om verschillende redenen internationale krantenkoppen. De problemen die deze DDoS-aanvallen een vliegende start geven, zijn vaak controversieel of zeer ... Lees verder , enzovoort. Maar één aanval waarover niet zoveel wordt gesproken, is net zo schandalig als de andere clickjacking.
Clickjacking is moeilijk te detecteren, kan vrijwel iedereen treffen en is verspreid over een grote verscheidenheid aan besturingssystemen en applicaties. Dit is wat u moet weten over clickjacking, inclusief wat het is, waar u het zult zien en hoe u zich ertegen kunt beschermen.
Wat is Clickjacking?
Zoals je misschien uit de naam hebt afgeleid, is clickjacking het proces van het kapen van de klik van een gebruiker op een computer (het kan ook worden gebruikt om toetsaanslagen te kapen, maar 'toetsaanslagen' is een stuk moeilijker zeggen). Er zijn een aantal manieren waarop dit proces kan plaatsvinden, maar ze hebben allemaal één ding gemeen: een gebruiker denkt dat ze op één ding klikken, terwijl ze in werkelijkheid op iets anders klikken.
Veel clickjacking-aanvallen bevatten een transparante gebruikersinterface die over een andere interface wordt geplaatst die de gebruiker verwacht te zien (daarom is "UI-redressing" een andere naam voor deze methode). Als die gebruiker vervolgens denkt dat hij ergens op klikt, klikt hij op iets anders dat hij niet kan zien. U denkt misschien dat u op een link klikt waarmee u zich aanmeldt voor een coole nieuwsbrief Leer iets nieuws met 10 waardevolle e-mailnieuwsbrievenU zult vandaag versteld staan van de kwaliteit van nieuwsbrieven. Ze maken een comeback. Abonneer u op deze tien fantastische nieuwsbrieven en ontdek waarom. Lees verder , wanneer u bijvoorbeeld op een knop klikt die cybercriminelen bijvoorbeeld toegang geeft tot uw e-mailaccount.
Een ander type aanval verandert de feitelijke positie van de cursor van de gebruiker, maar laat het scherm onaangeroerd, zodat de cursor eruitziet alsof hij zich op de ene plaats bevindt, maar eigenlijk op een andere. Klinkt alsof het gewoon een grote ergernis zou zijn, maar het kan worden gebruikt om mensen te laten klikken op dingen die weggeven gevoelige informatie 10 stukjes informatie die worden gebruikt om uw identiteit te stelenIdentiteitsdiefstal kan kostbaar zijn. Hier zijn de 10 stukjes informatie die u moet beschermen, zodat uw identiteit niet wordt gestolen. Lees verder .
Sommige andere creatieve aanvallen vallen ook onder de paraplu van clickjacking. Een recente aanval gebruikte bijvoorbeeld een stukje malware om de zoekopdrachten van gebruikers op Bing, Google en Yahoo om te leiden naar aangepaste (en frauduleuze) resultatenpagina's die vol stonden met door Google AdSense aangedreven advertenties. Gebruikers zouden op de advertenties klikken, omdat ze dachten dat het legitieme zoekresultaten waren, en de aanvallers zouden worden betaald.
Sommige mensen nemen zelfs aanvallen van het type 'social engineering' op in clickjacking; in 2009 ging er bijvoorbeeld een tweet rond Twitter met de tekst 'Klik niet' en met een link. Telkens wanneer iemand op de link klikte, werd hetzelfde vanuit hun account getweet. Vergelijkbare technieken Vijf Facebook-bedreigingen die uw pc kunnen infecteren en hoe ze werken Lees verder zijn gebruikt om geldgenererende links op Facebook te verspreiden.
Clickjacking is echter niet alleen beperkt tot websites en apps waarin gebruikers een muis hebben; het kan ook op mobiele apparaten gebeuren. Een recent voorbeeld is Android. Lockdroid. E, een stukje Android-ransomware Malware op Android: de 5 typen die u echt moet kennenMalware kan zowel mobiele als desktopapparaten beïnvloeden. Maar wees niet bang: een beetje kennis en de juiste voorzorgsmaatregelen kunnen je beschermen tegen bedreigingen zoals ransomware en sextortion-oplichting. Lees verder die clickjacking (of 'touchjacking') gebruikten om administratieve rechten op het doelapparaat te verkrijgen. En we hebben onlangs gehoord over de Toegankelijkheid Clickjacking-kwetsbaarheid op Android Hoe Android-toegankelijkheidsservices kunnen worden gebruikt om uw telefoon te hackenEr zijn verschillende beveiligingsproblemen gevonden in de toegankelijkheidssuite van Android. Maar waar wordt deze software zelfs voor gebruikt? Lees verder smartphones en tablets.
Wat u kunt doen om clickjacking te voorkomen
Helaas kunt u niet veel doen om clickjacking te voorkomen, tenzij u een websitebeheerder bent. Veruit de meest aanbevolen methode om jezelf te beschermen tijdens het browsen, is om te gebruiken NoScript, de Firefox-add-on die voorkomt dat scripts worden geladen zonder specifieke toestemming van u. NoScript heeft een aantal specifieke anti-clickjacking-functies en is erg goed in het detecteren van de soorten scripts die transparante overlays op websites creëren.
Alle vergelijkbare extensies die u kunt gebruiken voorkomen dat scripts of apps worden geladen Beheer uw webinhoud: essentiële uitbreidingen om tracking en scripts te blokkerenDe waarheid is dat er altijd iemand of iets is die uw internetactiviteit en inhoud controleert. Uiteindelijk, hoe minder informatie we deze groepen geven, hoe veiliger we zullen zijn. Lees verder zal ook enige bescherming bieden.
De beste verdediging tegen clickjacking moet echter afkomstig zijn van sitebeheerders. Veel van de verdedigingen zijn nogal technisch en als je precies wilt weten hoe je ze moet implementeren, raad ik je aan om de Clickjacking Defense Cheat Sheet van OWASP te bekijken.
Een van de beste manieren om clickjacking op uw site te voorkomen, is om een HTTP-header met x-frame-opties op te nemen die voorkomt dat de inhoud van uw site in een frame wordt geladen ( tag) of iframe (
Voorkomen cross-site scripting Wat is Cross-Site Scripting (XSS) en waarom het een beveiligingsrisico isCross-site scripting-kwetsbaarheden zijn tegenwoordig het grootste beveiligingsprobleem van websites. Studies hebben aangetoond dat ze schokkend vaak voorkomen: volgens het laatste rapport van White Hat Security, uitgebracht in juni... bevatte 55% van de websites XSS-kwetsbaarheden in 2011. Lees verder (XSS) helpt ook om de kans op een clickjacking-aanval op een site te verkleinen. Omdat XSS ook voor andere aanvallen wordt gebruikt, is het toch een goed idee om je ertegen te beschermen.
Om de kans op een clickjacking-aanval op uw mobiele apparaat te minimaliseren, wilt u deze misschien beperken om alleen apps te downloaden van vertrouwde bronnen, zoals de Apple App Store of Google Play Winkel. Hoewel dit geen garantie is dat u vrij bent van aanvallen, bevatten deze apps aanzienlijk minder vaak schadelijke code dan die van een externe bron.
U kunt ook voorkomen dat u in-app-browsers gebruikt, omdat dit een veelvoorkomende plaats is voor touchjacking-aanvallen. Stel het standaardgedrag voor het openen van links in uw apps in om in de systeembrowser te openen, in plaats van in de app-browser, en u elimineert nog een potentiële zwakte in uw verdediging.
Een echte bedreiging
Zoals eerder vermeld, klinkt clickjacking meer als een ergernis dan als een echte bedreiging voor uw veiligheid, maar als het effectief wordt gebruikt, het kan aanvallers helpen om heel belangrijke informatie te stelen of toegang te krijgen tot uw online accounts, waar ze serieus kunnen zijn schade.
En hoewel de meeste verdediging achter de schermen moet komen, kunt u scriptblokkering gebruiken extensies om de meeste van deze aanvallen te voorkomen - als je het goed vindt om dit soort add-ons te gebruiken, zoals zij zijn een beetje controversieel AdBlock, NoScript & Ghostery - The Trifecta Of EvilIn de afgelopen paar maanden ben ik benaderd door een groot aantal lezers die problemen hebben gehad met het downloaden van onze gidsen, of waarom ze niet kunnen zien dat de inlogknoppen of opmerkingen niet worden geladen; en in... Lees verder .
Kent u voorbeelden van grootschalige clickjacking-aanvallen of bent u het slachtoffer geweest van een van deze aanvallen? Gebruikt u NoScript of zet u verdedigingen in op uw eigen website? Deel uw mening hieronder!
Afbeelding tegoed: Mozilla.
Dann is een contentstrategie- en marketingconsultant die bedrijven helpt bij het genereren van vraag en leads. Hij blogt ook over strategie en contentmarketing op dannalbright.com.
