İlan

Bilgisayar korsanlarının ve kötü amaçlı yazılım dağıtıcılarının bilgisayarınıza erişme yolları söz konusu olduğunda, çok fazla konuşulan bazı şeyler vardır: sosyal mühendislik Sosyal Mühendislik Nedir? [Açıklamalar MakeUseOf]Sektörün en güçlü ve en pahalı güvenlik duvarını kurabilirsiniz. Temel güvenlik prosedürleri ve güçlü şifreler seçmenin önemi hakkında çalışanları eğitebilirsiniz. Sunucu odasını bile kilitleyebilirsiniz - ama nasıl ... Daha fazla oku , SQL enjeksiyonu SQL Enjeksiyonu Nedir? [Açıklamalar MakeUseOf]İnternet güvenliği dünyası açık portlar, arka kapılar, güvenlik açıkları, Truva atları, solucanlar, güvenlik duvarı güvenlik açıkları ve hepimizi her gün ayak parmaklarımızda tutan bir dizi başka sorunla boğuşuyor. Özel kullanıcılar için ... Daha fazla oku , DDoS saldırıları DDoS Saldırısı Nedir? [Açıklamalar MakeUseOf]DDoS terimi, siber aktivizm başını her büyüttüğünde ıslık çalar. Bu tür saldırılar birçok nedenden ötürü uluslararası manşetlerde. Bu DDoS saldırılarını hızlı bir şekilde başlatan sorunlar genellikle tartışmalı veya oldukça ... Daha fazla oku

instagram viewer
, ve bunun gibi. Ama hakkında konuşulmayan bir saldırı, diğerleri kadar hain Clickjacking.

Clickjacking'i tespit etmek zordur, hemen hemen herkesi etkileyebilir ve çok çeşitli işletim sistemlerine ve uygulamalara yayılmıştır. Aşağıda, ne olduğunu, nerede göreceğinizi ve kendinizi buna karşı nasıl koruyacağınızı da içeren tıklamajacking hakkında bilmeniz gerekenler yer almaktadır.

Clickjacking Nedir?

Adından toplamış olabileceğiniz gibi, tıklamajacking, bir kullanıcının tıklama oranını ele geçirme işlemidir. bilgisayar (tuş vuruşlarını ele geçirmek için de kullanılabilir, ancak “tuş vuruşu” çok daha zordur söyle). Bu sürecin gerçekleşmesinin birkaç yolu vardır, ancak hepsinin ortak bir yanı vardır: bir kullanıcı bir şeyi tıkladıklarını düşünür, gerçekte başka bir şeyi tıkladıklarını düşünür.

Çoğu clickjacking saldırısı, kullanıcının görmeyi beklediği başka bir arayüz üzerine yerleştirilmiş şeffaf bir kullanıcı arayüzü içerir (bu nedenle “UI düzeltme” bu yöntem için başka bir addır). Ardından, kullanıcı bir şeyi tıkladığını düşündüğünde aslında göremedikleri başka bir şeyi tıklar. Size kaydolmak için bir bağlantıyı tıkladığınızı düşünebilirsiniz. havalı bülten 10 Değerli E-posta Bülteniyle Yeni Bir Şey ÖğreninBugün bültenlerin kalitesine şaşıracaksınız. Geri dönüş yapıyorlar. Bu on muhteşem bültene abone olun ve nedenini öğrenin. Daha fazla oku örneğin, e-posta hesabınıza siber suçlu erişimi sağlayan bir düğmeyi tıkladığınızda.

Başka bir saldırı türü, kullanıcının imlecinin gerçek konumunu değiştirir, ancak ekrana dokunulmaz, böylece imleç bir yerde gibi görünür, ancak aslında başka bir yerde bulunur. Kulağa büyük bir sıkıntı gibi gelebilir, ama insanları veren şeyleri tıklatmak için kullanılabilir hassas bilgi Kimliğinizi Çalmak için Kullanılan 10 Adet BilgiKimlik hırsızlığı maliyetli olabilir. Kimliğiniz çalınmaması için korumanız gereken 10 bilgi. Daha fazla oku .

Diğer bazı yaratıcı saldırılar da clickjacking şemsiyesi altına giriyor. Örneğin, son zamanlarda yapılan bir saldırı, kullanıcıların Bing, Google ve Yahoo'daki aramalarını Google-AdSense destekli reklamlarla dolu özelleştirilmiş (ve hileli) sonuç sayfalarına yönlendirmek için bir kötü amaçlı yazılım parçası kullandı. Kullanıcılar, meşru arama sonuçları olduklarını düşünerek reklamları tıklar ve saldırganlara ödeme yapılır.

clickjack şeffaflık

Bazı insanlar, tıklama becerisine sosyal mühendislik tipi saldırılar bile dahil eder; örneğin, 2009'da Twitter'da "Tıklamayın" diyen ve bir bağlantı içeren bir tweet gidiyordu. Birisi bağlantıyı her tıkladığında, aynı şey hesabından tweetlenir. Benzer teknikler Bilgisayarınızı Enfekte Eden Beş Facebook Tehdidi ve Nasıl Çalışırlar Daha fazla oku Facebook'ta para üreten bağlantılar yaymak için kullanıldı.

Clickjacking yalnızca kullanıcıların fare içeren web siteleri ve uygulamalarla sınırlı değildir; mobil cihazlarda da olabilir. Son örneklerden biri Android. Lockdroid. E, bir parça Android fidye yazılımı Android'de Kötü Amaçlı Yazılım: Gerçekten Bilmeniz Gereken 5 TürKötü amaçlı yazılımlar, mobil cihazların yanı sıra mobil cihazları da etkileyebilir. Ancak korkmayın: biraz bilgi ve doğru önlemler sizi fidye yazılımı ve sextortion dolandırıcılığı gibi tehditlerden koruyabilir. Daha fazla oku hedef cihaza yönetici haklarını kazanmak için clickjacking (veya isterseniz "touchjacking") kullanan Ve son zamanlarda Android'de Erişilebilirlik Clickjacking güvenlik açığı Android Erişilebilirlik Hizmetleri Telefonunuzu Hack Etmek İçin Nasıl KullanılabilirAndroid'in Erişilebilirlik paketinde çeşitli güvenlik açıkları bulundu. Peki bu yazılım ne için kullanılıyor? Daha fazla oku akıllı telefonlar ve tabletler.

Clickjacking'i Önlemek için Yapabilecekleriniz

Maalesef, bir web sitesi yöneticisi değilseniz tıklama tıklamasını önlemek için yapabileceğiniz çok fazla bir şey yoktur. İnternette gezinirken kendinizi korumanın en yaygın olarak önerilen yöntemi kullanmaktır. NoScript, komut dosyalarının belirli bir yetkilendirme olmadan yüklenmesini engelleyen Firefox eklentisi sen. NoScript, bazı özel olarak tıklama önleme özelliklerine sahiptir ve web sitelerinde şeffaf kaplamalar oluşturan komut dosyası türlerini tespit etmede gerçekten iyidir.

noscript firefox

Kullanabileceğiniz benzer uzantılar komut dosyalarının veya uygulamaların yüklenmesini önleme Web İçeriğinizi Kontrol Edin: İzleme ve Komut Dosyalarını Engelleyen Temel UzantılarGerçek şu ki, her zaman İnternet etkinliğinizi ve içeriğinizi izleyen biri veya bir şey vardır. Sonuçta, bu grupların daha az bilgiye sahip olacağımızdan daha güvenli olacağız. Daha fazla oku ayrıca bazı koruma sağlayacaktır.

Bununla birlikte, clickjacking'e karşı en iyi savunmaların site yöneticilerinden gelmesi gerekir. Savunmaların birçoğu oldukça tekniktir ve bunları nasıl uygulayacağınızı tam olarak öğrenmek istiyorsanız, OWASP'den Clickjacking Defense Cheat Sheet'e göz atmanızı tavsiye ederim.

Sitenizde tıklama önleme işlemini önlemenin en iyi yollarından biri, sitenizin içeriğinin bir çerçeveye yüklenmesini engelleyen bir x-frame-seçenekleri HTTP üstbilgisi içermesidir ( etiketi) veya iframe (

x-kare-seçenekleri

önleme siteler arası komut dosyası oluşturma Siteler Arası Komut Dosyası (XSS) Nedir ve Neden Güvenlik TehdidiSiteler arası komut dosyası oluşturma güvenlik açıkları bugün en büyük web sitesi güvenlik sorunudur. Araştırmalar, şok edici derecede yaygın olduklarını keşfetti - Haziran ayında yayınlanan White Hat Security'nin son raporuna göre, web sitelerinin% 55'i XSS güvenlik açıklarını içeriyordu ... Daha fazla oku (XSS), bir siteye yapılan tıklama saldırısı olasılığını azaltmaya da yardımcı olacaktır. XSS diğer saldırılar için de kullanıldığından, yine de saldırılara karşı korunmak iyi bir fikirdir.

Mobil cihazınıza bir tıklama saldırısı olasılığını en aza indirmek için kısıtlamak isteyebilirsiniz yalnızca Apple App Store veya Google Play gibi güvenilir kaynaklardan uygulama indirmeye çalışın Mağaza. Bu, saldırılardan arınmış olacağınızın bir garantisi olmasa da, bu uygulamaların üçüncü taraf bir kaynaktan aldığınızdan daha kötü niyetli kod içerme olasılığı daha düşüktür.

Ayrıca, uygulama içi tarayıcıları kullanmaktan da kaçınabilirsiniz, çünkü burası dokunmatik saldırıların yaygın olarak gerçekleştiği bir yerdir. Uygulamalarınızdaki bağlantı açma için varsayılan davranışı, uygulama içi tarayıcı yerine sistem tarayıcısında açılacak şekilde ayarlayın; savunmanızda bir potansiyel zayıflığı daha ortadan kaldıracaksınız.

Gerçek Bir Tehdit

Daha önce de belirtildiği gibi, clickjacking, güvenliğiniz için gerçek bir tehdit olmaktan çok rahatsızlık gibi geliyor, ancak etkili bir şekilde kullanılıyorsa, saldırganların çok önemli bazı bilgileri çalmasına veya çevrimiçi hesaplarınıza erişebilmelerine yardımcı olabilir. hasar.

Ve savunmanın çoğu perde arkasından gelmek zorunda olsa da, komut dosyası engelleme kullanabilirsiniz saldırıların çoğunu önlemek için uzantılar - bu tür eklentileri kullanmakta sorun yaşıyorsanız, onlar konum biraz tartışmalı AdBlock, NoScript ve Ghostery - Kötülüğün ÜçlemesiGeçtiğimiz birkaç ay boyunca, rehberlerimizi indirmede sorun yaşayan çok sayıda okuyucu veya neden giriş düğmelerinin veya yorumların yüklenmediğini göremediklerini gördüm; ve... Daha fazla oku .

Büyük ölçekli tıklama saldırılarına ilişkin herhangi bir örnek biliyor musunuz veya bu saldırılardan birinin kurbanı oldunuz mu? NoScript kullanıyor musunuz veya kendi web sitenizde herhangi bir savunma kullanıyor musunuz? Düşüncelerinizi aşağıda paylaşın!

Resim kredisi: Mozilla.

Dann, şirketlerin talep ve potansiyel müşteriler yaratmasına yardımcı olan bir içerik stratejisi ve pazarlama danışmanıdır. Ayrıca dannalbright.com'da strateji ve içerik pazarlamasıyla ilgili bloglar yapıyor.