Propaganda

Quando se trata de maneiras pelas quais hackers e distribuidores de malware obtêm acesso ao seu computador, há algumas coisas sobre as quais se fala muito: Engenharia social O que é engenharia social? [MakeUseOf explica]Você pode instalar o firewall mais forte e mais caro do setor. Você pode educar os funcionários sobre os procedimentos básicos de segurança e a importância de escolher senhas fortes. Você pode até bloquear a sala do servidor - mas como ... consulte Mais informação , injeção SQL O que é uma injeção de SQL? [MakeUseOf explica]O mundo da segurança na Internet é atormentado por portas abertas, backdoors, brechas de segurança, cavalos de Troia, worms, vulnerabilidades de firewall e uma série de outros problemas que nos mantêm atentos todos os dias. Para usuários particulares, ... consulte Mais informação , Ataques DDoS O que é um ataque DDoS? [MakeUseOf explica]O termo DDoS passa despercebido sempre que o ciberativismo levanta sua cabeça em massa. Esses tipos de ataques são manchetes internacionais por várias razões. Os problemas que impulsionam esses ataques DDoS geralmente são controversos ou altamente ...

instagram viewer
consulte Mais informação , e assim por diante. Mas um ataque que não se fala tanto e tão nefasto quanto os outros é clickjacking.

O clickjacking é difícil de detectar, pode afetar praticamente qualquer pessoa e está espalhado por uma ampla variedade de sistemas operacionais e aplicativos. Aqui está o que você precisa saber sobre o clickjacking, incluindo o que é, onde você o verá e como se proteger.

O que é o Clickjacking?

Como você deve ter percebido a partir do nome, o clickjacking é o processo de seqüestrar o clique de um usuário em um computador (também pode ser usado para seqüestrar pressionamentos de teclas, mas "pressionar teclas para digitar" é muito mais difícil de dizer). Existem várias maneiras de esse processo ocorrer, mas todos eles têm uma coisa em comum: um usuário pensa que está clicando em uma coisa, quando, na realidade, está clicando em outra coisa.

Muitos ataques de clickjacking incluem uma interface de usuário transparente colocada sobre outra interface que o usuário espera ver (e é por isso que "reparação da interface do usuário" é outro nome para esse método). Então, quando esse usuário pensa que está clicando em algo, na verdade está clicando em algo que não pode ver. Você pode pensar que está clicando em um link que o inscreverá para uma boletim legal Aprenda algo novo com 10 boletins por e-mail válidosVocê ficará surpreso com a qualidade dos boletins de notícias hoje. Eles estão voltando. Assine estes dez boletins fantásticos e descubra o porquê. consulte Mais informação , quando você está realmente clicando em um botão que fornece acesso cibercriminoso à sua conta de e-mail, por exemplo.

Outro tipo de ataque altera a posição real do cursor do usuário, mas deixa a exibição intocada, para que o cursor pareça estar em um lugar, mas na verdade esteja em outro. Parece que seria apenas um grande aborrecimento, mas pode ser usado para levar as pessoas a clicarem em coisas que dão informação sensível 10 informações que são usadas para roubar sua identidadeO roubo de identidade pode ser caro. Aqui estão as 10 informações que você precisa proteger para que sua identidade não seja roubada. consulte Mais informação .

Alguns outros ataques criativos também se enquadram no âmbito do clickjacking. Por exemplo, um ataque recente usou um malware para redirecionar as pesquisas dos usuários no Bing, Google e Yahoo para páginas de resultados personalizadas (e fraudulentas) cheias de anúncios do Google-AdSense. Os usuários clicavam nos anúncios, pensando que eram resultados de pesquisa legítimos, e os invasores eram pagos.

transparência do clickjack

Algumas pessoas até incluem ataques do tipo engenharia social no clickjacking; por exemplo, em 2009, um tweet circulava no Twitter dizendo "Não clique" e incluía um link. Sempre que alguém clica no link, a mesma coisa é twittada em sua conta. Técnicas semelhantes Cinco ameaças do Facebook que podem infectar o seu PC e como elas funcionam consulte Mais informação foram usados ​​para espalhar links geradores de dinheiro no Facebook.

O clickjacking não se limita apenas a sites e aplicativos nos quais os usuários têm um mouse; isso também pode acontecer em dispositivos móveis. Um exemplo recente é o Android. Lockdroid. E, um pedaço de Android ransomware Malware no Android: os 5 tipos que você realmente precisa saber sobreO malware pode afetar dispositivos móveis e computadores. Mas não tenha medo: um pouco de conhecimento e as precauções corretas podem protegê-lo contra ameaças como ransomware e golpes de sextortion. consulte Mais informação que usava o clickjacking (ou "touchjacking", se preferir) para obter direitos administrativos no dispositivo de destino. E ouvimos recentemente sobre o Vulnerabilidade de Clickjacking de acessibilidade no Android Como os serviços de acessibilidade do Android podem ser usados ​​para invadir seu telefoneVárias vulnerabilidades de segurança foram encontradas no pacote de acessibilidade do Android. Mas para que esse software é usado? consulte Mais informação smartphones e tablets.

O que você pode fazer para impedir o clickjacking

Infelizmente, não há muito que você possa fazer para impedir o clickjacking, a menos que seja um administrador de site. De longe, o método mais recomendado para se proteger enquanto você navega é usar NoScript, o complemento do Firefox que impede o carregamento de scripts sem autorização específica vocês. O NoScript possui alguns recursos especificamente anti-clickjacking e é realmente bom em detectar os tipos de scripts que criam sobreposições transparentes nos sites.

noscript-firefox

Quaisquer extensões semelhantes que você possa usar para impedir que scripts ou aplicativos sejam carregados Controle seu conteúdo da Web: extensões essenciais para bloquear rastreamento e scriptsA verdade é que sempre há alguém ou algo monitorando sua atividade e conteúdo da Internet. Por fim, quanto menos informações permitirmos a esses grupos, mais seguros estaremos. consulte Mais informação também fornecerá alguma proteção.

As melhores defesas contra o clickjacking, no entanto, precisam vir dos administradores do site. Muitas das defesas são bastante técnicas e, se você quiser descobrir exatamente como implementá-las, recomendo consultar a Folha de Dicas de Defesa contra Clickjacking da OWASP.

Uma das melhores maneiras de impedir o clickjacking em seu site é incluir um cabeçalho HTTP de opções de quadro x que impede que o conteúdo do site seja carregado em um quadro ( tag) ou iframe (

x-frame-options

Prevenção script entre sites O que é o script entre sites (XSS) e por que é uma ameaça à segurançaAs vulnerabilidades de script entre sites são o maior problema de segurança de sites atualmente. Estudos descobriram que eles são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, de acordo com o último relatório da White Hat Security, lançado em junho ... consulte Mais informação (XSS) também ajudará a reduzir as chances de um ataque de clickjacking em um site. Como o XSS também é usado para outros ataques, é uma boa ideia protegê-lo de qualquer maneira.

Para minimizar a probabilidade de um ataque de clickjacking no seu dispositivo móvel, você pode restringir você mesmo para baixar aplicativos de fontes confiáveis, como a Apple App Store ou o Google Play Loja. Embora não seja uma garantia de que você estará livre de ataques, esses aplicativos são consideravelmente menos propensos a incluir código malicioso do que aqueles que você obtém de uma fonte de terceiros.

Você também pode evitar o uso de navegadores no aplicativo, pois esse é um local comum para ataques de touchjacking. Defina o comportamento padrão para a abertura de link nos aplicativos para abrir no navegador do sistema, em vez do navegador no aplicativo, e você eliminará mais uma fraqueza potencial em sua defesa.

Uma ameaça real

Como mencionado anteriormente, o clickjacking parece mais um aborrecimento do que uma ameaça real à sua segurança, mas se for usado com eficácia, isso pode ajudar os invasores a roubar algumas informações muito importantes ou obter acesso às suas contas on-line, onde eles podem ser sérios danificar.

E enquanto a maior parte da defesa tem que vir dos bastidores, você pode usar o bloqueio de scripts extensões para impedir a maioria desses ataques - se você não usar esses tipos de complementos, como eles estão um pouco controverso AdBlock, NoScript e Ghostery - A Tríplice Of EvilNos últimos meses, fui contactado por um bom número de leitores que tiveram problemas para baixar nossos guias ou por que eles não conseguem ver os botões de login ou os comentários não carregando; e em... consulte Mais informação .

Você conhece algum exemplo de ataques de clickjacking em larga escala ou você foi vítima de um desses ataques? Você usa o NoScript ou implementa defesas em seu próprio site? Compartilhe seus pensamentos abaixo!

Crédito da imagem: Mozilla.

Dann é consultor de estratégia e marketing de conteúdo que ajuda as empresas a gerar demanda e leads. Ele também bloga sobre estratégia e marketing de conteúdo em dannalbright.com.