Tấn công Clickjacking là gì? Các mẹo bảo vệ và ngăn chặn 2021

Nhấp chuột , còn được gọi là Giao diện người dùng sửa đổi tấn công, Xóa giao diện người dùng, Sửa đổi giao diện người dùng, là một kỹ thuật độc hại phổ biến được kẻ tấn công sử dụng để tạo nhiều lớp phức tạp để lừa người dùng nhấp vào nút hoặc liên kết trên một trang khác khi họ định nhấp vào một trang khác. Do đó, kẻ tấn công kiểm soát thành công người dùng nhấp vào liên kết từ một nguồn bên ngoài, trong khi `cướp` nó từ trang gốc. Kỹ thuật này có sử dụng không giới hạn khi nói đến khai thác người dùng. Ví dụ, cuộc tấn công như vậy có thể thuyết phục khách hàng nhập chi tiết ngân hàng của họ vào trang của bên thứ ba phản ánh trang gốc.

Clickjacking

Clickjacking là hoạt động giải trí ô nhiễm, nơi những link ô nhiễm bị ẩn sau những nút hoàn toàn có thể nhấp chính hãng

Một ví dụ phổ biến và cực kỳ phá hoại của kỹ thuật này có thể là khi một kẻ tấn công xây dựng một trang web có một nút trên đó có nội dung “ Nhấp vào đây để tham gia cuộc thi “. Tuy nhiên, ngay bên cạnh nút, họ đặt trong một khung gần như vô hình liên kết đến ` Xóa tất cả liên hệ` trong tài khoản Gmail của bạn `. Các nạn nhân cố gắng bấm vào nút nhưng thay vào đó thực sự nhấp vào nút vô hình. Do đó, kẻ tấn công đã “tấn công” của người dùng “click”, và do đó tên Clickjacking.

Trong thời hạn gần đây, Clickjacking đã triển khai theo cách của mình đến những dịch vụ thông dụng gồm có Adobe Flash Player và Twitter. Một số kẻ tiến công đã biến hóa setup plugin Adobe Flash. Bằng cách tải trang này vào khung nội tuyến vô hình dung, kẻ tiến công hoàn toàn có thể lừa người dùng đổi khác thiết lập bảo mật thông tin của Flash, được cho phép bất kể hoạt ảnh Flash nào sử dụng micrô và máy ảnh của máy tính .
Nói về Twitter, clickjacking xâm nhập vào Twitter. Cuộc tiến công này được nhắm tiềm năng khá mưu trí đến người dùng, buộc họ phải tweet lại một vị trí và Viral thoáng đãng trước khi Twitter bước vào để trấn áp vi-rút .

Cursorjacking

Một loại Clickjacking hoạt động ngụy trang con trỏ chuột là gì và thuyết phục người dùng để thay thế các nhấp chuột của anh ấy đến một vị trí khác trên cùng một trang. Một sự cố phổ biến của Cursorjacking đã được phát hiện trong Mozilla Firefox trên các hệ thống Mac OS X sử dụng Flash, HTML và mã JavaScript, điều này cũng có thể dẫn đến việc gián điệp webcam và thực thi addon độc hại cho phép thực thi phần mềm độc hại trên máy tính của người dùng bị mắc kẹt.

Tương tự như thế nào

Ngoài Cursorjacking, cũng có sự cố Likejacking . Được phổ biến sau sự ra đời của Facebook vào nền văn hóa pop, thuật ngữ tự giải thích này có nghĩa là xâm nhập vào người thích trang Facebook mà anh ta không được biết ban đầu.

Mẹo Bảo vệ Nhấp chuột

Tùy chọn X-Frame

Giải pháp này của Microsoft là một trong những giải pháp hiệu suất cao nhất chống lại những cuộc tiến công clickjacking trên máy tính của bạn. Bạn hoàn toàn có thể gồm có tiêu đề HTTP X-Frame-Options trong toàn bộ những website của bạn. Điều này sẽ ngăn không cho website của bạn được đặt trong một khung. X-Frame được tương hỗ bởi những phiên bản mới nhất của hầu hết những trình duyệt gồm có Safari, Chrome, IE, nhưng hoàn toàn có thể có 1 số ít yếu tố với Firefox. Phần lớn của việc sử dụng X-Frame là cực kỳ đơn thuần, nhưng cần truy vấn vào thông số kỹ thuật sever web và ngôn từ ngữ cảnh trên sever .

Di chuyển các phần tử trên trang của bạn

Kẻ tiến công đang cố gắng nỗ lực đặt clickjacking trên những website của bạn không biết những vị trí hiện tại của những yếu tố từ phía bạn. Anh ta chỉ hoàn toàn có thể đặt những thành phần bị nhiễm của mình dựa trên những thiết lập mặc định. Bạn nên thử và vận động và di chuyển những yếu tố trên trang của mình ; ví dụ, những kẻ tiến công hoàn toàn có thể có dự tính nhắm vào nút Thích của Facebook. Bằng cách vận động và di chuyển thành phần đó đến một vị trí khác, bạn hoàn toàn có thể thuận tiện phát hiện khi xảy ra sự cố như vậy. Vấn đề duy nhất với giải pháp này là cực kỳ khó cho người dùng thông thường triển khai .

URL một lần

Đây là một chiêu thức khá tiên tiến và phát triển để bảo vệ chống lại những kẻ lừa đảo, những người hoàn toàn có thể có kiến ​ ​ thức đủ để vượt qua những bộ lọc cơ bản của bạn. Bạn hoàn toàn có thể làm cho cuộc tiến công trở nên khó khăn vất vả hơn nhiều nếu bạn đưa mã một lần vào URL vào những trang quan trọng. Điều này tương tự như như nonces được sử dụng để ngăn ngừa CSRF nhưng độc lạ theo cách nó gồm có nonces trong những URL để nhắm tiềm năng những trang, không phải trong những hình thức trong những trang đó .

Framebuster Javascript

Một cách khác để thoát khỏi móng vuốt của một cuộc tiến công clickjacking bằng cách kiểm tra mã Javascript để phát hiện. Quá trình này được gọi là frambusting

Mẹo phòng chống Clickjacking

Đánh giá Bảo vệ Email

Cài đặt và kiểm tra bộ lọc spam email mạnh là một cách phát hiện có hiệu suất cao bất kể loại tiến công nào trên thông tin tài khoản của bạn. Tấn công Clickjacking thường mở màn bằng cách lừa người dùng trải qua email truy vấn vào website ô nhiễm. Điều này được thực thi bằng cách tiến hành những email trá hình hoặc được tạo thủ công bằng tay đặc biệt quan trọng trông thật. Chặn email phạm pháp cũng làm giảm năng lực tiến công và tiến công của những tiến công khác .

Sử dụng tường lửa ứng dụng Web

Tường lửa ứng dụng của WEF là một góc nhìn quan trọng của bảo mật thông tin trong trường hợp doanh nghiệp có hầu hết tài liệu của họ trên mạng. Một số những công ty có khuynh hướng bỏ lỡ sự thiết yếu của một và kết thúc lên bị tiến công với sự cố clickjacking lớn. Dữ liệu gần đây đã chỉ ra rằng gần 70 Tỷ Lệ của tổng thể những SMB đã bị tiến công trong 1 số ít năng lượng trong thập kỷ qua. Nó hoàn toàn có thể làm giảm gánh nặng của bạn, giảm đáng kể rủi ro đáng tiếc và ngân sách ít hơn mức bạn hoàn toàn có thể phải đương đầu .
Thật không may, không có giải pháp hoàn hảo nhất nào để ngăn ngừa clickjacking, khi những kẻ tiến công sau cuối sẽ tìm cách vượt qua hầu hết những kỹ thuật. Mặc dù vậy, những giải pháp hiệu suất cao nhất chống lại những cuộc tiến công như vậy sẽ là X-Frame và FrameBuster Javascript .

Bây giờ đọc : Gian lận nhấp chuột và Gian lận quảng cáo trực tuyến là gì?

Source: https://lava.com.vn
Category: Hỏi Đáp