Что такое кликджекинг и как его избежать

[22eee22]

Киберзлодеи постоянно совершенствуют свои методы уклонения от обнаружения. Теперь они могут скрыть, казалось бы, безобидную веб-страницу невидимым слоем, содержащим вредоносные ссылки. Этот метод атаки, известный как кликджекинг, может заставить вас активировать веб-камеру или перевести деньги со своего банковского счета. В этом посте расскажем о различных типах атак с использованием кликджекинга и научим вас защищаться от этой угрозы.



Что это такое
Кликджекинг - это тип кибератаки, при которой невидимая вредоносная ссылка размещается в пользовательском интерфейсе сайта. Поскольку кликджекинг происходит на невидимом слое iframe, загруженном поверх страницы, посетители обычно не могут определить, когда происходит атака.

В атаке с использованием кликджекинга жертвой являются веб-сайт и посетитель. Веб-сайт используется в качестве платформы для атаки, а посетитель становится жертвой атаки.

Некоторые распространенные типы атак с использованием кликджекинга:

• Кража учетных данных
• Активация камеры и/или микрофона
• Загрузка вредоносного ПО
• Подтверждение перевода денег
• Заказ товара по вашим данным
• Определение вашей локации

Намерения для использования кликджекинга не ограничиваются этим списком. Поскольку пользовательские интерфейсы могут быть замаскированы с помощью любых типов ссылок, возможности навредить безграничны.

Ниже описаны наиболее известные типы атак с использованием кликджекинга.

Активация камеры и микрофона
В этой атаке настройки Adobe Flash пользователя незаметно загружаются по другой ссылке. При нажатии на зараженную ссылку пользователи изменяют настройки своего плагина Adobe Flash, тем самым давая злоумышленникам доступ к их веб-камере и микрофону.

Курсорджекинг
‍Курсорджекинг - это форма кликджекинга, при которой создается дублирующий курсор, который прикрепляется к реальному курсору с заданным смещением. Если есть определенная область экрана, на которую может щелкнуть пользователь, злоумышленники могут сместить настоящий курсор, чтобы при перемещении фальшивого курсора в эту область щелкалась вредоносная ссылка.

Курсорджекинг был возможен из-за уязвимостей в Firefox. Эти недостатки безопасности были исправлены в Firefox 30.

Установка вредоносного ПО
Злоумышленник может инициировать загрузку вредоносного ПО, когда пользователь нажимает на зараженную ссылку. Вредоносное ПО может повредить ПО системы или создать окно для будущих атак.



Как не стать жертвой кликджекинга
Если вы хотите узнать, уязвим ли ваш сайт, пробегитесь по шпаргалке OWASP.

Снижение угрозы от кликджекинг-атак может быть достигнуто как на стороне клиента, так и на стороне сервера. Рассмотрим оба варианта.

Предотвращение кликджекинга на стороне сервера
Многие атаки с использованием кликджекинга происходят на дубликатах оригинальных веб-сайтов. Злоумышленник может клонировать сайт и превратить его в Орудие с помощью скрытых на нем ссылок. Помимо последствий для пользователей, вашему бизнесу может быть нанесен непоправимый ущерб. Поэтому вам необходимо убедиться, что ни одна из ваших веб-страниц не может быть заключена в теги <FRAME> или <IFRAME>.

Это можно сделать двумя способами:

• Укажите директиву Content Security Policy frame-ancestors.

Политика безопасности контента (CSP) с ее директивой frame-ancestors - это эффективная тактика против встраивания веб-страниц. Помимо защиты вашего сайта от встраивания iframe, CSP также защищает сайт от межсайтовых скриптов (XSS), одного из наиболее распространенных типов кибератак. Чтобы реализовать эту защиту, необходимо сначала убедиться, что ваш веб-сервер настроен на возврат CSP. После того, как CSP был добавлен на ваш сайт, соответствующие заголовки директивы frame-ancestors могут быть настроены на запрет встраивания.

• Укажите директиву "deny" в x-frame-options

Заголовок ответа x-frame-options указывает, разрешено ли браузеру встраивать ваши веб-страницы во фрейм. Заголовок ответа x-frame-options в конечном итоге станет устаревшим и будет заменен директивой frame-ancestor, поэтому он не должен быть вашим основным методом защиты. Чтобы отправлять правильные HTTP-заголовки x-frame-options с ресурсов вашего веб-сайта, вам необходимо установить для директивы значение "deny".

Предотвращение кликджекинга на стороне клиента
Предотвращение кликджекинга на стороне клиента не так эффективно, как прдотвращение на стороне сервера. Нижеприведенные методы должны использоваться как вспомагательные.

• Скрипт удаления фрейма.

Скрипты удаления фрейма препятствуют работе сайта внутри фрейма. С помощью надстроек JavaScript вы можете указать, как браузер должен реагировать, когда ваша страница загружается во фрейме. Распространенный метод блокировки фреймов - заставить браузер перезагрузить смещенную веб-страницу-ловушку в верхнем окне. Таким образом, веб-сайт-ловушка загружается поверх вредоносного слоя iframe.

• Установка расширений для браузера.

Расширения браузера, предотвращающие кликджекинг, не обеспечивают оптимального взаимодействия с пользователем, поскольку отключают весь JavaScript на загруженных веб-сайтах. Многие популярные веб-сайты, такие как Facebook, Twitter и YouTube, работают на JavaScript, и эти расширения будут препятствовать их работе, поэтому придется вручную указать список надежных веб-сайтов.

 

[berlo]

что то новенькое

 

[bokiya]

буду в курсе

 

[Drake3221]

хорошая статья ,прочитал с интересом

 

[frathi]

однозначно лайк

 

[merto]

расписал все информативно,спасибо

 

[smof]

годно

 

[Stephaniero]

первый раз слышу слово кликджейкинг ,как бы это смешно не было

 

[Darts]

Нормально придумали)

 

[MuggerMan]

Буду аккуратнее спасибо.