Dávajte pozor na neviditeľného nepriateľa.
Nemôžu byť videní, nemôžu byť odôvodnení a chcú zdvihnúť vaše kliknutia. Clickjackerovia sa odohrávajú od roku 2008, no v poslednej dobe dostávajú oveľa viac noviniek vďaka novej vlne Clickjackingových útokov spáchaných proti používateľom Facebooku.
Čo je Clickjacking?
Clickjacking môže znieť ako posledná podzemná tanečná šialenstvo, ale je to ďaleko od nej. Clickjacking sa vyskytuje vtedy, keď podvodník alebo iný internetový zlý človek umiestni neviditeľné tlačidlo alebo iný prvok používateľského rozhrania nad hornú časť tlačidla na obrazovke s nevidiacou webovou stránkou alebo prvku rozhrania pomocou vrstvy transparentnosti (ktorú nemôžete vidieť).
Nevinná webová stránka môže mať tlačidlo, ktoré znie: "Kliknite sem, ak chcete vidieť video načervenalého mačička, ktoré je roztomilé a roztomilé", ale skryté v hornej časti tohto tlačidla je neviditeľné tlačidlo, ktoré je vlastne odkazom na niečo, čo by ste nemali inak chcete kliknúť, napríklad tlačidlo, ktoré:
- Vás vyzve na zmenu nastavení ochrany osobných údajov vo vašom účte Facebook
- Triky, ktoré ste si "obľúbili" niečo, čo by ste normálne nepáčili (aka Likejacking)
- Túžite, aby ste sa pridali ako sledovateľov Twitteru pre niekoho, kto si vás nezaslúži
- Triky, ktoré vám umožňujú niečo v počítači (napríklad mikrofón alebo fotoaparát)
- Vyskúšate, aby ste sa dostali do preplneného divadla a kričali "Shih Tzu" v hornej časti pľúc. (ok, ok, pridal som posledný, aby som zistil, či stále venujete pozornosť).
Mnohokrát Clickjacker načíta legitímnu webovú stránku do rámčeka a potom prekryje svoje neviditeľné tlačidlá na vrchole skutočného webu.
Ako môžete zabrániť tomu, aby vaše kliknutia boli kliknutí?
1. Aktualizujte svoj internetový prehliadač a zásuvné moduly, napríklad Flash
Ak ste váš prehliadač neaktualizovali na najnovšiu a najväčšiu dostupnú verziu, nie je to len chýbajúce aktualizácia, ktorá by vám mohla zabrániť v získavaní Clickjacked, ale tiež nepoužívate iné aktualizácie zabezpečenia, ktoré sú súčasťou novších verzií prehliadačov Firefox, IE, Chrome a iných internetových prehliadačov. Aktualizujte svoj prehliadač na najnovšiu možnú dostupnú verziu opravy. Je tiež dobré skontrolovať, či je aktuálnejšia verzia vášho prehliadača ako aktuálna inštalácia.
Mali by ste tiež aktualizovať doplnky prehliadača , napríklad Flash, pretože niektoré staršie verzie môžu byť zraniteľné voči útokom Clickjacking. Ak chcete aktualizovať doplnky prehliadača, navštívte webové stránky každého výrobcu doplnkov a stiahnite si najnovšiu verziu. Ak chcete napríklad aktualizovať flash, navštívte lokalitu Flash spoločnosti Adobe.
Ďalšie informácie o tom, ako udržať počítač aktuálny, nájdete v našom článku: Ako udržať krok s najnovšími bezpečnostnými zraniteľnosťami a záplatami
Tu sú niektoré ďalšie skvelé články týkajúce sa bezpečnosti prehliadača:
2. Stiahnite si softvér Clickjacking Detection / Prevention
Zatiaľ čo niektoré internetové prehliadače ponúkajú obmedzenú ochranu proti kliknutiu, existuje niekoľko robustných zásuviek na detekciu / prevenciu Clickjackingu, ktoré sú k dispozícii pre prehliadače ako Firefox. Niektoré z nich sú dokonca zadarmo. Tu je niekoľko známych a uznávaných:
- NoScript - bezplatný (donation-ware) anti-clickjacking plug-in pre Firefox.
- Comitari Webová ochrana Suite-Home LE (obmedzená verzia) - obmedzená funkcia bezplatná verzia Comitari Web Protection Suite. Verzia LE obsahuje funkcie ochrany proti kliknutiu.
Prevencia clickjackingu nie je len zodpovednosťou používateľa. Webové stránky a vývojári webových aplikácií zohrávajú tiež úlohu pri prevencii zneužívania ich obsahu spoločnosťou Clickjackers
S lepším vzdelávaním používateľov o nebezpečenstve Clickjackingu, ako rozpoznať útoky a čo s nimi robiť, spolu s podporou vývojárov webových stránok a webových aplikácií pri kódovaní, aby sa zabránilo Clickjackingu, možno bude svet bez denníkov Clickjackers.