פרסומת
כשמדובר בדרכים שבהן האקרים ומפיצי תוכנה זדונית מקבלים גישה למחשב שלך, ישנם כמה דברים שמדברים עליהם רבות: הנדסה חברתית מהי הנדסה חברתית? [MakeUseOf מסביר]אתה יכול להתקין את חומת האש החזקה והיקרה ביותר בתעשייה. אתה יכול לחנך עובדים לגבי נהלי אבטחה בסיסיים והחשיבות של בחירת סיסמאות חזקות. אתה יכול אפילו לבצע נעילה בחדר השרת - אבל איך ... קרא עוד , הזרקת SQL מהי הזרקת SQL? [MakeUseOf מסביר]עולם האבטחה באינטרנט מכוסה בנמלים פתוחים, דלתות אחוריות, חורי אבטחה, סוסים טרויאניים, תולעים, פגיעויות בחומת אש ועוד שלל נושאים אחרים שמשאירים את כולנו על בהונותינו מדי יום. למשתמשים פרטיים, ... קרא עוד , מתקפות DDoS מהי התקפת DDoS? [MakeUseOf מסביר]המונח DDoS שורק על פניו בכל פעם שהסייבר-אקטיביזם מעלה את ראשו בהמוניו. פיגועים מסוג זה עולים לכותרות בינלאומיות בגלל סיבות מרובות. הנושאים שמפעילים את התקפות ה- DDoS הם לעתים קרובות שנוי במחלוקת או מאוד ... קרא עוד , וכולי. אבל על התקפה אחת שלא מדברים עליה באותה מידה שהיא פחות מגוחכת כמו האחרות לחיצה על קליקים.
קשה לאתר זיהוי קליקים, יכול להשפיע כמעט על כל אחד, ומתפרש על מגוון רחב של מערכות הפעלה ויישומים. הנה מה שאתה צריך לדעת על jackjacking, כולל מה זה, איפה אתה תראה אותו ואיך להגן על עצמך מפני זה.
מה זה לחיצה על קליקים?
כפי שאולי קיבלת מהשם, jackjacking הוא תהליך חטיפת הקליק של המשתמש על מחשב (ניתן להשתמש בו גם כדי לחטוף הקשות על מקשים, אבל "קשה לחלץ את המפתח" קשה יותר אמר). יש כמה דרכים שתהליך זה יכול להתרחש, אך לכולם יש דבר אחד משותף: משתמש חושב שהוא לוחץ על דבר אחד, כאשר במציאות הוא לוחץ על משהו אחר.
התקפות רבות מסוג jackjacking כוללות ממשק משתמש שקוף שמונח על גבי ממשק אחר שהמשתמש מצפה לראות (וזו הסיבה ש- "UR-redressing" הוא שם נוסף לשיטה זו) ואז, כאשר אותו משתמש חושב שהוא לוחץ על משהו, הוא בעצם לוחץ על משהו אחר שהוא לא יכול לראות. אתה עשוי לחשוב שאתה לוחץ על קישור שיירשם אותך ל- עלון מגניב למד משהו חדש עם 10 עלוני דוא"ל שווה ערךתופתעו מאיכות עלוני היום. הם עושים קאמבק. הירשמו לעשרת העלונים הפנטסטיים הללו וגלו מדוע. קרא עוד , כשאתה לוחץ בפועל על כפתור שמעניק גישה פלילית ברשת לחשבון הדוא"ל שלך, למשל.
סוג אחר של התקפה משנה את המיקום בפועל של סמן המשתמש, אך משאיר את התצוגה ללא מגע, כך שהסמן נראה כאילו הוא נמצא במקום אחד, אך הוא נמצא במקום אחר. נשמע שזה פשוט יהיה מטרד גדול, אבל אפשר להשתמש בו כדי לגרום לאנשים ללחוץ על דברים שמסגירים מידע רגיש 10 פיסות מידע המשמשות לגניבת זהותךגניבת זהות יכולה להיות יקרה. להלן 10 פיסות המידע שאתה צריך להגן על מנת שזהותך לא תיגנב. קרא עוד .
התקפות יצירתיות אחרות נופלות גם תחת המטריה של ג'קט קליקים. לדוגמה, התקפה שנערכה לאחרונה השתמשה בפיסת תוכנה זדונית להפניית החיפושים של המשתמשים ב- Bing, Google ו- Yahoo לדפי תוצאות מותאמות (והונאה) שהיו מלאים במודעות המופעלות על ידי Google-AdSense. משתמשים היו לוחצים על המודעות, מתוך מחשבה שהם תוצאות חיפוש לגיטימיות, והתוקפים יקבלו שכר.
חלק מהאנשים אפילו כוללים התקפות מסוג הנדסה חברתית במעילי קליקים; לדוגמה, כבר בשנת 2009, ציוץ הסתובב בטוויטר שאמר "אל תלחץ" וכלל קישור. בכל פעם שמישהו לוחץ על הקישור, אותו הדבר היה מויצץ מחשבונו. טכניקות דומות חמישה איומי פייסבוק שיכולים להדביק את המחשב האישי שלך וכיצד הם עובדים קרא עוד שימשו להפצת קישורים מניבים כסף בפייסבוק.
Jackjacking אינו מוגבל רק לאתרים ויישומים שבהם משתמשים יש עכבר; זה יכול לקרות גם במכשירים ניידים. דוגמא אחת אחרונה היא אנדרואיד. Lockdroid. ה, חתיכה של תוכנות כופר אנדרואיד תוכנות זדוניות באנדרואיד: חמשת הסוגים שאתה באמת צריך לדעת עליהםתוכנה זדונית יכולה להשפיע על התקנים ניידים כמו גם על מכשירים שולחניים. אך אל תפחדו: קצת ידע ואמצעי הזהירות הנכונים יכולים להגן עליכם מפני איומים כמו תוכנות כופר ו הונאות סקסטורשן. קרא עוד זה השתמש בכניסה לחיצה (או "חיבור מגע", אם אתה מעדיף) כדי לזכות בזכויות מנהליות על מכשיר היעד. ולאחרונה שמענו על העניין פגיעות נגישות לחיצה על נגישות ב- Android כיצד ניתן להשתמש בשירותי נגישות אנדרואיד כדי לפרוץ את הטלפון שלךפגיעויות אבטחה שונות נמצאו בחבילת הנגישות של אנדרואיד. אבל לשם מה תוכנה זו משמשת אפילו? קרא עוד סמארטפונים וטאבלטים.
מה אתה יכול לעשות כדי למנוע מעילי קליקים
למרבה הצער, אין הרבה מה שאתה יכול לעשות כדי למנוע כיבוי קליקים אלא אם כן אתה מנהל אתר. השיטה המומלצת ביותר להגן על עצמך בזמן הגלישה היא ללא ספק השימוש NoScript, התוסף של Firefox המונע טעינת סקריפטים ללא אישור ספציפי מ- אתה. ל- NoScript כמה תכונות ספציפיות נגד קליקים, והוא ממש טוב באיתור סוגי הסקריפטים שיוצרים שכבות-על שקופות באתרי אינטרנט.
כל הרחבות דומות בהן תוכל להשתמש למנוע טעינה של סקריפטים או אפליקציות שלוט בתוכן האינטרנט שלך: תוספים חיוניים לחסימת מעקב ותסריטיםהאמת, תמיד יש מישהו או משהו שמפקח על הפעילות והתוכן שלך באינטרנט. בסופו של דבר, ככל שאנו נותנים פחות לקבוצות הללו להיות בטוחים יותר. קרא עוד יספק גם הגנה מסוימת.
עם זאת, ההגנות הטובות ביותר נגד סחיטת קליקים צריכות להגיע ממנהלי אתרים. הרבה מההגנות הן טכניות למדי, ואם ברצונך לגלות בדיוק כיצד ליישם אותן, אני ממליץ לבדוק את גיליון הונאה של Clickjacking Defense Cheat מבית OWASP.
אחת הדרכים הטובות ביותר למנוע מניעת חיפושי קליקים באתר שלך, כך שתכלול כותרת HTTP של אפשרויות מסגרת X המונעת את טעינת תוכן האתר שלך במסגרת ( תג) או iframe (
מונע סקריפטים בין אתרים מהו סקריפטים חוצה אתרים (XSS) ומדוע זה איום ביטחוניפגיעויות בין סקריפטים בין אתרים הם הבעיה הגדולה ביותר בתחום אבטחת האתר כיום. מחקרים מצאו שהם נפוצים באופן מזעזע - 55% מהאתרים הכילו פגיעויות ב- XSS בשנת 2011, על פי הדו"ח האחרון של White Hat Security, שפורסם ביוני ... קרא עוד (XSS) יסייע גם בהפחתת הסיכוי להתקפה של ג'חיצה באתר. מכיוון ש- XSS משמש גם להתקפות אחרות, בכל מקרה כדאי להגן עליו.
כדי למזער את הסבירות להתקף ג'אצ-קליק במכשיר הנייד שלך, מומלץ להגביל אתה מוריד רק אפליקציות ממקורות מהימנים, כמו Apple App Store או Google Play חנות. אמנם אין זו ערובה לכך שתשתחרר מהתקפות, אך לא פחות מהאפליקציות האלה לכלול קוד זדוני מאלו שאתה מקבל ממקור צד שלישי.
אתה יכול גם להימנע משימוש בדפדפנים בתוך האפליקציה, מכיוון שזה מקום נפוץ להתקפות של חיבור מגע. הגדר את התנהגות ברירת המחדל לפתיחת קישור באפליקציות שלך להיפתח בדפדפן המערכת, במקום בדפדפן בתוך האפליקציה, ותבטל עוד חולשה פוטנציאלית בהגנתך.
איום אמיתי
כפי שהוזכר קודם לכן, jackjacking נשמע כמו יותר מטרד מאשר איום ממשי על האבטחה שלך, אבל אם משתמשים בו ביעילות, זה יכול לעזור לתוקפים לגנוב מידע חשוב מאוד או לקבל גישה לחשבונות המקוונים שלך, שם הם יכולים לעשות רצינות נזק.
ובעוד שרוב ההגנה צריכה להגיע מאחורי הקלעים, אתה יכול להשתמש בחסימת תסריט תוספים למניעת מרבית ההתקפות הללו - אם אתה בסדר להשתמש בתוספות מסוג זה, כמו הם כן קצת שנוי במחלוקת AdBlock, NoScript ו- Ghostery - הטריפטה של הרועבמהלך החודשים האחרונים יצרתי קשר עם מספר לא מבוטל של קוראים שהתקשו להוריד את המדריכים שלנו, או מדוע הם לא יכולים לראות את כפתורי הכניסה או ההערות לא נטענים; ובתוך... קרא עוד .
האם ידוע לך על דוגמאות לפיגועי קליקים גדולים בהיקף גדול, או שהיית קורבן לאחת מההתקפות האלה? האם אתה משתמש ב- NoScript או פרוס הגנות באתר שלך? שתף את המחשבות שלך למטה!
אשראי תמונה: מוזילה.
דן הוא אסטרטגיית תוכן ויועץ שיווקי המסייע לחברות לייצר ביקוש ומובילים. הוא גם מבלוג על אסטרטגיה ושיווק תוכן ב- dannalbright.com.
