Clickjacking: ¿qué es y cómo se puede evitar esto?

Cuando se trata de formas en que los piratas informáticos y distribuidores de malware tienen acceso a su computadora, hay algunas cosas que se habla mucho: Ingeniería social, inyección SQL, Los ataques DDoS, y así. Sin embargo, un ataque que no consigue habló tanto que es tan nefasto como los otros es clickjacking.¿Qué es la Ingeniería Social? [Explica MakeUseOf]¿Qué es la Ingeniería Social? [Explica MakeUseOf]Puede instalar más fuerte y más caro del firewall de la industria. Se puede educar a los empleados acerca de los procedimientos de seguridad básicos y la importancia de elegir contraseñas seguras. Puede incluso bloquear hacia abajo la sala de servidores - pero ¿cómo ...Lee mas

Clickjacking es difícil de detectar, puede afectar a casi todo el mundo, y se propaga a través de una amplia variedad de sistemas operativos y aplicaciones. Esto es lo que necesita saber acerca de clickjacking, incluyendo qué es, de dónde lo vas a ver, y cómo protegerse contra ella.

¿Qué es Clickjacking?

Como ya habrán recogido por el nombre, el clickjacking es el proceso de secuestro de clic de un usuario en un ordenador (que también puede ser utilizado para secuestrar las pulsaciones de teclado, pero “keystrokejacking” es mucho más difícil decir). Hay un número de maneras en que este proceso puede tener lugar, pero todos ellos tienen una cosa en común: un usuario cree que está haciendo clic en una cosa, cuando en realidad, están clic en otra cosa.

Muchos ataques de clickjacking incluyen una interfaz de usuario transparente sobre otra interfaz que el usuario está a la espera de ver (por lo que “la corrección de la interfaz de usuario” es otro nombre para este método). Entonces, cuando el usuario piensa que están al hacer clic en algo, en realidad están haciendo clic en otra cosa que no pueden ver. Se podría pensar que está haciendo clic en un enlace que va a firmar para arriba para una boletín fresco, cuando en realidad estás haciendo clic en un botón que da acceso a un criminal cibernético a su cuenta de correo electrónico, por ejemplo.Aprender algo nuevo con 10 Worth-It Boletines por Correo ElectrónicoAprender algo nuevo con 10 Worth-It Boletines por Correo ElectrónicoUsted se sorprenderá de la calidad de los boletines de noticias de hoy. Ellos están haciendo una reaparición. Suscribirse a estos boletines diez fantásticos y averiguar por qué.Lee mas

Otro tipo de ataque cambia la posición real del cursor del usuario, pero deja sin tocar la pantalla, de modo que el cursor parece que está en un lugar, pero en realidad es en otro. Suena como que sólo sería una gran molestia, pero puede ser utilizado para hacer que la gente haga clic en las cosas que regalan información sensible.

Algunos otros ataques creativos caen bajo el paraguas de clickjacking, también. Por ejemplo, un reciente ataque utiliza una pieza de malware para redirigir las búsquedas de los usuarios en Bing, Google y Yahoo para requisitos particulares (y fraudulentas) páginas de resultados que estaban llenos de anuncios de Google AdSense-alimentado. Los usuarios que haga clic en los anuncios, pensando que eran resultados de búsqueda legítimos, y los atacantes se les paga.

clickjack-transparencia

Algunas personas incluso incluyen ataques de tipo de ingeniería social en clickjacking- por ejemplo, en el 2009, un tweet iba alrededor de Twitter que decía “No haga clic en” e incluía un enlace. Cada vez que alguien hace clic en el enlace, lo mismo se tuiteó desde su cuenta. técnicas similares se han utilizado para difundir enlaces de generación de dinero en Facebook.Cinco amenazas de Facebook que pueden infectar su PC, y cómo trabajanCinco amenazas de Facebook que pueden infectar su PC, y cómo trabajanLee mas

Clickjacking no se limita sólo a sitios web y aplicaciones en las que los usuarios tengan un ratón, aunque-también puede ocurrir en los dispositivos móviles. Un ejemplo reciente es Android.Lockdroid.E, un pedazo de ransomware Android que clickjacking utilizado (o “touchjacking”, si se prefiere) para obtener derechos administrativos para el dispositivo de destino. Y nosotros hemos escuchado recientemente acerca de la vulnerabilidad accesibilidad Clickjacking en Android teléfonos inteligentes y tabletas.

Lo que usted puede hacer para prevenir Clickjacking

Por desgracia, no hay mucho que puede hacer para prevenir el clickjacking menos que sea un administrador del sitio web. Con mucho, el método más comúnmente recomendada de protegerse a sí mismo mientras se está navegando es utilizar NoScript, el complemento de Firefox que impide que las secuencias de comandos de carga sin la autorización específica de usted. NoScript tiene algunas características específicamente contra el clickjacking, y es muy bueno para detectar los tipos de scripts que crean superposiciones transparentes en los sitios web.

noscript-firefox

Cualquier extensión similares que se pueden utilizar para prevenir scripts o aplicaciones de carga También proporcionará alguna protección.Controlar su contenido web: Extensiones Esenciales a Block Tracking y ScriptsControlar su contenido web: Extensiones Esenciales a Block Tracking y ScriptsLa verdad es que siempre hay alguien o algo la supervisión de su actividad en Internet y contenido. En última instancia, menos información que dejar que estos grupos tienen el más seguro que estaremos.Lee mas

Las mejores defensas contra el clickjacking, sin embargo, deben provenir de administradores del sitio. Muchas de las defensas son más bien técnica, y si quieres saber exactamente cómo ponerlas en práctica, recomiendo la salida a la Hoja de trucos Clickjacking Defensa de OWASP.

Una de las mejores maneras de prevenir el clickjacking en su sitio para incluir una cabecera-frame-X Opciones HTTP que impide que el contenido de su sitio de ser cargado en un fotograma ( tag) o iframe (

X-Frame-options

la prevención script de páginas (XSS) también ayudará a reducir las posibilidades de un ataque de clickjacking en un sitio. Debido a XSS también se utiliza para otros ataques, es una buena idea para proteger contra ella de todas formas.¿Qué hay Cross-Site Scripting (XSS), & ¿Por qué es una amenaza de seguridad¿Qué hay Cross-Site Scripting (XSS), & ¿Por qué es una amenaza de seguridadCross-site scripting vulnerabilidades son el mayor problema de seguridad sitio Web hoy. Los estudios han encontrado que son sorprendentemente comunes - 55% de los sitios web contenía vulnerabilidades XSS en 2011, según el último informe de sombrero blanco de seguridad, publicado en junio ...Lee mas

Para reducir al mínimo la probabilidad de un ataque de clickjacking en su dispositivo móvil, es posible que desee restringir el mismo a que sólo se descargan aplicaciones de fuentes de confianza, como el Apple App Store o Google Play Store. Si bien esto no es una garantía de que se le libre de los ataques, estas aplicaciones son considerablemente menos probable que incluya un código malicioso que aquellos que se obtiene de una fuente de terceros.

También puede evitar el uso de aplicaciones en los navegadores, ya que este es un lugar común para los ataques touchjacking que se produzca. Establecer el comportamiento por defecto para el enlace de apertura en sus aplicaciones para abrir en el navegador del sistema, en lugar del navegador de la aplicación, y se eliminará una más debilidad potencial en su defensa.

Una amenaza real

Como se mencionó antes, el clickjacking suena como más una molestia que una amenaza real a su seguridad, pero si se utiliza con eficacia, puede ayudar a los atacantes robar información muy importante o tener acceso a sus cuentas en línea, donde pudieran hacer daño serio.

Y si bien la mayor parte de la defensa tiene que venir de detrás de las escenas, puede utilizar las extensiones de secuencias de comandos de bloqueo para evitar la mayoría de estos ataques - si estás bien con el uso de este tipo de complementos, ya que son un poco de controversia.AdBlock, NoScript & Ghostery - El Trío del malAdBlock, NoScript & Ghostery - El Trío del malEn los últimos meses, me he puesto en contacto con un buen número de lectores que han tenido problemas con la descarga de nuestros guías, o por qué no pueden ver los botones de inicio de sesión o comentarios no loading- y en ...Lee mas

¿Conoce algún ejemplo de los ataques de clickjacking a gran escala, o ha sido víctima de uno de estos ataques? Cómo se utiliza NoScript o implementar cualquier defensa en su propio sitio web? Compartir sus pensamientos abajo!

Artículos Relacionados