Sicurezza

Clickjacking Che cos'è e come puoi evitarlo?

Quando si tratta di modi in cui hacker e distributori di malware ottengono l'accesso al tuo computer, ci sono alcune cose di cui si parla molto: ingegneria sociale Cos'è l'ingegneria sociale? [MakeUseOf Explains] Cos'è l'ingegneria sociale? [MakeUseOf Explains] È possibile installare il firewall più potente e costoso del settore. Puoi educare i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password sicure. È anche possibile bloccare la stanza del server, ma come ... Per saperne di più, SQL injection Cos'è un'iniezione SQL? [MakeUseOf Explains] Che cos'è un'Iniezione SQL? [MakeUseOf Explains] Il mondo della sicurezza di Internet è afflitto da porte aperte, backdoor, buchi di sicurezza, trojan, worm, vulnerabilità dei firewall e una manciata di altri problemi che ci tengono tutti in punta di piedi ogni giorno. Per gli utenti privati, ... Per saperne di più, attacchi DDoS Cos'è un attacco DDoS? [MakeUseOf Explains] Che cos'è un attacco DDoS? [MakeUseOf Explains] Il termine DDoS sibila quando il cyber-attivismo impenna la sua testa in massa. Questi tipi di attacchi fanno notizia internazionale a causa di molteplici ragioni. I problemi che scatenano quegli attacchi DDoS sono spesso controversi o altamente ... Leggi altro, e così via. Ma un attacco di cui non si parla tanto è altrettanto nefasto degli altri clickjacking.

Il Clickjacking è difficile da rilevare, può interessare praticamente a chiunque e si sviluppa su un'ampia varietà di sistemi operativi e applicazioni. Ecco cosa devi sapere sul clickjacking, incluso cosa è, dove lo vedrai e come proteggerti contro di esso.

Cos'è il Clickjacking?

Come potresti aver dedotto dal nome, il clickjacking è il processo di dirottamento del clic di un utente su un computer (può anche essere usato per dirottare le sequenze di tasti, ma “keystrokejacking” è molto più difficile da dire). Ci sono diversi modi in cui questo processo può aver luogo, ma tutti hanno una cosa in comune: un utente pensa di fare clic su una cosa, mentre in realtà sta facendo clic su un'altra cosa.

Molti attacchi clickjacking includono un'interfaccia utente trasparente posizionata su un'altra interfaccia che l'utente si aspetta di vedere (ecco perché “Risoluzioni dell'interfaccia utente” è un altro nome per questo metodo). Quindi, quando quell'utente pensa di fare clic su qualcosa, in realtà fa clic su qualcos'altro che non possono vedere. Potresti pensare di fare clic su un link che ti iscriverà a una newsletter interessante. Impara qualcosa di nuovo con 10 newsletter e-mail di valore Worth Impara qualcosa di nuovo con 10 newsletter di e-mail di valore Sarai sorpreso dalla qualità delle newsletter di oggi. Stanno facendo un ritorno. Iscriviti a queste dieci fantastiche newsletter e scopri perché. Per saperne di più, quando in realtà stai facendo clic su un pulsante che fornisce un accesso informatico al tuo account di posta elettronica, ad esempio.

Un altro tipo di attacco modifica la posizione effettiva del cursore dell'utente, ma lascia intatto il display, in modo che il cursore assomigli a un posto, ma in realtà a un altro. Sembra che sarebbe solo un grande fastidio, ma può essere usato per convincere la gente a fare clic su cose che danno via informazioni sensibili 10 pezzi di informazioni che vengono utilizzati per rubare la tua identità 10 pezzi di informazioni che vengono utilizzati per rubare la tua identità secondo all'Ufficio di Giustizia degli Stati Uniti, il furto di identità costò alle vittime oltre 24 miliardi di dollari nel 2012, più del furto delle famiglie, del furto di veicoli e della proprietà combinato. Queste 10 informazioni sono ciò che i ladri stanno guardando ... Per saperne di più .

Alcuni altri attacchi creativi cadono anche sotto l'ombrello del clickjacking. Ad esempio, un attacco recente ha utilizzato un pezzo di malware per reindirizzare le ricerche degli utenti su Bing, Google e Yahoo verso pagine di risultati personalizzati (e fraudolenti) piene di annunci basati su Google AdSense. Gli utenti farebbero clic sugli annunci, ritenendo che fossero risultati di ricerca legittimi e gli aggressori sarebbero stati pagati.

Alcune persone includono anche attacchi di tipo social engineering nel clickjacking; per esempio, nel 2009, un tweet stava girando attorno a Twitter che diceva “Non fare clic” e incluso un link. Ogni volta che qualcuno ha cliccato sul link, la stessa cosa sarebbe stata twittata dal proprio account. Tecniche simili Cinque minacce di Facebook che possono infettare il PC e come funzionano Cinque minacce di Facebook che possono infettare il PC e come funzionano Altre informazioni sono state utilizzate per diffondere collegamenti generatori di denaro su Facebook.

Il clickjacking non è solo limitato ai siti Web e alle app in cui gli utenti hanno un mouse; può anche succedere su dispositivi mobili. Un esempio recente è Android.Lockdroid.E, un pezzo di Android ransomware Malware su Android: i 5 tipi che devi veramente conoscere di malware su Android: i 5 tipi che devi davvero conoscere Il malware può influenzare sia i dispositivi mobili che quelli desktop . Ma non aver paura: un po 'di conoscenza e le giuste precauzioni possono proteggerti da minacce come le truffe di ransomware e sextortion. Leggi altro che ha usato clickjacking (o “touchjacking,” se si preferisce) per ottenere diritti amministrativi sul dispositivo di destinazione. E di recente abbiamo sentito parlare della vulnerabilità Accessibility Clickjacking su Android Come i servizi di accessibilità Android possono essere utilizzati per hackerare il telefono Come utilizzare i servizi di accessibilità Android per hackerare il telefono Sicurezza I ricercatori hanno identificato una vulnerabilità di sicurezza nei servizi di accessibilità di Android, che potrebbero consentire un attaccante per ottenere il controllo del dispositivo. Vediamo come puoi impedire che ciò accada. Leggi altri smartphone e tablet.

Cosa puoi fare per prevenire il clickjacking

Sfortunatamente, non c'è molto da fare per impedire il clickjacking a meno che tu non sia un amministratore del sito web. Il metodo di gran lunga più raccomandato per proteggersi mentre si sta navigando è usare NoScript, il componente aggiuntivo di Firefox che impedisce il caricamento degli script senza una specifica autorizzazione da parte dell'utente. NoScript ha alcune funzioni specificamente anti-clickjacking ed è davvero bravo a rilevare i tipi di script che creano overlay trasparenti sui siti Web.

Eventuali estensioni simili che è possibile utilizzare per impedire che script o app vengano caricati Controllo del contenuto Web: estensioni essenziali per bloccare il tracciamento e gli script Controllare il contenuto Web: estensioni essenziali per bloccare il tracciamento e gli script La verità è che c'è sempre qualcuno o qualcosa che monitora il tuo Attività e contenuto di Internet. In definitiva, meno informazioni ci permettono di avere questi gruppi più sicuri. Leggi di più fornirà anche una certa protezione.

Le migliori difese contro il clickjacking, tuttavia, devono provenire dagli amministratori del sito. Molte delle difese sono piuttosto tecniche e, se vuoi scoprire esattamente come implementarle, ti consiglio di dare un'occhiata al Trojan Cheat Sheet di Clickjacking da OWASP.

Uno dei modi migliori per prevenire il clickjacking sul tuo sito è includere un'intestazione HTTP per x-frame-options che impedisce il caricamento del contenuto del tuo sito in un frame ( tag) o iframe ( etichetta). Poiché questi sono spesso usati come vettori di attacco - non solo per il clickjacking, ma anche per altre minacce - questo è un modo efficace per mitigare la minaccia.</p><p><img src="//ephesossoftware.com/img/images_6/clickjacking-what-is-it-and-how-can-you-avoid-it_3.png"></p><p>Prevenire lo scripting cross-site Cosa è lo XSS (Cross-Site Scripting) e perché è una minaccia alla sicurezza Che cosa è il cross-site scripting (XSS) e perché è una minaccia alla sicurezza Le vulnerabilità degli script cross-site sono il più grande problema di sicurezza del sito web oggi. Gli studi hanno scoperto che sono sorprendentemente comuni - il 55% dei siti web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno ... Read More (XSS) contribuirà anche a ridurre le possibilità di un attacco clickjacking su un sito. Dato che l'XSS è anche usato per altri attacchi, è comunque una buona idea proteggerlo comunque.</p><p>Per ridurre al minimo la probabilità di un attacco di clickjacking sul tuo dispositivo mobile, potresti limitarti a scaricare solo app da fonti attendibili, come l'App Store di Apple o il Google Play Store. Anche se questa non è una garanzia di assenza di attacchi, è molto meno probabile che queste app includano codice dannoso rispetto a quelle che ricevi da un'origine di terze parti.</p><p>Puoi anche evitare di utilizzare i browser in-app, poiché questo è un luogo comune in cui possono verificarsi gli attacchi di tipo touchjacking. Imposta il comportamento predefinito per l'apertura del link nelle tue app da aprire nel browser di sistema, invece del browser in-app, e eliminerai un ulteriore potenziale punto debole nella tua difesa.</p><h2>Una vera minaccia</h2><p>Come accennato in precedenza, il clickjacking sembra più un fastidio che una vera minaccia alla sicurezza, ma se viene usato in modo efficace, può aiutare gli aggressori a rubare alcune informazioni molto importanti o ad accedere ai propri account online, dove potrebbero causare seri danni.</p><p>E mentre la maggior parte della difesa deve venire da dietro le quinte, puoi usare estensioni di blocco degli script per prevenire la maggior parte di questi attacchi - se stai bene usando questi tipi di componenti aggiuntivi, dato che sono un po 'controverso AdBlock , NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil Negli ultimi mesi sono stato contattato da un buon numero di lettori che hanno avuto problemi a scaricare le nostre guide, o perché non possono vedere i pulsanti di accesso oi commenti non caricati; e in ... Per saperne di più .</p><p><strong>Conosci qualche esempio di attacchi clickjacking su larga scala o sei stato vittima di uno di questi attacchi? Usi NoScript o fai uso di difese sul tuo sito web? Condividi i tuoi pensieri qui sotto!</strong></p><p><small>Credito immagine: Mozilla.</small></p> <p><small>Scopri di più su: Clickjacking, hacking, sicurezza online.</small></p> </div> <div class="rek-block"> <center> <ins class="adsbygoogle" style="display:inline-block;width:580px;height:400px" data-ad-client="ca-pub-3810161443300697" data-ad-slot="3145557800"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </center> </div> <div class="row PageNavigation d-flex justify-content-between font-weight-bold"> <a class="prev d-block col-md-6" href="/articles/web-culture/clicking-consequences-why-donald-trump-is-your-fault.html"> « Cliccando su Conseguenze Perché Donald Trump è il tuo errore</a> <a class="next d-block col-md-6 text-lg-right" href="/articles/browsers/clicktoplugin-blocks-flash-in-safari-lets-you-watch-videos-anyway.html">ClickToPlugin Blocks Flash in Safari, ti consente di guardare comunque i video » </a> <div class="clearfix"></div> </div> </div> </div> </div> </div> </div> </div> <footer class="footer"> <div class="site-langs-list"> <ul> <li class="site-lang"><a href="https://ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-DE"></i>Deutsch</a></li> <li class="site-lang"><a href="https://nl.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-NL"></i>Nederlands</a></li> <li class="site-lang"><a href="https://sv.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-SE"></i>Svenska</a></li> <li class="site-lang"><a href="https://no.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-NO"></i>Norsk</a></li> <li class="site-lang"><a href="https://it.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-IT"></i>Italiano</a></li> <li class="site-lang"><a href="https://fr.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-FR"></i>Français</a></li> <li class="site-lang"><a href="https://es.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-ES"></i>Español</a></li> <li class="site-lang"><a href="https://ro.ephesossoftware.com/articles/security/clickjacking-what-is-it-and-how-can-you-avoid-it.html"><i class="flag flag-RO"></i>Românesc</a></li> </ul> </div> <div class="container"> <div class="row"> <div class="col-md-6 col-sm-6 text-center text-lg-left"> © <script> var currentTime = new Date(); var year = currentTime.getFullYear(); document.write(year); </script> <a href="https://it.ephesossoftware.com">it.ephesossoftware.com</a> </div> <div class="col-md-6 col-sm-6 text-center text-lg-right"> <span>Notizie dal mondo della tecnologia moderna!</span> </div> </div> </div> </footer> </div> <link rel="stylesheet" type="text/css" href="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.css" /> <script src="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.1.0/cookieconsent.min.js"></script> <script> window.addEventListener("load", function(){ window.cookieconsent.initialise({ "palette": { "popup": { "background": "#edeff5", "text": "#838391" }, "button": { "background": "#4b81e8" } }, "theme": "classic", "position": "bottom-right" })}); </script> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <script src="js/jquery.min.js"></script> <script src="js/bootstrap.min.js"></script> <script src="https://unpkg.com/simple-jekyll-search@1.5.0/dest/simple-jekyll-search.min.js"></script> <script> SimpleJekyllSearch({ searchInput: document.getElementById('search-input'), resultsContainer: document.getElementById('results-container'), json: '/search.json', searchResultTemplate: '<li><a href="{url}">{title}</a></li>' }) </script> </body> </html>