¿Cuáles son los ataques de clickjacking? Protección y la prevención consejos

 

clickjacking, también conocido por nombres como Interfaz de usuario ataque reparación, ataque de reparación de interfaz de usuario, La reparación de la interfaz de usuario, es una técnica maliciosa común utilizado por los atacantes para crear múltiples capas complicadas para engañar a un usuario para que haga clic en un botón o enlace en otra página cuando tenían la intención de hacer clic en otra página. Así, el atacante controla con éxito al usuario a hacer clic en un enlace de una fuente externa, mientras que ‘secuestro’ desde la página original. Esta técnica tiene aplicaciones ilimitadas cuando se trata de la explotación de usuario. Por ejemplo, un ataque de este tipo puede convencer a los clientes a introducir sus datos bancarios en una página de terceros que refleja la original.

¿Cuál es Clickjacking

Clickjacking es una actividad maliciosa, donde los enlaces maliciosos se ocultan detrás de auténticos botones o enlaces se puede hacer clic, que hacen los usuarios activan una acción mal con su clic.

estafas de clickjacking

Un ejemplo común y devastadora de los que esta técnica podría ser cuando un atacante que construye un sitio web que tiene un botón en él que dice “Haga clic aquí para participar en el concurso“. sin embargo, justo al lado del botón, que ponen en un marco casi invisible que une a la ‘Eliminar todos los contactos de su cuenta de Gmail. La víctima intenta hacer clic en el botón, sino que en realidad hace clic en el botón invisible. Por lo tanto, el atacante ha “secuestrado” del usuario “clic”, y de ahí el nombre Clickjacking.

En tiempos recientes, Clickjacking ha hecho su camino a los servicios más populares, incluyendo Adobe Flash Player y Twitter. Algunos atacantes alteran la configuración del plugin de Flash. Al cargar esta página en un iframe invisible, un atacante podría engañar a un usuario alterar la configuración de seguridad de flash, dando permiso para cualquier animación Flash para utilizar micrófono y la cámara de la computadora.

Hablando de Twitter, clickjacking se metió en un gusano Twitter. Este ataque fue dirigido con bastante inteligencia para los usuarios, obligándolos a Retweet un lugar y difundirlo ampliamente antes de Twitter intervino para controlar el virus.

¿Cuál es Cursorjacking

Un tipo de Clickjacking opera disfrazar el cursor del ratón y convencer al usuario que debe cambiar sus clics a otra ubicación en la misma página. Un incidente popular de Cursorjacking fue descubierto en Mozilla Firefox en sistemas Mac OS X. mediante Flash, Código HTML y JavaScript que también puede conducir a la espía de la cámara web y la ejecución de un complemento malicioso que permite la ejecución de malware en el ordenador del usuario atrapado.

Lo que es Likejacking

Aparte de Cursorjacking, también ha habido incidentes de Likejacking. Se hizo popular después de la llegada de Facebook en la cultura pop, este término explica por sí mismo significa el secuestro en la persona en el gusto de una página de Facebook que no se supone que debe saber acerca de un principio.

Consejos de Protección clickjacking

Opciones de X-Frame

Esta solución de Microsoft es uno de los más eficaces contra los ataques de clickjacking en su máquina. Puede incluir opciones-X-Frame cabecera HTTP en todas sus páginas web. Esto evitará que su sitio de ser colocado dentro de un marco. X-Frame es apoyado por las últimas versiones de los navegadores, incluyendo Safari, Cromo, ES DECIR, pero puede tener algunos problemas con Firefox. La gran parte del uso de X-Frame es que es extremadamente simple, pero necesita acceso a la configuración del servidor web y el lenguaje de script en el servidor.

Mover elementos en sus páginas

El atacante tratando de colocar el clickjacking en sus páginas web no es consciente de las ubicaciones actuales de los elementos de su lado. Sólo puede colocar sus elementos infectados en base a la configuración predeterminada. Es una buena idea para tratar de mover elementos en su página; por ejemplo, los atacantes pueden intención de orientar el botón de Facebook Like. Al mover este elemento a otra ubicación, se puede detectar fácilmente cuando un incidente de este tipo se lleva a cabo. El único problema con esta solución es que es extremadamente difícil para los usuarios normales para llevar a cabo.

URL de una sola vez

Este es un método más avanzado de protección contra clickjackers, que podrían tener conocimiento suficiente para superar los filtros básicos. Es posible hacer el ataque mucho más difícil si se incluye un código de una sola vez en las direcciones URL a las páginas cruciales. Esto es similar a nonces utilizados para prevenir CSRF pero en único en la forma en que se incluye en las URL nonces Para orientar las páginas, no en las formas dentro de esas páginas.

Framebuster Javascript

Otra forma de escapar de las garras de un ataque de clickjacking es comprobando el código Javascript para detectar. Este proceso se llama frambusting

Consejos para la prevención de clickjacking

Evaluar protección de correo electrónico

Instalación y comprobación de un filtro de correo basura sólida es una forma efectiva de detectar cualquier tipo de ataques en sus cuentas. ataques de clickjacking generalmente comienzan por engañar a un usuario a través de correo electrónico para que visite un sitio malicioso. Esto se realiza mediante la aplicación de correos electrónicos falsificados o especialmente diseñados para que se parezcan auténticos. El bloqueo de correos electrónicos ilegítimos reduce un posible ataque de clickjacking y una serie de otros ataques, así.

Utilizar cortafuegos de aplicación Web

Los cortafuegos de aplicación web de WEFs son un aspecto importante de la seguridad en el caso de las empresas que tienen la mayor parte de sus datos en Internet. Algunas de estas empresas tienden a pasar por alto la necesidad de una y terminan siendo atacado con incidentes masivos clickjacking. Los datos recientes han demostrado que casi 70 por ciento de todas las pequeñas y medianas empresas se cortó en una cierta capacidad en la última década más o menos. Se puede tomar un gran peso de encima de su plato, reduce en gran medida los riesgos y cuesta menos que la pérdida que podría enfrentar.

Desafortunadamente, no existe una solución perfecta desde la prevención de clickjacking, como atacantes, finalmente, encontrar maneras de conseguir a través de la mayor parte de las técnicas. A pesar de eso, los remedios más eficaces contra este tipo de ataques será el X-Frame y el FrameBuster Javascript.

Fuente

Publicación relacionada

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.