Hva er Clickjacking angrep?

September 30

En Clickjacking angrep, også kjent som et brukergrensesnitt (UI) oppreisning angrep, oppstår når en angriper forsøker å kapre klikkene av en mus til å utføre handlinger som brukeren ikke hadde tenkt. I hovedsak mener en bruker hun er i samspill med websiden som vises på dataskjermen, men hennes handlinger faktisk er utført på en annen webside som er valgt av kaprer.

iFrame

Clickjacking angrep dra nytte av en Hypertext Markup Language (HTML) eiendommen kjent som inline Frame eller iFrame. iFrame tillater en HTML-dokument som skal bygges inn, i en ramme, i en annen HTML-dokumentet. En angriper kan laste en ondsinnet side i en iFrame og bruke Cascading Style Sheets (CSS) for å skjule alt bortsett fra regionen på siden der han ønsker brukerne til å klikke.

scripting

En typisk Clickjacking angrep bruker to, nestede iframes. Den ytre iFrame er den minste av de to, og fungerer som et vindu på den indre iFrame, mens den indre iFrame må være store nok til at målområdet, eller element, er "synlig" uten å rulle. Skriptspråk kjent som Javascript kan brukes til å lage en usynlig, flytting iFrame, som posisjonerer seg under musepekeren, slik at brukeren klikker på målet uansett hvor hun klikker på siden; i dette tilfellet, kan det ytre iFrame være bare 10 eller 20 piksler torget.

Plage

Clickjacking angrep arbeide på tvers av alle operativsystemer, men så langt har blitt brukt bare for å skape en plage på nettsamfunn som Facebook og Twitter. Facebook-brukere, for eksempel, kan du se linker til fag som deres venner har tilsynelatende "likt". Lenkene er imidlertid helt falsk og, faktisk, omdirigere brukere til en side som inneholder noen instruksjon, slik som å klikke på en knapp for å bekrefte at de er over 18 år. Hva brukerne faktisk gjør, derimot, er å klikke på et usynlig "like" knappen, slik at de også anbefale den skadelige siden.

Phishing-Malware

Clickjacking angrep kan ikke ha vært brukt til uredelige formål, for eksempel phishing, eller levere skadelig programvare eller malware, men ifølge Graham Cluley, senior teknologikonsulent hos Sophos, finnes potensial for dem å være tilpasset til å gjøre det. Enkelte nettlesere inkluderer små, gratis programmer eller plug-ins, som advarer mot potensielle Clickjacking angrep. Disse programmene gjør, men vanligvis krever noe teknisk know-how og advarer også mot klikke på Flash-videoer, som er mye brukt, legitimt, på nettet.