Tartalomjegyzék:
Meghatározás - Mit jelent a Clickjack Attack?
A clickjack támadás egy rosszindulatú technika, amelyet a támadó használ a fertőzött felhasználó internetes kattintásainak rögzítésére. Ez felhasználható egy adott webhely forgalmának irányítására, vagy arra, hogy a felhasználó kedvelje vagy elfogadja a Facebook alkalmazást. Károsabb célok lehetnek a böngészőben mentett érzékeny információk (például jelszavak) gyűjtése vagy a rosszindulatú tartalmak telepítése.
Az ilyen típusú támadásokat clickjacking-ként vagy felhasználói felület újracímzésének is nevezik.
A Techopedia magyarázza a Clickjack Attack-et
Általában a clickjack kizsákmányolását egy rejtett linknek egy érvényes gomb fölé helyezésével hajtják végre. A kizsákmányolás a következőket is magában foglalhatja:
- A felhasználók megtévesztése a mikrofonok és webkamerák Flash-en keresztül történő engedélyezésében
- Becsapja a felhasználókat a közösségi média profiljuk nyilvánosságra hozatalába
- A fertőzött felhasználók tudatosan követik valakit a Twitteren
A clickjack támadás IFRAME-k használatával valósítható meg, amelyek HTML elemek, amelyek más helyekről, például más webhelyekről hoznak fel tartalmat. A clickjack támadók beágyazhatnak IFRAME-t bármely weboldalra, és a láthatatlan IFRAME-t befedhetik egy legitim gomb tetejére. Amikor a felhasználó rákattint a törvényes gombra, a támadó gombjára vagy linkjére valóban kattintanak.
Mi teszi ezt a nagyon hatékony támadási módot az, hogy valójában a HTML-specifikáció keretein belül történik, ami azt jelenti, hogy a webhely a várt módon működik. A támadók csak ezt a funkciót használják rosszindulatú támadásokhoz. A World Wide Web Consortium (W3C) új szabványt próbál meghatározni, amely lehetővé teszi a webhelyek számára a külső zavarások megakadályozását.
Lehet, hogy a webhely rendszergazdái nem tudják, hogy valami nincs rendben, amíg a felhasználók panaszai nem érkeznek be. Nehéz pontosan megmondani, hogy történt-e támadás, mivel az oldalon minden ugyanaznak tűnik, és a clickjack elemet alaposan álruhává tették.
A Mozilla NoScript-kiegészítő, a Gazelle webböngésző és a Framekiller JavaScript-kódrészlet néhány olyan intézkedés, amelyet védenek a kattintásos támadások ellen.
