Clickjacking: Apa Artinya, dan Bagaimana Cara Menghindarinya?

Iklan

Dalam hal cara peretas dan distributor malware mendapatkan akses ke komputer Anda, ada beberapa hal yang sering dibicarakan: rekayasa sosial Apa itu Rekayasa Sosial? [MakeUseOf Menjelaskan]Anda dapat memasang firewall terkuat dan termahal di industri. Anda dapat mendidik karyawan tentang prosedur keamanan dasar dan pentingnya memilih kata sandi yang kuat. Anda bahkan dapat mengunci ruang server - tetapi bagaimana ... Baca lebih banyak , Injeksi SQL Apa itu Injeksi SQL? [MakeUseOf Menjelaskan]Dunia keamanan Internet terkendala dengan port terbuka, pintu belakang, lubang keamanan, Trojan, worm, kerentanan firewall, dan sejumlah masalah lain yang membuat kita semua tetap waspada setiap hari. Untuk pengguna pribadi, ... Baca lebih banyak , Serangan DDoS Apa itu Serangan DDoS? [MakeUseOf Menjelaskan]Istilah DDoS bersiul melewati setiap kali aktivisme cyber mengangkat kepalanya secara massal. Serangan semacam ini menjadi berita utama internasional karena berbagai alasan. Masalah yang memicu serangan DDoS sering kontroversial atau sangat ... Baca lebih banyak

, dan seterusnya. Tapi satu serangan yang tidak bisa dibicarakan sebanyak yang jahat seperti yang lain clickjacking.

Clickjacking sulit dideteksi, dapat memengaruhi siapa saja, dan tersebar di berbagai sistem operasi dan aplikasi. Inilah yang perlu Anda ketahui tentang clickjacking, termasuk apa itu, di mana Anda akan melihatnya, dan bagaimana melindungi diri terhadapnya.

Apa itu Clickjacking?

Seperti yang mungkin Anda kumpulkan dari namanya, clickjacking adalah proses pembajakan klik pengguna pada a komputer (itu juga dapat digunakan untuk membajak penekanan tombol, tetapi "keystrokejacking" jauh lebih sulit untuk mengatakan). Ada beberapa cara proses ini dapat terjadi, tetapi mereka semua memiliki satu kesamaan: seorang pengguna berpikir mereka mengklik pada satu hal, ketika pada kenyataannya, mereka mengklik pada sesuatu yang lain.

Banyak serangan clickjacking menyertakan antarmuka pengguna transparan yang ditempatkan di atas antarmuka lain yang diharapkan dilihat oleh pengguna (itulah sebabnya "ganti rugi UI" adalah nama lain untuk metode ini). Lalu, ketika pengguna itu berpikir mereka mengklik sesuatu, mereka sebenarnya mengklik sesuatu yang lain yang tidak bisa mereka lihat. Anda mungkin berpikir Anda mengklik tautan yang akan mendaftarkan Anda untuk buletin keren Pelajari Sesuatu yang Baru dengan 10 Nawala Email Layak ItAnda akan terkejut dengan kualitas buletin hari ini. Mereka kembali. Berlangganan sepuluh buletin fantastis ini dan temukan alasannya. Baca lebih banyak , ketika Anda benar-benar mengklik tombol yang memberikan akses cybercriminal ke akun email Anda, misalnya.

Jenis serangan lain mengubah posisi aktual kursor pengguna, tetapi membiarkan tampilan tidak tersentuh, sehingga kursor tampak seperti itu di satu tempat, tetapi sebenarnya di tempat lain. Kedengarannya seperti itu hanya akan menjadi gangguan besar, tetapi dapat digunakan untuk membuat orang mengklik pada hal-hal yang memberi informasi sensitif 10 Potongan Informasi Yang Digunakan Untuk Mencuri Identitas AndaPencurian identitas bisa mahal. Berikut adalah 10 informasi yang Anda perlu lindungi agar identitas Anda tidak dicuri. Baca lebih banyak .

Beberapa serangan kreatif lainnya juga berada di bawah payung clickjacking. Misalnya, serangan baru-baru ini menggunakan sepotong malware untuk mengarahkan kembali pencarian pengguna di Bing, Google, dan Yahoo untuk halaman hasil kustomisasi (dan penipuan) yang penuh dengan iklan yang diberdayakan oleh Google-AdSense. Pengguna akan mengklik iklan, mengira itu adalah hasil pencarian yang sah, dan penyerang akan dibayar.

Beberapa orang bahkan memasukkan serangan tipe rekayasa sosial di clickjacking; misalnya, pada tahun 2009, sebuah tweet beredar di Twitter yang bertuliskan "Jangan Klik" dan menyertakan tautan. Setiap kali seseorang mengklik tautan itu, hal yang sama akan di-tweet dari akun mereka. Teknik serupa Lima Ancaman Facebook Yang Dapat Menginfeksi PC Anda, Dan Cara Kerjanya Baca lebih banyak telah digunakan untuk menyebarkan tautan penghasil uang di Facebook.

Clickjacking tidak hanya terbatas pada situs web dan aplikasi di mana pengguna memiliki mouse; itu juga dapat terjadi pada perangkat seluler. Satu contoh terbaru adalah Android. Lockdroid. E, sepotong Android ransomware Malware di Android: 5 Jenis yang Benar-Benar Perlu Anda KetahuiMalware dapat memengaruhi perangkat seluler maupun desktop. Tapi jangan takut: sedikit pengetahuan dan tindakan pencegahan yang tepat dapat melindungi Anda dari ancaman seperti penipuan ransomware dan sextortion. Baca lebih banyak yang menggunakan clickjacking (atau "touchjacking," jika Anda mau) untuk mendapatkan hak administratif ke perangkat target. Dan kami baru saja mendengar tentang Aksesibilitas Clickjacking kerentanan di Android Bagaimana Layanan Aksesibilitas Android Dapat Digunakan untuk Meretas Ponsel AndaBerbagai kerentanan keamanan telah ditemukan di suite Aksesibilitas Android. Tapi untuk apa software ini digunakan? Baca lebih banyak Ponsel Pintar dan Gawai.

Yang Dapat Anda Lakukan untuk Mencegah Clickjacking

Sayangnya, tidak banyak yang dapat Anda lakukan untuk mencegah clickjacking kecuali Anda seorang administrator situs web. Sejauh ini metode yang paling umum direkomendasikan untuk melindungi diri Anda saat menjelajah adalah menggunakan NoScript, add-on Firefox yang mencegah skrip dari memuat tanpa otorisasi khusus dari kamu. NoScript memiliki beberapa fitur khusus anti-clickjacking, dan sangat bagus dalam mendeteksi jenis skrip yang membuat overlay transparan di situs web.

Ekstensi serupa yang dapat Anda gunakan mencegah skrip atau aplikasi memuat Kontrol Konten Web Anda: Ekstensi Esensial untuk Memblokir Pelacakan dan SkripYang benar adalah, selalu ada seseorang atau sesuatu yang memonitor aktivitas dan konten Internet Anda. Pada akhirnya, semakin sedikit informasi yang kami berikan, kelompok-kelompok ini akan lebih aman. Baca lebih banyak juga akan memberikan perlindungan.

Namun, pertahanan terbaik terhadap clickjacking harus berasal dari admin situs. Banyak dari pertahanannya yang agak teknis, dan jika Anda ingin mengetahui secara tepat bagaimana mengimplementasikannya, saya sarankan memeriksa Lembar Cheat Pertahanan Clickjacking dari OWASP.

Salah satu cara terbaik untuk mencegah clickjacking di situs Anda adalah dengan menyertakan header HTTP x-frame-options yang mencegah konten situs Anda dimuat dalam bingkai ( tag) atau iframe (

Mencegah skrip lintas situs Apa itu Cross-Site Scripting (XSS), & Mengapa Itu Adalah Ancaman KeamananKerentanan skrip lintas-situs adalah masalah keamanan situs web terbesar saat ini. Penelitian telah menemukan bahwa itu sangat umum - 55% situs web berisi kerentanan XSS pada 2011, menurut laporan terbaru White Hat Security, dirilis pada Juni ... Baca lebih banyak (XSS) juga akan membantu mengurangi kemungkinan serangan clickjacking di situs. Karena XSS juga digunakan untuk serangan lain, itu ide yang bagus untuk melindunginya.

Untuk meminimalkan kemungkinan serangan clickjacking pada perangkat seluler Anda, Anda mungkin ingin membatasi diri Anda hanya mengunduh aplikasi dari sumber tepercaya, seperti Apple App Store atau Google Play Toko. Meskipun ini bukan jaminan bahwa Anda akan terbebas dari serangan, aplikasi ini sangat kecil kemungkinannya untuk memasukkan kode berbahaya daripada yang Anda dapatkan dari sumber pihak ketiga.

Anda juga dapat menghindari menggunakan browser dalam aplikasi, karena ini adalah tempat umum untuk serangan touchjacking terjadi. Tetapkan perilaku default untuk membuka tautan di aplikasi Anda untuk dibuka di peramban sistem, alih-alih peramban dalam aplikasi, dan Anda akan menghilangkan satu lagi kelemahan potensial dalam pertahanan Anda.

Ancaman Nyata

Seperti disebutkan sebelumnya, clickjacking terdengar lebih mengganggu daripada ancaman nyata terhadap keamanan Anda, tetapi jika digunakan secara efektif, ini dapat membantu penyerang mencuri beberapa informasi yang sangat penting atau mendapatkan akses ke akun online Anda, di mana mereka dapat melakukan hal yang serius kerusakan.

Dan sementara sebagian besar pertahanan harus datang dari belakang layar, Anda dapat menggunakan pemblokiran skrip ekstensi untuk mencegah sebagian besar serangan ini - jika Anda setuju dengan penggunaan jenis pengaya ini, seperti mereka agak kontroversial AdBlock, NoScript & Ghostery - Trifecta Of EvilSelama beberapa bulan terakhir, saya telah dihubungi oleh banyak pembaca yang memiliki masalah dalam mengunduh panduan kami, atau mengapa mereka tidak dapat melihat tombol masuk atau komentar tidak dimuat; dan masuk... Baca lebih banyak .

Apakah Anda tahu ada contoh serangan clickjacking skala besar, atau pernahkah Anda menjadi korban dari salah satu serangan ini? Apakah Anda menggunakan NoScript atau menggunakan pertahanan apa pun di situs web Anda sendiri? Bagikan pemikiran Anda di bawah ini!

Kredit gambar: Mozilla.