- Minamanipula ng clickjacking ang interface gamit ang mga invisible layer upang ilihis ang mga pag-click sa mga nakatago at potensyal na mapanganib na aksyon.
- Mayroong maraming variant (tulad ng jacking, cursorjacking, cookiejacking, double-clickjacking) na nakakaapekto sa mga website, mobile app, at online banking.
- Ang proteksyon ay nangangailangan ng pagsasama-sama ng kahusayan ng gumagamit, na-update na software, at mga teknikal na hakbang tulad ng X-Frame-Options, CSP, at mga defense script.
- Ang isang maraming-patong na estratehiya sa seguridad at patuloy na kamalayan ay makabuluhang nakakabawas sa panganib ng pagdurusa sa ganitong uri ng pag-atake.
Ang clickjacking ay naging isa sa mga pinaka-lihim na panlilinlang Sa mundo ng cybersecurity: tila normal ang lahat sa screen, nagki-click ka kung saan mo inaakala na dapat mong i-click... at, nang hindi mo namamalayan, may pinapahintulutan kang ibang-iba sa background. Walang kakaibang mga window o hindi pangkaraniwang mga download, tanging isang interface lang na minanipula para mag-click ka nang eksakto kung saan gusto ng attacker.
Ang ganitong uri ng pag-atake, na kilala rin bilang click hijacking o user interface redirectionPinagsasama nito ang social engineering at mga pamamaraan sa web tulad ng mga iframe at stylesheet upang maglagay ng mga invisible layer sa mga lehitimong pahina. Ang resulta ay maaari kang mag-install ng malware, ibigay ang iyong mga kredensyal sa bangko, o i-activate ang iyong camera nang hindi mo namamalayan. Tingnan natin kung ano talaga ito, anong mga variant ang umiiral, at, higit sa lahat, kung ano ang maaari mong gawin upang protektahan ang iyong sarili bilang isang user at bilang isang administrator ng website.
Ano ang clickjacking at bakit ito mapanganib?
Ang Clickjacking ay isang pamamaraan kung saan "hina-hijack" ng attacker ang iyong mga pag-click. para i-redirect ka sa mga nakatagong elemento sa ibang pahina bukod sa inaakala mong ginagamit mo. Makakakita ka ng tila hindi nakakapinsalang button (magsara ng ad, sumali sa giveaway, tulad ng…), ngunit sa itaas o sa ibaba nito ay isang iframe o isang transparent na layer na naglalaman ng isang tunay at mapanganib na button.
Ang susi ay nasa pagkakapatong-patong ng mga interface.Normal na naglo-load ang lehitimong site, ngunit nagdadagdag ang cybercriminal ng transparent at halos hindi nakikitang interface sa itaas, na siyang talagang nakakatanggap ng click. Makakamit ito gamit ang HTML, custom CSS, at mga iframe na naglo-load ng content mula sa ibang mga domain, gamit ang mga karaniwang web functionality.
Hindi tulad ng klasikong phishing, kung saan kino-clone ang isang pekeng website Sa clickjacking, kadalasang tinitingnan ng user ang totoong website ng kanilang bangko, social network, o iba pang kilalang serbisyo para ilagay ang kanilang data. Ang sekreto ay wala sa ganap na pagpapanggap na peke ang site, kundi sa layer sa itaas na humaharang sa interaksyon.
Ang terminong "clickjacking" ay nilikha noong 2008 nina Jeremiah Grossman at Robert HansenAt mula noon, ang pamamaraan ay lubos na umunlad. Sa kasalukuyan, ang mga pag-atake ay maaaring mula sa mga simpleng patibong hanggang sa pagpaparami ng mga "like" hanggang sa mga advanced na scheme na nagpapagana ng mga webcam, nagre-record ng mga keystroke, o nagbabago ng mga kritikal na setting ng seguridad sa mga serbisyo ng korporasyon.
Ang tunay na epekto sa gumagamit ay maaaring maging mapaminsala.Pagnanakaw ng mga kredensyal sa pagbabangko, mga hindi awtorisadong paglilipat, mga pagbili sa mga online na tindahan, pag-post ng nilalaman sa mga social network nang walang pahintulot, pag-install ng spyware, o malayuang pag-access sa mga mapagkukunan ng device (camera, mikropono, SMS, mga contact, atbp.). At lahat ng ito ay may mga aksyon na kasing-karaniwan ng pag-double click sa isang tila lehitimong button.
Paano teknikal na gumagana ang isang clickjacking attack
Ang mekanismo ng isang clickjacking attack ay karaniwang sumusunod sa halos magkatulad na istruktura.Bagama't maraming mga baryasyon at antas ng pagiging sopistikado, ang proseso ay magiging ganito sa pangkalahatan:
1. Paghahanda ng pahina ng bitag
Ang umaatake ay nagdidisenyo ng isang kapansin-pansin o tila inosenteng website: maaaring ito ay isang pahina ng laro, isang umano'y breaking news, isang pekeng form, isang kaakit-akit na patalastas, o isang landing page na may hindi mapaglabanan na premyo. Ang layunin ay hikayatin ang gumagamit na bisitahin ang pahinang iyon at ma-motivate na mag-click.
2. Paglalagay ng target na nilalaman sa isang nakatagong iframe
Sa loob ng pahinang iyon, nag-e-embed ang cybercriminal ng isang iframe na naglo-load ng isa pang website: maaaring bahagi ito ng isang online bank, mga setting ng seguridad ng isang serbisyo ng SaaS, screen ng mga pahintulot ng isang app, o isang feature ng social media. Ang iframe na ito ay nakaposisyon gamit ang CSS upang ito ay nakahanay sa button na ipinapakita sa user, ngunit nananatiling hindi nakikita o halos transparent.
3. Biswal na manipulasyon gamit ang mga transparent na layer
Gamit ang mga istilo ng CSS (absolute positioning, z-index, very low opacity, atbp.), ang touch-sensitive layer ay inilalagay nang direkta sa ibaba ng lugar kung saan naniniwala ang user na nagki-click sila. Minsan, ginagamit ang mga custom cursor upang linlangin ang user, kasama ang mga pekeng banner o higanteng mga buton upang gabayan ang mouse nang eksakto sa nais na punto.
4. Ang pag-click ng gumagamit ay nagti-trigger ng palihim na aksyon
Kapag nag-click ang user, iniisip nilang nagsasara sila ng pop-up, nagsisimula ng laro, o sumasang-ayon sa isang bagay na hindi nakakapinsala. Gayunpaman, ang pag-click ay aktwal na inilalapat sa button ng iframe: maaari itong "Pahintulutan ang Pagbabayad," "Burahin ang Account," "Bigyan ng mga Pahintulot ng Administrator," o "I-on ang Camera/Microphone." Hindi nakikita ng user ang aktwal na aksyon, ngunit isinasagawa pa rin ito.
5. Sa mas malalang mga pag-atake, ang biktima ay naglalagay ng sensitibong impormasyon.
Sa ilang mga sitwasyon, hindi lang ito tungkol sa pag-click, kundi pagta-type. Maaaring i-overlay ng attacker ang isang pekeng form sa ibabaw ng isang lehitimong login form para sa isang bangko o iba pang mahalagang serbisyo. Ilalagay ng biktima ang kanilang username, password, numero ng card, o mga verification code, sa paniniwalang nasa tamang interface sila, at ang data na ito ay direktang ipinapadala sa server na kontrolado ng mga kriminal.
Clickjacking sa mga mobile phone at online banking
Ang mga mobile device, at lalo na ang mga banking app, ay isang lubhang kapaki-pakinabang na target. para sa ganitong uri ng pag-atake. Sa isang banda, pinagtutuunan nila ng pansin ang lubhang sensitibong impormasyon; sa kabilang banda, ang interaksyon sa paghawak ay perpekto para sa paglalagay ng mga hindi nakikitang layer "sa pagitan ng daliri at ng screen".
Sa isang karaniwang senaryo, binubuksan ng user ang kanilang banking app.Ilalagay ng user ang kanilang ID at password at naniniwalang nakikita nila ang kanilang karaniwang dashboard. Gayunpaman, maaaring mag-overlay ang isang dating naka-install na malisyosong application ng isang user interface na ginagaya ang screen na iyon, kaya lahat ng tina-type ng user ay ipapadala sa isang server na kontrolado ng mga attacker.
Ipinakita ng malware tulad ng Svpeng kung gaano kapaki-pakinabang ang pamamaraang itoAng Android banking trojan na ito, na kumalat sa dose-dosenang mga bansa, ay gumamit ng mga pamamaraan ng clickjacking at screen overlay upang magnakaw ng mga kredensyal, mag-access ng mga mensaheng SMS (kabilang ang mga verification code ng bangko), magbasa ng mga contact, tumawag, kumuha ng mga screenshot, at sa pangkalahatan ay kontrolin ang device kapag nakuha na ang mga pribilehiyo ng administrator.
Kapag nakuha na ng malware ang mga mataas na pribilehiyong itoMaaari nilang piliin kung aling mga screen ang ilalagay sa ibabaw, magpasya kung kailan ipapakita ang mga pekeng form, at ipadala ang lahat ng uri ng impormasyon sa command and control server: listahan ng mga naka-install na app, mga call log, mga SMS message, mga contact… Gamit ito, maaari pang malampasan ng mga attacker ang mga two-factor authentication system batay sa mga text message.
Ang ganitong uri ng banta ay hindi lamang limitado sa Android.Anumang plataporma na may internet access at kakayahang magpakita ng mga interface (mga tablet, laptop, desktop, at iba pang mobile system) ay maaaring maging target ng mga katulad na pag-atake, bagama't ang mga teknikal na mekanismo ay nag-iiba depende sa operating system at mga pahintulot na ipinagkakaloob ng mga application.
Mga halimbawa sa totoong mundo at mga karaniwang gamit ng clickjacking
Bagama't madalas na tinatalakay ang clickjacking sa mga abstraktong termino, may mga konkretong halimbawa. Ipinapakita ng mga halimbawang ito kung gaano katagumpay ang paggamit ng taktikang ito laban sa malalaking plataporma at mga ordinaryong gumagamit. Kabilang sa ilang karaniwang halimbawa ang:
Clickjacking sa mga social network (tulad ng jacking)
Ang layunin dito ay karaniwang magpalaki ng mga istatistika o magpakalat ng mga malisyosong link. Itinatago ng attacker ang tunay na "Like" button sa isang social network sa likod ng isang kapansin-pansing larawan o mensahe. Iniisip ng user na nagki-click sila sa isang kaakit-akit na larawan o teksto, ngunit sa katotohanan, nagli-like o sumusubaybay sila sa mga pahina at profile na hindi nila sinasadya, na nakakatulong sa pagkalat ng mga spam campaign o scam.
Clickjacking sa online banking at mga pagbabayad
Sa mga pinansyal na sitwasyon, ginagamit ang pamamaraang ito upang linlangin ang mga gumagamit na pahintulutan ang mga paglilipat, mga pagbabago sa configuration ng seguridad, o pagbibigay ng mga pahintulot sa API. Ang isang pag-click na tila nagsasara ng isang window o tumatanggap ng mga hindi nakakapinsalang tuntunin at kundisyon ay maaaring aktwal na nagkukumpirma ng isang malaking epekto sa transaksyong pinansyal.
Pag-activate ng hardware: camera, mikropono, o mahahalagang pahintulot
Isa pang partikular na nakababahalang gamit ay ang paggamit ng clickjacking upang linlangin ang mga user na magbigay ng pahintulot na ma-access ang kanilang webcam, mikropono, o lokasyon. Ang isang dialog box na tila isang simpleng kumpirmasyon ay maaaring magtago ng karaniwang window na "Gusto mo bang payagan ang site na ito na gamitin ang iyong camera?". Sa isang maling pag-click lang, maaaring buksan ng isang attacker ang pinto para sa pag-eespiya.
Mapanlinlang na advertising at mga hindi gustong download
May mga natukoy na patalastas na may mga transparent na overlay na, kapag na-click, ay nagre-redirect sa mga site na puno ng mga installer ng adware, spyware, o malware. Sa maraming pagkakataon, hindi man lang alam ng user na sinimulan na nila ang pag-download o pinahintulutan ang pag-install ng isang malisyosong component, dahil ang visual interaction ay tila hindi nakakapinsala.
Pandaraya sa e-commerce at mga pamilihan
Sinamantala ng ilang malisyosong kampanya ang mga nakompromisong website upang maglunsad ng mga kahilingang "one-click purchase" sa mga online na tindahan tulad ng Amazon gamit ang mga nakatagong frame. Iniisip ng user na sumasali sila sa isang paligsahan o pinupunan ang isang form, ngunit sa katotohanan, kinukumpleto nila ang isang hindi gustong pagbili gamit ang kanilang sariling mga paraan ng pagbabayad.
Mga pangunahing uri at variant ng clickjacking
Ang pangunahing layunin ay palaging pareho: linlangin ang gumagamit na mag-click kung saan hindi dapat.Gayunpaman, mayroong ilang mga espesyalisadong variant na sulit na makilala dahil gumagamit ang mga ito ng iba't ibang pamamaraan at nagta-target ng iba't ibang layunin.
Pagkagugulo ng damdamin
Kabilang dito ang pagmamanipula ng mga button na "Like" o mga katulad na interaksyon sa social media. Naniniwala ang gumagamit na nakikipag-ugnayan sila sa isang partikular na nilalaman (isang balita, larawan, video), ngunit sa katotohanan, sila ay nagla-like, sumusubaybay, o nagbabahagi ng iba pang nilalaman, kadalasan ay may kahina-hinalang komersyal o tahasang malisyosong intensyon.
Pag-cursorjack
Sa kasong ito, ang taktika ay nakasalalay sa hindi pagkakahanay ng cursor. Tinatakpan ng attacker ang aktwal na posisyon ng pointer sa pamamagitan ng pagpapakita ng isang bahagyang offset, pekeng icon. Ito ay humahantong sa biktima na maniwala na sila ay nagki-click sa isang elemento ngunit, sa katotohanan, ang pag-click ay napupunta sa ibang elemento ng pahina o isang hindi nakikitang iframe. Ito ay lalong nakakainis at mahirap matukoy kung gagawin nang tumpak.
Pag-cookiejack
Ang target dito ay ang mga browser cookies. Sa pamamagitan ng mga overlay at visual na panlilinlang, nililinlang ng mga umaatake ang mga user na pahintulutan ang mga aksyon na sa huli ay maglalantad sa kanilang mga cookies, na naglalaman ng impormasyon ng session at iba pang sensitibong data. Ang data na ito ay maaaring gamitin upang magpanggap na iba at kontrolin ang mga account nang walang password.
Pag-jack ng File
Sa ganitong uri ng pag-atake, naglalagay ang mga hacker ng mga hindi nakikitang frame sa ibabaw ng mga button na "Browse Files" o katulad nito. Naniniwala ang biktima na nag-a-upload sila ng file para sa isang lehitimong layunin, ngunit sa katotohanan, nagbibigay sila ng access sa mga lokasyon o dokumento na maaaring basahin o i-upload ng attacker nang hindi nila nalalaman. Maaari itong makaapekto sa mga serbisyo sa cloud o mga web-based storage interface.
Pagdadaya ng daga
Mas malayo pa ang gagawin ng variant na ito, na naglalayong kontrolin nang malayuan ang mga function ng device, kabilang ang mga galaw ng mouse at input ng keyboard. Sa pamamagitan ng mga kahinaan sa mga wireless device o partikular na software, maaaring isagawa ng isang attacker ang mga command, pindutin ang mga button, o magsulat ng code nang hindi hinahawakan ng user ang kahit ano.
Pag-clickjack nang walang browser at mga pag-atakeng multi-step
Hindi lahat ng clickjacking ay direktang isinasagawa sa browser sa klasikong paraan.May mga pamamaraan na nakakaapekto sa mga mobile system at sinasamantala ang oras na lumilipas sa pagitan ng isang alerto at ng tugon ng gumagamit.
Clickjacking nang walang browser (lalo na sa Android)
Sa ilang mga smartphone, lalo na ang Android, naglalagay ang mga attacker ng mga pekeng icon o overlay sa pagitan ng paglabas ng isang pop-up notification at ng ganap na pagpapakita nito. Nililinlang nito ang user na isipin na tumutugon sila sa isang alerto, ngunit sa katotohanan ay tinatapik nila ang isang overlay na nagbibigay ng mga pahintulot o nagsisimula ng mga malisyosong aksyon.
Mga awtomatikong pag-atake na isang pag-click lamang
Sa tinatawag na autonomous attacks, isang pag-click lang ang kailangan. Isang invisible frame ang inilalagay sa ibabaw ng button sa page, at sa isang pag-click na iyon, isinasagawa ang hindi awtorisadong aksyon: pag-subscribe sa isang serbisyo, pagbibigay ng access sa isang API, pagbili, o pagbura ng account. Mabilis ang mga ito at napakahirap matukoy ng user.
Mga pag-atakeng maraming hakbang
Sa ibang mga sitwasyon, ang cybercriminal ay nangangailangan ng ilang magkakaugnay na interaksyon. Halimbawa, upang makumpleto ang isang hindi awtorisadong pagbili, dapat munang idagdag ng user ang produkto sa cart, pagkatapos ay kumpirmahin ang address, at panghuli ay i-click ang "Checkout." Ang attacker ay maaaring magdisenyo ng ilang hindi nakikitang frame nang magkakasunod, upang ang bawat pag-click ng user ay maisagawa ang isa sa mga hakbang na ito nang hindi nila namamalayan.
Mga pag-atake na sinamahan ng iba pang mga kahinaan (tulad ng DOM XSS)
Ang mga pag-atake ng clickjacking ay maaari ring magsilbing daan patungo sa mas kumplikadong mga banta. Ang isang karaniwang kombinasyon ay ang clickjacking kasama ang DOM XSS, na nagsasamantala sa mga kahinaan sa client-side code upang baguhin ang pag-uugali ng pahina at magsagawa ng mga hindi awtorisadong aksyon.
Sa mga pinagsamang pag-atakeng ito, ang unang mapanlinlang na pag-click ay maaaring maging sanhi ng pag-atake. ng isang mas malaking exploit chain, kung saan ang code ay inilalagay, ang mga session token ay ninanakaw, ang mga form ay minamanipula, o ang mga komunikasyon sa pagitan ng user at ng server ay naharang.
Pag-double-clickjacking: kapag ang problema ay ang pangalawang pag-click
Isang partikular na kapansin-pansing kamakailang pag-unlad ay ang tinatawag na double-clickjackingGinagamit nito ang isang bagay na karaniwan tulad ng mabilis na pag-double click sa isang buton. Matagal nang ginagamit ng mga browser ang mga depensa laban sa mga single-click attack, ngunit hindi nila laging nagagawang pangasiwaan nang maayos ang dalawang magkasunod na pag-click.
Sa pamamaraang ito, ang umaatake ay nagsingit ng isang malisyosong elemento sa pagitan ng una at pangalawang pag-click.Isipin na may lumalabas na kahina-hinalang buton o captcha para sa pagkumpirma. Sa unang pag-click, sa halip na direktang isagawa ang aksyon, isang hindi nakikitang window ang magsasara o ang interface ay muling iko-configure, at isa pang elemento (isang kritikal na buton) ang ilalagay nang direkta sa ilalim ng pointer para sa pangalawang pag-click.
Kapag isinagawa ng gumagamit ang pangalawang pag-click na "dahil sa nakasanayan"Sa pag-aakalang normal lang ang kinukumpirma nito, isa pala itong ganap na naiiba at sensitibong aksyon: pag-apruba ng bayad, pagbibigay ng mga advanced na pahintulot, pag-activate ng high-risk API integration, o pagpapalit ng setting ng seguridad sa isang corporate dashboard.
Ang ganitong uri ng pag-atake ay matagumpay nang nagamit sa mga legal at laganap na plataporma., tulad ng Slack, Shopify o Salesforce, kung saan ang isang simpleng pag-double click sa tamang konteksto ay nagbigay-daan sa mga pagbabago sa mga patakaran sa seguridad, pagtanggap ng mga mapanganib na integrasyon o mga pahintulot ng mga operasyong pang-ekonomiya.
Ang malaking problema sa double-clickjacking ay napakahirap itong matukoy. Mula sa pananaw ng gumagamit, walang mga pekeng website o kahina-hinalang pag-download, at kadalasan ay walang mga panlabas na pag-redirect: lahat ng bagay ay nangyayari sa loob mismo ng lehitimong platform, na sinasamantala ang mga kahinaan ng interface. Bukod pa rito, ang mga proteksyong nakapaloob sa mga browser at application ay karaniwang nakatuon sa isang pag-click lamang, hindi sa lohika ng pangalawang pag-click.
Mga bunga ng clickjacking para sa mga gumagamit at kumpanya
Ang mga kahihinatnan ng clickjacking ay higit pa sa isang simpleng pagkairitaDepende sa konteksto at layunin ng umaatake, ang epekto ay maaaring banayad o lubos na kritikal para sa biktima, kapwa sa personal at korporasyong antas.
Pagnanakaw ng mga kredensyal at digital na pagkakakilanlan
Kapag ang mga layer na ito ay inilagay sa ibabaw ng mga form sa pag-login o pagbawi ng account, maaaring makuha ng isang attacker ang mga username, password, PIN, o verification code. Gamit ang datos na ito, maaari nilang direktang ma-access ang online banking, email, social media, o mga administration panel.
Mga hindi awtorisadong transaksyon sa pananalapi at mga pagbili
Sa mga sistema ng pagbabayad at e-commerce, ang isang na-hijack na pag-click ay maaaring sapat na upang pahintulutan ang mga paglilipat, gumawa ng mga pagbili, baguhin ang mga detalye ng pagbabayad, o tanggapin ang mga paulit-ulit na singil. Maraming biktima ang hindi nakakaalam kung ano ang nangyayari hangga't hindi nila tinitingnan ang kanilang mga bank statement o nakatanggap ng mga abiso ng kahina-hinalang aktibidad.
Pagkalat ng malware at spyware
Ang ilang clickjacking attack ay idinisenyo upang mag-trigger ng mga tahimik na pag-download ng malware. Nagki-click ang biktima sa tila link sa isang artikulo ng balita o video, ngunit ang totoo ay nagda-download ng Trojan, ransomware, o spyware na mag-i-install mismo sa background kung ang system ay hindi maayos na protektado.
Pagkontrol at paniniktik ng aparato
Sa mga pinakamalalang kaso, ang paggamit ng mga invisible layer ay nagbibigay-daan sa isang attacker na makakuha ng access sa camera, mikropono, mga mensaheng SMS, lokasyon, o storage ng device. Mula doon, maaari silang mag-spy, mag-record ng mga pag-uusap, kumuha ng mga dokumento, o kahit na kontrolin ang system.
Pagkasira ng reputasyon at pagsasamantala sa mga social network
Sa social media, maaaring gamitin ang clickjacking upang makabuo ng mga like, follower, o awtomatikong post nang hindi nalalaman ng gumagamit. Hindi lamang nito sinisira ang reputasyon ng biktima kundi nakakatulong din ito sa pagkalat ng mga mapanlinlang na kampanya, panloloko, at mga scam na nagsasamantala sa tiwala ng kanilang mga contact.
Paano protektahan ang iyong sarili mula sa clickjacking bilang isang user
Ang iyong unang linya ng depensa ay ang iyong sariliBagama't nagpatupad ang mga developer at browser ng napakalakas na teknikal na hakbang, ang katotohanan ay maraming pag-atake ng clickjacking ang umaasa sa kuryosidad, pagmamadali, at kawalan ng atensyon ng gumagamit. Narito ang ilang praktikal na tip:
Mag-ingat sa mga email, ad, at link na tila napakaganda para maging totoo.
Marami sa mga kampanyang ito ay nagsisimula sa isang "apurahang" email, isang hindi kapani-paniwalang alok, o isang kahindik-hindik na balita na idinisenyo upang hikayatin kang mag-click. Kung ang isang bagay ay tila napakaganda (o masyadong nakababahala) para maging totoo, maglaan ng ilang sandali upang suriin ang pinagmulan at, kung maaari, saliksikin ang impormasyon mismo sa isang maaasahang website sa halip na umasa sa link.
Iwasan ang pag-install ng mga application mula sa hindi opisyal na mga mapagkukunan
Sa mga mobile device, lalo na ang Android, maraming malisyosong app ang palihim na pumapasok mula sa labas ng mga opisyal na app store. Ang pag-install lamang mula sa Google Play, App Store, o iba pang awtorisadong repository ay lubos na nakakabawas sa posibilidad na magkaroon ng malware na idinisenyo upang mag-overlay ng mga screen at magnakaw ng data.
Panatilihing laging napapanahon ang iyong operating system at browser
Ang mga kahinaan na nagpapahintulot sa ilang uri ng clickjacking ay mabilis na naaayos kapag natuklasan. Kung ang iyong browser, operating system, o mga pangunahing app ay luma na, binibigyan mo ng kalamangan ang attacker. Paganahin ang mga awtomatikong update hangga't maaari.
Gumamit ng mga pinagkakatiwalaang extension ng seguridad (NoScript, ScriptSafe, uBlock Origin…)
Pinapayagan ka ng ilang plugin na harangan ang mga script at kahina-hinalang naka-embed na nilalaman, o kahit na gawing nakikita ang mga hindi nakikitang frame. Gayunpaman, tandaan na maaari nilang masira ang mga bahagi ng mga lehitimong pahina at palalain ang karanasan ng gumagamit, kaya pinakamahusay na i-configure ang mga ito nang maingat at palaging pumili ng mga mapagkakatiwalaang mapagkukunan.
Maghanap ng mga kakaibang detalye sa interface
Kung may mapansin kang mga hindi inaasahang pop-up, mga hindi magkatugmang button, mga magkakapatong na elemento, o mga hindi pangkaraniwang prompt ng pag-double click, mainam na ihinto at suriin ito. Mainam din na iwasan ang mabilis na pag-double click sa mga mahahalagang elemento at maingat na basahin ang mga mensahe ng kumpirmasyon bago i-click ang "OK."
Mga hakbang sa teknikal na proteksyon para sa mga developer at kumpanya
Mula sa panig ng server at web development, mayroong ilang napakabisang depensa. na lubhang nakakabawas sa panganib na magamit ang iyong site sa isang clickjacking attack. Bagama't walang iisang hakbang ang sigurado, ang isang layered strategy ay nagpapahirap sa buhay ng umaatake.
X-Frame-Options Header
Isa ito sa mga klasikong mekanismo. Ito ay isang HTTP header na nagsasabi sa browser kung maaaring ipakita o hindi ang isang pahina sa loob ng isang iframe. Ang mga pangunahing halaga nito ay:
- ITANGGI: pinipigilan ang anumang domain na ipakita ang pahina sa isang frame.
- PAREHONG PINAGMULAN: pinapayagan lamang ang orihinal na site na i-frame ito.
- PAHINTULOT MULA SA https://example.com: nagpapahintulot lamang ng mga partikular na domain (bagaman ang halagang ito ay hindi sinusuportahan ng lahat ng modernong browser).
Bagama't may mga limitasyon ang X-Frame-Options sa mga multi-domain na kapaligiranIto ay nananatiling isang simpleng layer na ilalapat at lubhang kapaki-pakinabang kapag isinama sa iba pang mga patakaran sa seguridad.
Patakaran sa Seguridad ng Nilalaman (CSP) at direktiba ng frame-ancestors
Pinapayagan ka ng CSP na tukuyin kung aling mga mapagkukunan ng nilalaman ang awtorisadong mag-load ng mga mapagkukunan sa iyong site. Tungkol sa clickjacking, ang direktiba frame-ancestors Ito ang mahalaga: maaari mong tukuyin kung aling mga mapagkukunan ang pinapayagang i-frame ang iyong mga pahina.
- Patakaran sa Seguridad ng Nilalaman: frame-ancestors 'wala': ipinagbabawal ang anumang site na i-host ang iyong nilalaman sa isang iframe.
- Patakaran sa Seguridad ng Nilalaman: frame-ancestors 'sarili': nililimitahan ang mga frame sa domain mismo.
- Patakaran sa Seguridad ng Nilalaman: frame-ancestors https://example.com: nagpapahintulot lamang ng ilang partikular na domain.
Ang pagsasama ng CSP sa X-Frame-Options ay nagreresulta sa mas matibay na proteksyon laban sa mga pagtatangkang i-load ang iyong site sa mga third-party na iframe para sa mga malisyosong layunin.
Mga script para sa pagsira ng frame at pag-alis ng frame
Ang isa pang pamamaraan, na lalong kapaki-pakinabang sa mga mas lumang browser, ay kinabibilangan ng pagsasama ng mga script na nakakakita kung ang iyong pahina ay naka-load sa loob ng isang frame at, kung gayon, pinipilit itong palabasin (halimbawa, sa pamamagitan ng pagbubukas ng pahina sa pangunahing window). Maaari ring subukang gawing nakikita ng mga script na ito ang mga hindi nakikitang frame o pigilan ang mga ito na ma-click.
Bagama't maaaring iwasan ang mga paraang ito ng mga umaatake na may mataas na kaalamanNanatili silang karagdagang hadlang, lalo na kapag isinama sa mga modernong header at isang mahusay na configuration ng CSP.
Intersection Observer API at mga kontrol sa visibility
Ang Intersection Observer API ay nagbibigay-daan sa mga developer na matukoy kung at hanggang saan ang isang elemento ay talagang nakikita ng user. Gamit ito, maaari mong suriin kung ang isang mahalagang bahagi ng interface (tulad ng button na "Delete Account") ay natatakpan ng ibang layer, kahit na sa loob ng isang iframe. Kung ang button ay hindi ganap na nakikita, maaari mong i-disable ang aksyon o humingi ng karagdagang kumpirmasyon.
Mga extension ng korporasyon at seguridad ng email
Sa kapaligiran ng negosyo, ipinapayong pagsamahin ang mga hakbang na ito sa matibay na spam filter na humaharang sa mga phishing email o iyong mga idinisenyo upang akitin ang mga empleyado sa mga scam website. Bukod pa rito, ang regular na pagpapaalam sa mga kawani tungkol sa mga ganitong uri ng banta ay nakakabawas sa posibilidad na mag-click sila sa mga mapanganib na link na ipinapadala sa pamamagitan ng email.
Mga karagdagang pinakamahusay na kagawian para sa mga sensitibong site
Higit pa sa mga headline at patakaran, may mga estratehiya sa disenyo na nakakatulong na mabawasan ang epekto ng isang potensyal na clickjacking attack o gawin itong mas mahirap na matagumpay na maisagawa.
Huwag hayaang magsagawa ng mga mapaminsalang aksyon ang kahit isang keystroke lang
Sa mga kritikal na operasyon (pagbubura ng mga account, paglilipat ng malalaking halaga ng pera, pagpapalit ng mga setting ng seguridad), ipinapayong humiling ng higit sa isang salik: muling hilingin ang password, humingi ng 2FA code, magpakita ng buod ng operasyon at humingi ng malinaw na kumpirmasyon sa isang kontekstong mahirap kopyahin gamit ang isang hindi nakikitang frame.
Pagpapatunay ng konteksto ng pinagmulan
Sa mga sensitibong anyo at aksyon, dapat patunayan ng mga developer hindi lamang ang nilalaman ng kahilingan kundi pati na rin ang pinagmulan nito, mga header, mga token ng CSRF, at iba pang kaugnay na impormasyon. Bagama't hindi nito pinipigilan ang lahat ng clickjacking, pinapakomplikado nito ang pagsasamantala at binabawasan ang ibabaw ng pag-atake.
Pagsubaybay sa mga hindi pangkaraniwang pattern ng pag-click
Kung matutukoy ng isang serbisyo na maraming user ang paulit-ulit na nagki-click sa eksaktong parehong coordinate, o na ang mga kritikal na aksyon ay palaging isinasagawa pagkatapos ng parehong uri ng visual event, maaaring maglabas ng mga alerto at masuri upang matukoy kung mayroong posibleng interface attack na nagaganap.
Panloob na pagsasanay at kamalayan
Sa mga organisasyong may mga application na naka-facing sa internet, mahalagang maunawaan ng mga development, security, at support team kung ano ang clickjacking at kung paano ito pagaanin. Kabilang dito ang regular na pagsusuri ng mga application, pagsasagawa ng mga security audit, at paggamit ng mga resources tulad ng mga gabay ng OWASP o espesyal na pagsasanay.
Sa huli, ang clickjacking ay isang halo ng panlilinlang na biswal at pang-aabuso sa mga lehitimong tampok ng web.Ito ay tahimik, hindi nakikita ng mata, at maaaring umasa sa mas kumplikadong mga kadena ng pag-atake, ngunit maaari rin itong mapagaan sa pamamagitan ng kombinasyon ng sentido komun habang nagba-browse, patuloy na mga pag-update, naaangkop na mga tool sa seguridad, at mabubuting kasanayan sa pagbuo ng web at mobile application.