Clickjacking Qu'est-ce que c'est et comment l'éviter?
En ce qui concerne les moyens par lesquels les pirates informatiques et les distributeurs de logiciels malveillants accèdent à votre ordinateur, il y a certaines choses dont on parle beaucoup: l'ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Vous pouvez installer le pare-feu le plus puissant et le plus coûteux de l'industrie. Vous pouvez renseigner les employés sur les procédures de sécurité de base et sur l’importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais comment… En savoir plus, injection SQL Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Le monde de la sécurité Internet est en proie à des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une multitude d'autres problèmes qui nous tiennent tous sur le qui-vive tous les jours. Pour les utilisateurs privés,… En savoir plus, attaques DDoS Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle à chaque fois que le cyber-activisme surgit en masse. Ce type d'attaques fait les gros titres de la presse internationale pour plusieurs raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement… Lire la suite, etc. Mais une attaque dont on ne parle pas autant est aussi néfaste que les autres est détournement de clic.
Le détournement de clic est difficile à détecter, peut toucher n'importe qui et se propage sur une grande variété de systèmes d'exploitation et d'applications. Voici ce que vous devez savoir sur le détournement de clics, y compris ce que c'est, où vous le verrez et comment vous en protéger.
Qu'est-ce que le Clickjacking??
Comme vous l'avez peut-être compris dans le nom, le détournement de clic est le processus de détournement de clic d'un utilisateur sur un ordinateur (il peut également être utilisé pour détourner des frappes au clavier, mais “keystrokejacking” est beaucoup plus difficile à dire). Ce processus peut se dérouler de plusieurs manières, mais ils ont tous une chose en commun: un utilisateur pense cliquer sur une chose, alors qu'en réalité, il clique sur autre chose..
De nombreuses attaques de clickjacking incluent une interface utilisateur transparente placée sur une autre interface que l'utilisateur s'attend à voir (c'est pourquoi “Redressement de l'interface utilisateur” est un autre nom pour cette méthode). Ensuite, lorsque cet utilisateur pense qu'il clique sur quelque chose, il clique sur quelque chose d'autre qu'il ne peut pas voir. Vous pensez peut-être que vous cliquez sur un lien qui vous permettra de vous inscrire à une infolettre cool. Apprenez quelque chose de nouveau avec 10 bulletins d'information par courriel valables. Apprenez quelque chose de nouveau avec 10 bulletins d'information par courriel valables. Vous serez surpris de la qualité des bulletins d'information d'aujourd'hui. Ils font un retour. Abonnez-vous à ces dix newsletters fantastiques et découvrez pourquoi. En savoir plus, lorsque vous cliquez sur un bouton qui donne à un cybercriminel un accès à votre compte de messagerie, par exemple.
Un autre type d'attaque modifie la position réelle du curseur de l'utilisateur, mais laisse l'affichage inchangé, de sorte que le curseur a l'air d'être à un endroit, mais en réalité à un autre. On dirait que ce serait un gros désagrément, mais cela peut être utilisé pour amener les gens à cliquer sur des éléments qui révèlent des informations sensibles. 10 morceaux d’informations utilisés pour voler votre identité 10 morceaux d’information utilisés pour voler votre identité selon Pour le Bureau de la justice des États-Unis, le vol d'identité a coûté plus de 24 milliards de dollars aux victimes en 2012, soit plus que le cambriolage d'un domicile, le vol de véhicules à moteur et le vol de propriété. Ces 10 informations sont ce que recherchent les voleurs… Read More .
Certaines autres attaques créatives relèvent également du détournement de clic. Par exemple, une attaque récente a utilisé un logiciel malveillant pour rediriger les recherches des utilisateurs sur Bing, Google et Yahoo vers des pages de résultats personnalisées (et frauduleuses) remplies d'annonces utilisant Google AdSense. Les utilisateurs cliquaient sur les annonces, pensant qu'il s'agissait de résultats de recherche légitimes, et les attaquants seraient payés..
Certaines personnes incluent même des attaques de type ingénierie sociale dans le détournement de clic; Par exemple, en 2009, un tweet circulait autour de Twitter disant “Ne cliquez pas” et inclus un lien. Chaque fois que quelqu'un clique sur le lien, la même chose est tweetée depuis son compte. Techniques similaires Cinq menaces Facebook susceptibles d’infecter votre PC et leur fonctionnement Cinq menaces Facebook pouvant d’infecter votre PC et leur fonctionnement en lire plus ont été utilisées pour diffuser des liens générateurs d’argent sur Facebook.
Le détournement de clic ne se limite pas aux sites Web et aux applications dans lesquels les utilisateurs ont une souris. cela peut aussi arriver sur des appareils mobiles. Un exemple récent est Android.Lockdroid.E, un ransomware Android Malware sur Android: les 5 types de logiciels malveillants indispensables sur Android: Les 5 types de logiciels malveillants sur Android peuvent affecter les logiciels malveillants, tant sur les appareils de bureau que de bureau. . Mais n’ayez pas peur: un peu de connaissance et les précautions appropriées peuvent vous protéger contre des menaces telles que les attaques de ransomware et de sextorsion. Lire la suite qui utilisait un clickjacking (ou “Touchjacking,” si vous préférez) pour obtenir des droits d’administration sur le périphérique cible. Et nous avons récemment entendu parler de la vulnérabilité de Clickjacking sur Android. Comment les services d’accessibilité Android peuvent être utilisés pour pirater votre téléphone Comment les services d’accessibilité Android peuvent être utilisés pour pirater votre téléphone Des chercheurs en sécurité ont identifié une vulnérabilité de sécurité dans les services d’accessibilité Android, qui pourrait un attaquant pour prendre le contrôle de l'appareil. Voyons comment vous pouvez empêcher cela. Lire plus smartphones et tablettes.
Ce que vous pouvez faire pour empêcher le détournement de clic
Malheureusement, vous ne pouvez rien faire pour empêcher le détournement de clic si vous n'êtes pas administrateur de site Web. De loin, la méthode la plus couramment recommandée pour se protéger lorsque vous naviguez consiste à utiliser NoScript, l'add-on Firefox qui empêche le chargement des scripts sans autorisation spécifique de votre part. NoScript possède des fonctionnalités spécifiquement anti-détournement de clic et est très efficace pour détecter les types de scripts créant des superpositions transparentes sur des sites Web..
Toutes les extensions similaires que vous pouvez utiliser pour empêcher le chargement de scripts ou d'applications Contrôle de votre contenu Web: Extensions essentielles pour bloquer le suivi et les scripts Contrôle de votre contenu Web: Extensions essentielles pour le suivi du suivi et des scripts En réalité, il y a toujours quelqu'un ou quelque chose qui surveille votre Activité Internet et contenu. En fin de compte, moins nous laissons l’information à ces groupes, plus nous serons en sécurité. Lire la suite fournira également une certaine protection.
Les meilleures défenses contre le détournement de clic doivent toutefois provenir des administrateurs du site. Beaucoup de défenses sont plutôt techniques, et si vous voulez savoir exactement comment les mettre en œuvre, je vous recommande de consulter la feuille de triche pour la défense contre le détournement de clic d'OWASP..
L'un des meilleurs moyens d'empêcher le détournement de clics sur votre site consiste à inclure un en-tête HTTP x-frame-options empêchant le chargement du contenu de votre site dans un cadre ( balise) ou iframe (
Prévention des scripts entre sites Qu'est-ce qu'un script entre sites (XSS), & Pourquoi est-ce une menace à la sécurité? Qu'est-ce qu'un script intersite (XSS)? & Pourquoi est-ce une menace? Les vulnérabilités de script inter-sites sont aujourd'hui le plus gros problème de sécurité des sites Web. Des études ont révélé qu'elles étaient extrêmement courantes - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin… Lire la suite (XSS) contribuera également à réduire les risques d'attaque par clic sur un site. Parce que XSS est également utilisé pour d'autres attaques, c'est une bonne idée de se protéger de toute façon..
Pour minimiser les risques d'attaque par clic sur votre appareil mobile, vous pouvez vous limiter au téléchargement d'applications uniquement à partir de sources fiables, telles que l'Apple App Store ou le Google Play Store. Bien que cela ne garantisse pas l'absence d'attaque, ces applications sont beaucoup moins susceptibles d'inclure du code malveillant que celles provenant d'une source tierce..
Vous pouvez également éviter d'utiliser des navigateurs intégrés à l'application, car il s'agit d'un lieu courant pour les attaques de type touchjacking. Définissez le comportement par défaut d'ouverture de lien dans vos applications pour qu'il s'ouvre dans le navigateur système, au lieu du navigateur intégré, et vous éliminerez une faiblesse supplémentaire de votre défense..
Une vraie menace
Comme mentionné précédemment, le détournement de clic sonne plus comme une gêne que comme une menace réelle pour votre sécurité, mais s'il est utilisé efficacement, il peut aider les pirates à voler des informations très importantes ou à accéder à vos comptes en ligne, où ils pourraient causer de graves dommages..
Et si l'essentiel de la défense doit provenir des coulisses, vous pouvez utiliser des extensions de blocage de script pour empêcher la plupart de ces attaques - si vous acceptez d'utiliser ce type de module complémentaire, car elles sont un peu controversées. AdBlock , NoScript & Ghostery - La Trifecta du mal AdBlock, NoScript & Ghostery - La Trifecta du Mal Ces derniers mois, j'ai été contacté par un bon nombre de lecteurs qui ont eu des problèmes pour télécharger nos guides, ou pourquoi ils ne peuvent pas voir les boutons de connexion ou les commentaires ne se chargeant pas; et dans… Lire la suite .
Connaissez-vous des exemples d'attaques de type clickjacking à grande échelle ou avez-vous été victime de l'une de ces attaques? Utilisez-vous NoScript ou déployez-vous des défenses sur votre propre site Web? Partagez vos pensées ci-dessous!
Crédit image: Mozilla.
En savoir plus sur: Clickjacking, Piratage, Sécurité en ligne.