Przejdź do PayU, Tpay, Elavon i odbierz darmowy moduł i dostęp do Koszyki24.pl!
Najprościej mówiąc, clickjacking to rodzaj ataku, w którym ofiara klika elementy na stronie, którą uważa za znaną i zaufaną. Bez jej wiedzy kliknięcie trafia jednak w złośliwą, ukrytą warstwę (lub witrynę), nałożoną na legalną stronę.
Czasem takie kliknięcie wygląda na całkowicie nieszkodliwe. Przykładowo, atakujący podszywający się pod marketera może przygotować post zachęcający do „polubienia” na Facebooku - to technika znana jako likejacking. Kliknięcie może jednak prowadzić do znacznie groźniejszych działań: nieautoryzowanego pobrania złośliwego oprogramowania, uruchomienia kodu JavaScript w celu włączenia kamery internetowej, przechwycenia haseł lub rejestrowania naciśnięć klawiszy.
W sklepach internetowych tę technikę często wykorzystuje się w procesie zamówienia, w tzw. checkout. Pod koniec składania zamówienia użytkownik może zostać przekierowany na inną witrynę, która nie jest prawdziwą stroną płatności. Na takiej stronie mogą być zbierane dane karty, a następnie wykorzystywane do zakupów w innym miejscu.
To prawdopodobnie najpopularniejsza strategia przechwytywania kliknięć. Polega na nałożeniu legalnej strony internetowej na złośliwą stronę. Prawidłowa strona jest ładowana do niewidocznego elementu iframe, a użytkownik nie ma pojęcia, że pod spodem znajduje się złośliwa warstwa. Uprawa
Przycinanie, które jest trudniejsze do zaprogramowania, występuje wtedy, gdy cyberatakujący nakłada na legalną stronę tylko wybrane kontrolki ze złośliwej strony. Osoba atakująca może zastąpić hiperłącza na legalnej stronie przekierowaniami, podmienić tekst przycisków na inny (wprowadzając ofiarę w błąd) lub zmienić treści w sposób, który zmyli użytkownika.Ukryta nakładka
To może obejmować różne metody ukrywania, jednak często cyberatakujący tworzy bardzo mały element iframe, czasem nawet o rozmiarze 1x1 piksela. Taki element może zostać umieszczony pod kursorem myszy i pozostać niewykrywalny dla ofiary. W efekcie każde kliknięcie przeniesie użytkownika do złośliwej strony.
Ta strategia, znana również jako X-Frame-Options, opiera się na nagłówku odpowiedzi - czyli kodzie, który wskazuje, czy przeglądarka powinna mieć zezwolenie na renderowanie strony w ramce, jako osadzonej treści lub obiektu - podczas ładowania strony. Nagłówek daje webmasterowi kontrolę nad wykorzystaniem elementów iframe i obiektów. Dzięki temu dodatkowi webmaster może zdecydować, czy osadzanie strony w ramce ma być dozwolone, czy całkowicie zablokowane.
X-Frame-Options został po raz pierwszy opracowany dla Internet Explorera 8 i nie działa w pełni spójnie we wszystkich przeglądarkach. Zespół programistów powinien wziąć to pod uwagę podczas wdrażania tej opcji. Używane razem, CSP i X-Frame-Options mogą stanowić silną obronę przed atakiem typu clickjacking.
Clickjacking - znany również jako atak na interfejs użytkownika - został ukuty przez Jeremiaha Grossmana i Roberta Hansena w 2008 roku.
Chociaż clickjacking może przypominać phishing (podszywanie się) - czyli odtwarzanie witryn lub stron docelowych, aby przekonać użytkowników, że fałszywe strony są oryginalne - jest to technika bardziej wyrafinowana. Strona, którą widzi ofiara, jest prawdziwą witryną znanego i zaufanego podmiotu. Atakujący dodaje jednak niewidoczną nakładkę na jej treść, wykorzystując różne technologie HTML, w tym kaskadowe arkusze stylów (CSS) oraz iframe, które umożliwiają osadzanie treści z innych witryn na innej stronie.
Przygotowaliśmy specjalną nakładkę, która zabezpiecza sklep przed wyświetlaniem jego zawartości w ramach iframe.
Program sprawdza, czy sklep jest wyświetlany w tej samej domenie. Jeśli nie - ukrywa jego zawartość, tym samym uniemożliwiając potencjalnej ofierze poruszanie się po sklepie.
Przygotowaliśmy specjalną stronę, na której po podaniu adresu swojej strony lub sklepu możesz sprawdzić, czy jest podatna na atak typu Clickjacking
Jeśli chcesz, abyśmy zabezpieczyli Twoją stronę, napisz do nas w tej sprawie.
