Le détournement de clics: qu'est-ce que c'est et comment pouvez-vous l'éviter?

Publicité

En ce qui concerne les façons dont les pirates et les distributeurs de logiciels malveillants ont accès à votre ordinateur, il y a certaines choses dont on parle beaucoup: ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique]Vous pouvez installer le pare-feu le plus solide et le plus cher du secteur. Vous pouvez informer les employés des procédures de sécurité de base et de l'importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais comment ... Lire la suite , Injection SQL Qu'est-ce qu'une injection SQL? [MakeUseOf explique]Le monde de la sécurité Internet est en proie à des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une foule d'autres problèmes qui nous tiennent tous sur nos orteils tous les jours. Pour les particuliers, ... Lire la suite , Attaques DDoS Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique]Le terme DDoS siffle chaque fois que le cyber-activisme se lève en masse. Ce type d'attaques fait la une des journaux internationaux pour de multiples raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou très ...

Lire la suite , etc. Mais une attaque dont on ne parle pas autant est tout aussi néfaste que les autres détournement de clics.

Le détournement de clics est difficile à détecter, peut affecter à peu près n'importe qui et est réparti sur une grande variété de systèmes d'exploitation et d'applications. Voici ce que vous devez savoir sur le détournement de clics, y compris ce qu'il est, où vous le verrez et comment vous protéger contre cela.

Qu'est-ce que le Clickjacking?

Comme vous l'avez peut-être déduit du nom, le détournement de clics est le processus de détournement du clic d'un utilisateur sur un ordinateur (il peut également être utilisé pour détourner des frappes, mais le "détournement de touches" est beaucoup plus difficile à dire). Ce processus peut se dérouler de plusieurs façons, mais ils ont tous une chose en commun: un utilisateur pense qu'il clique sur une chose, alors qu'en réalité, il clique sur autre chose.

De nombreuses attaques de détournement de clics incluent une interface utilisateur transparente placée sur une autre interface que l'utilisateur s'attend à voir (c'est pourquoi «correction de l'interface utilisateur» est un autre nom pour cette méthode). Ensuite, lorsque cet utilisateur pense qu'il clique sur quelque chose, il clique sur quelque chose d'autre qu'il ne peut pas voir. Vous pensez peut-être que vous cliquez sur un lien qui vous inscrira à un newsletter sympa Apprenez quelque chose de nouveau avec 10 bulletins électroniques valablesVous serez surpris de la qualité des newsletters aujourd'hui. Ils font un retour. Abonnez-vous à ces dix newsletters fantastiques et découvrez pourquoi. Lire la suite , lorsque vous cliquez sur un bouton permettant à un cybercriminel d'accéder à votre compte de messagerie, par exemple.

Un autre type d'attaque modifie la position réelle du curseur de l'utilisateur, mais laisse l'écran intact, de sorte que le curseur ressemble à un endroit, mais se trouve en fait à un autre. On dirait que ce serait juste un gros ennui, mais il peut être utilisé pour amener les gens à cliquer sur des choses qui trahissent information sensible 10 éléments d'information qui sont utilisés pour voler votre identitéLe vol d'identité peut être coûteux. Voici les 10 informations que vous devez protéger afin que votre identité ne soit pas volée. Lire la suite .

Certaines autres attaques créatives tombent également sous le parapluie du clickjacking. Par exemple, une attaque récente a utilisé un logiciel malveillant pour rediriger les recherches des utilisateurs sur Bing, Google et Yahoo vers des pages de résultats personnalisées (et frauduleuses) remplies d'annonces optimisées par Google AdSense. Les utilisateurs cliquaient sur les annonces, pensant qu'ils étaient des résultats de recherche légitimes, et les attaquants étaient payés.

Certaines personnes incluent même des attaques de type ingénierie sociale dans le détournement de clics; par exemple, en 2009, un tweet circulait sur Twitter qui disait «Ne clique pas» et comprenait un lien. Chaque fois que quelqu'un cliquait sur le lien, la même chose était tweetée depuis son compte. Techniques similaires Cinq menaces Facebook susceptibles d'infecter votre PC et leur fonctionnement Lire la suite ont été utilisés pour diffuser des liens générateurs d'argent sur Facebook.

Le clickjacking ne se limite pas seulement aux sites Web et aux applications dans lesquels les utilisateurs ont une souris; cela peut également se produire sur des appareils mobiles. Un exemple récent est Android. Lockdroid. E, un morceau de Ransomware Android Malware sur Android: les 5 types que vous devez vraiment connaîtreLes logiciels malveillants peuvent affecter les appareils mobiles et de bureau. Mais n'ayez pas peur: un peu de connaissances et les bonnes précautions peuvent vous protéger contre les menaces telles que les ransomwares et les escroqueries de sextorsion. Lire la suite qui a utilisé le détournement de clic (ou le «détournement de contact», si vous préférez) pour obtenir des droits administratifs sur le périphérique cible. Et nous avons récemment entendu parler du Vulnérabilité d'accessibilité au détournement de clics sur Android Comment les services d'accessibilité Android peuvent être utilisés pour pirater votre téléphoneDiverses failles de sécurité ont été trouvées dans la suite d'accessibilité d'Android. Mais à quoi sert ce logiciel? Lire la suite smartphones et tablettes.

Ce que vous pouvez faire pour empêcher le détournement de clics

Malheureusement, vous ne pouvez pas faire grand-chose pour empêcher le détournement de clics, sauf si vous êtes un administrateur de site Web. La méthode de loin la plus recommandée pour vous protéger pendant que vous naviguez consiste à utiliser NoScript, le module complémentaire Firefox qui empêche le chargement des scripts sans autorisation spécifique de tu. NoScript possède des fonctionnalités spécifiquement anti-détournement de clics et est très efficace pour détecter les types de scripts qui créent des superpositions transparentes sur les sites Web.

Toutes extensions similaires que vous pouvez utiliser pour empêcher le chargement de scripts ou d'applications Contrôlez votre contenu Web: extensions essentielles pour bloquer le suivi et les scriptsLa vérité est qu'il y a toujours quelqu'un ou quelque chose qui surveille votre activité et votre contenu Internet. En fin de compte, moins nous laissons de renseignements à ces groupes, plus nous serons en sécurité. Lire la suite fournira également une certaine protection.

Cependant, les meilleures défenses contre le détournement de clic doivent provenir des administrateurs du site. Beaucoup de défenses sont plutôt techniques, et si vous voulez savoir exactement comment les implémenter, je vous recommande de consulter la feuille de triche de la défense contre le détournement de clics d'OWASP.

L'une des meilleures façons d'éviter le détournement de clics sur votre site consiste à inclure un en-tête HTTP x-frame-options qui empêche le contenu de votre site d'être chargé dans un cadre ( tag) ou iframe (

Prévenir script intersite Qu'est-ce que le Cross-Site Scripting (XSS) et pourquoi il s'agit d'une menace pour la sécuritéLes vulnérabilités de script intersite sont le plus gros problème de sécurité de site Web aujourd'hui. Des études ont révélé qu'elles sont étonnamment courantes - 55% des sites Web contenaient des vulnérabilités XSS en 2011, selon le dernier rapport de White Hat Security, publié en juin ... Lire la suite (XSS) contribuera également à réduire les risques d'attaque par détournement de clics sur un site. Parce que XSS est également utilisé pour d'autres attaques, c'est une bonne idée de se protéger de toute façon.

Pour minimiser la probabilité d'une attaque de détournement de clics sur votre appareil mobile, vous souhaiterez peut-être restreindre vous-même pour télécharger uniquement des applications à partir de sources fiables, comme l'App Store d'Apple ou Google Play Boutique. Bien que cela ne garantisse pas que vous serez à l'abri des attaques, ces applications sont considérablement moins susceptibles d'inclure du code malveillant que celles que vous obtenez d'une source tierce.

Vous pouvez également éviter d'utiliser des navigateurs intégrés à l'application, car il s'agit d'un endroit courant pour les attaques de détournement de touche. Définissez le comportement par défaut pour l'ouverture des liens dans vos applications à ouvrir dans le navigateur du système, au lieu du navigateur intégré, et vous éliminerez une faiblesse potentielle supplémentaire dans votre défense.

Une vraie menace

Comme mentionné précédemment, le détournement de clics ressemble plus à une gêne qu'à une menace réelle pour votre sécurité, mais s'il est utilisé efficacement, cela peut aider les attaquants à voler des informations très importantes ou à accéder à vos comptes en ligne, où ils pourraient faire de graves dommage.

Et bien que la majeure partie de la défense doive provenir des coulisses, vous pouvez utiliser le blocage de script extensions pour empêcher la plupart de ces attaques - si vous êtes d'accord avec l'utilisation de ces types de modules complémentaires, comme ils sont un peu controversé AdBlock, NoScript et Ghostery - Le Trifecta du malAu cours des derniers mois, j'ai été contacté par un bon nombre de lecteurs qui ont eu des problèmes pour télécharger nos guides, ou pourquoi ils ne peuvent pas voir les boutons de connexion ou les commentaires ne se chargent pas; et en... Lire la suite .

Connaissez-vous des exemples d'attaques à grande échelle par détournement de clics, ou avez-vous été victime d'une de ces attaques? Utilisez-vous NoScript ou déployez-vous des défenses sur votre propre site Web? Partagez vos pensées ci-dessous!

Crédit d'image: Mozilla.