Кликджекинг – механизм обмана пользователей, при котором переход по ссылке на каком-либо сайте перенаправляет пользователя на вредоносную страницу – стал очень эффективным. Часто он используется для распространения через Facebook ссылок на вредоносные сайты. Недавно подобные техники показали свою эффективность в деанонимизации посетителей сайта. Также переход по хитрой ссылке может
привести к тому, что злоумышленник получит доступ к данным OAuth. Давайте посмотрим, как это происходит.
Классическое применение кликджекинга – рапространение ссылок через Facebook
В классическом сценарии кликджекинга злоумышленник прячет кнопку «Like» или «Share» в прозрачном iframe. Этот iframe располагается над элементом страницы, на который должен нажать пользователь, также iframe может перемещаться за курсором мыши. При нажатии на элемент клик перенаправляется на невидимую кнопку «Like» или «Share». Такие действия не ограничивается Facebook`ом, злоумышленнику только нужно иметь возможность спрятать элементы другого сайта
в iframe.
Ниже приведено типичное сообщение, которое можно увидеть в сети Facebook, если одно из ваших соединений было перехвачено с помощью кликджекинга:
Пройдя по ссылке, расшаренной вашим другом, вы попадете на сайт с видео YouTube. Однако, вы не увидите кнопок «Like», которые я выделил на приведенном ниже скриншоте:
Кнопки «Like» расположены там, куда пользователь обычно нажимает, чтобы просмотреть видео: в середине окна и в левом нижнем углу. Жертва не увидит эти кнопки, потому что они находятся в невидимом прозрачном iframe. Запустив это видео пользователь нажмет кнопку «Like», увеличивая популярность сайта на Facebook.
Новые вариации техник кликджекинга
В работе Clickjacking Attacks Unresolved, Линь-Шунг Хуанг (Lin-Shung Huang) и Коллин Джексон (Collin Jackson) рассмотрели более хитрые вариации кликджекинга. Например, они продемонстрировали, как злоумышленник может идентифицировать пользователя вредоносного сайта, запрашивая его информацию у Facebook.
Я записал демонстрационное
видео деанонимизации пользователя. На видео показана кнопка «Like», которая перемещается за курсором жертвы, но в реальной атаке кнопка была бы невидимой. Когда пользователь неумышленно нажмет эту кнопку, он станет другом злоумышленника на Facebook (прошу прощения за возможную неточность в терминах Facebook, сам Facebook`ом не пользуюсь – прим. перев.) Затем Страница злоумышленника через FB.Event.subscribe(‘edge.create’, …) узнает, что жертва нажала
кнопку «Like», передает сообщение серверу злоумышленника, который получает список друзей и идентифицирует нового друга. Сервер запрашивает публичную информацию пользователя через Facebook Graph API, и удаляет пользователя из списка друзей.
Эти действия позволяют злоумышленнику получить публичные данные пользователя, включая id пользователя. Авторы работы демонстрируют эту атаку, проведя ее с помощью кнопки Твиттера «Follow»:
«GIGABYTE G1.Sniper 2: официальные фото и подробности» На официальной страничке GIGABYTE в социальной сети Facebook появились высококачественные изображения материнской платы G1.Sniper 2, построенной на чипсете Intel Z68. Таким образом, спустя месяц после премьерного показа, состоявшегося на выставке Computex 2011, новинка представлена официально...
«Intel отправляет на пенсию шестиядерный Core i7-970 и еще три низковольтажных процессора для ноутбуков» Компания Intel сообщила о том, что в скором времени ее производственную гамму покинут четыре процессора — Core i7-970, Celeron U3400, Core i5-540UM и Core i7-660UM. Заявки на них будут приниматься до 27 января следующего года, а датой последней поставки процессоров Celeron U3400, Core i5-540UM и Core i7-660UM значится шестое июля 2012 года. В то же время шестиядерный Core i7-970 будет отгружаться до тех пор, пока не иссякнут складские запасы...
«SSD Intel 710 Series замечены в предложении европейских интернет-площадок, цены впечатляют» Твердотельные накопители Intel 710 Series, дебют которых должен состояться в ближайшее время, уже давно не являются загадкой — мы подробно рассказывали о них еще в середине прошлого месяца. По сути, единственное, что не было известно до недавнего момента, это стоимость накопителей, но и это уже не секрет: источнику удалось обнаружить SSD в предложении двух европейских интернет-магазинов...
Обзор полезного программного обеспечения с возможностью скачать:
VertigoServ, 2.24 VertigoServ - это высокопрофессиональный и простой в установке набор, состоящий из Apache (HTTP веб-сервер), PHP (скриптовый язык программирования), MySQL (многопоточная, многопользовательская СУБД), SQLite (встраиваемый движок баз данных), SQLiteManager (многоязычная веб-утилита для управления БД SQLite), PhpMyAdmin (утилита, написанная на PHP для администрирования БД MySQL) и Zend Optimizer (который увеличивает производительность запущенных процессов на 40%) для платформы Windows...
Wireshark, 1.0.4 for MacOS X Программа Wireshark предназначена для анализа пакетов Ethernet и некоторых других сетей...
InstantVNC, 1.40 Программа InstantVNC предназначена для удаленного управления компьютером. Программа проста и не требует установки. Управлять компьютером, на котором запущена InstantVNC, можно при помощи любой программы, поддерживающей протокол VNC...
HelpSmith, 3.2 Программа HelpSmith предназначена для создания файлов CHM HTML Help, Web Help и справочных файлов. Обладает мощным текстовым процессором, поддерживает юникод, имеется возможность проверки орфографии и многое др...
Последние публикации из рубрики «Полезные советы по работе с компьютером»:
Microsoft Office - Excel
Для того, чтобы проверить грамматику одновременно во всех листах документа или заполнить определённые ячейки всех листов одной и той же информацией, нужно выделить все листы, щёлкнув правой кнопкой мыши по их заголовкам внизу экрана и выбрав соответствующий пункт меню. После группировки листов, что бы вы ни сделали с любой ячейкой на любом листе, — то же самое произойдёт с одноимёнными ячейками всех остальных листов документа (после окончания операций не забудьте разгруппировать листы, просто нажав на
заголовок какого-нибудь из них).
«Открылась Всемирная Федерация ТКМ !!!» Начиная с 1972г ВОЗ активно содействует изучению традиционной китайской медицины. Время интереса к ТКМ сменилось периодом ее тщательного исследования. Наша медицина также стремится совершенствоваться в русле этих рекомендаций. На базе корпорации "Ли Вест" открылось первое в России представительство Комитета по образованию Всемирной федерации обществ традиционной китайской медицины WFCMS!..."
- О, ты была у парикмахера? - замечает супруг. - Да, классно, не так ли? - оживляется супруга. - Да, пожалуй! И когда он обещал закончить?...
*****
Две подружки: - Ну что, свадьба скоро? - Боюсь, что очень нескоро. Мой жених - человек очень основательный. Сказал, что прежде, чем поженимся, он обязан познакомить меня со всеми своими родственниками. Вчера вот в зоопарк меня водил - знакомить начал с самых дальних...
*****
Мама Вовочки утром говорит мужу: - Вовочка говорит, что у него болит голова, надо бы позвать врача. - Да брось ты, он это каждую неделю говорит, чтобы сачкануть. - Это так, но дело в том, что сегодня воскресенье...
Внимание! Если хотите, чтобы мы посвятили рассылку Вам или вашему сайту, то пишите на почту: altvix@mail.ru
Вы можете добавить свою новость, статью или программу по адресу (необходимо зарегистрироваться): stss.3dn.ru
По вопросам размещения Ваших статей и информации в наших рассылках - пишите нам: altvix@mail.ru Вы можете добавлять информацию в наше сообщество: http://my.mail.ru/community/stssru/
Путеводитель по городу Истра и экскурсии в монастырь Новый Иерусалим. Информация здесь >>>
>
