什么是点击劫持?保护自己免受这个无声杀手的侵害
VeePN 比点击劫持领先一步
我们将在剖析之后讨论如何防止点击劫持。良好的虚拟专用网络 (VPN) 是保护点击劫持等在线威胁的最佳方法之一。 VeePN 通过加密连接和隐藏 IP 地址来保护您的互联网流量,从而提高您的数字安全,使您免受网络钓鱼、跟踪甚至以无害 Web 内容形式伪装的恶意软件注入的影响。
您将得到:
- 加密军事级别的数据
- 通过全球服务器网络匿名浏览
- 内置恶意网站防护
- 跨设备兼容性以确保您所有小工具的安全
- 为了使其更加安全,值得安装浏览器扩展以防止所有有害的脚本和请求。
如果您想控制自己的在线隐私,VeePN 是您所需的工具。
什么是点击劫持
称为“点击劫持”或“UI 纠正”的恶意行为是网络犯罪分子采用的一种技术,旨在误导用户点击与用户想法不同的内容。它基本上是一个视觉骗局:攻击者在看似有效的网页上隐藏或叠加隐藏对象(例如按钮或链接),并修改用户界面以使用户认为他们正在单击安全对象。
攻击者可以通过使用诱饵站点或流氓站点叠加不可见页面来接近覆盖层,并诱骗用户处理他或她看不到的恶意内容。实际上,用户认为界面上一切正常,但它是恶意的,旨在使用户无意识地采取行动,而用户必须不知情,攻击者越多地利用用户知道或不知道的信息来提高攻击的成功率。
这可以通过单击按钮的示例来说明,该按钮的内容为观看视频,但它会像恶意页面一样创建 Facebook 页面,或者提交您的个人和机密数据。在这些情况下,当受害者点击他们看不到的项目时,点击劫持的受害者可能会执行他们无意的操作,并且通常采用社会工程来提高用户查看恶意内容并与之交互的可能性。
点击劫持攻击的类型
点击劫持攻击有多种变体,每种变体都基于网页呈现或操作的方式。一个典型的例子是完全透明的覆盖层,攻击者会在合法页面之上建立一个完全透明的层,并欺骗用户点击恶意页面上的不可见按钮或链接。还有裁剪攻击,其中仅某些控件(例如恶意页面的“提交”按钮)覆盖在受信任的站点上,导致用户相信他们正在与原始页面进行交互。
其他形式是隐藏覆盖(其中仅隐藏某些方面)和单击事件删除(这会干扰用户单击的位置)。快速内容替换会在用户即将单击时替换内容,滚动和重新定位攻击会重新排列元素以迷惑用户。拖放攻击将能够通过在页面上拖动项目来欺骗用户进行操作。
了解此类点击劫持攻击将有助于设计有效的保护措施。通过了解攻击者操纵页面和用户操作的技术,网站的用户和所有者能够保护其网站免受这些欺骗性攻击。
点击劫持攻击的解释
这是点击劫持攻击一般结构的简化图:
建立一个看起来有效的网站,通常具有知名品牌或服务。
它在界面顶部显示一个不可见的 iframe,通常是另一个站点或命令,通常是恶意的。黑客可以篡改当前页面或插入表单来获取用户数据。嵌入不受信任的内容或外部内容时,应该观察加载到 iframe 中的内容。
用户只能看到可见的站点,而不知道隐藏的另一面。可以将用户的点击重定向到目标应用程序或目标站点。
存在意外行为,例如泄露个人数据、批准资金转移或安装恶意软件。应用程序中的页面即使只有一个页面也容易受到点击劫持,除非得到有效的保护。
现实生活中的点击劫持
点击劫持并非假设:它已在现场部署:
👹Facebook 点赞劫持:人们被欺骗了,这样他们就可以喜欢他们不感兴趣的页面。
👹相机/麦克风权限:其他的则涉及欺骗个人在他们不知情的情况下授予他们的网络摄像头或麦克风。
👹网上银行诈骗:骗子利用叠加层误导用户汇款。
攻击者通过模拟点击劫持攻击来测试目标网站的安全性,以确定是否可以让用户采取行动,这种情况很常见。
那么,谁面临风险?
任何用户,无论是临时用户还是与业务相关的用户,都可能遭受点击劫持。黑客是不分青红皂白的。只要您浏览网页并与之通信,您就可能处于危险之中。尤其是移动用户,由于屏幕尺寸减小和基于触摸的界面,更容易受到攻击,并且隐形元素更难以注意到。
如何防范点击劫持
以下是一些安全提示:
🛡️应用VPN,例如维PN:它可以保护您的流量并帮助阻止可疑网站。
🛡️升级浏览器:点击劫持攻击通常可以通过安全补丁和更新来修复。
🛡️启用浏览器中的安全选项:假设内容安全策略并禁用 iframe 嵌入(如果可用)。
🛡️避免可疑链接:切勿点击未确定来源的任何链接或按钮。
🛡️安装安全扩展:您可以使用 NoScript 或 uBlock Origin 等扩展来阻止可疑脚本和 iframe。
开发人员使用 X-Frame-Options 标头来阻止点击劫持
只要您在运营网站,您就可以通过以下方式保护用户:
- 通过添加 X-Frame-Options HTTP 标头来防止网站被框架:此标头通常在 Web 服务器级别上配置。 X-Frame-Options 最初是为与 Internet Explorer 8 一起使用而开发的,其他浏览器也以不同的方式支持它。
- 基于内容安全策略(CSP)使用frame-ancestors指令来定义可以嵌入您的内容的域;这些保护将确保您的内容不会嵌入到不可见的框架中。
定期测试您的网站以查看框架破坏方面的弱点。
内容安全策略:附加安全措施
对于任何想要提高其安全性以抵御点击劫持攻击的网站所有者来说,内容安全策略 (CSP) 都是一种有效的解决方案。 CSP 可以通过定义允许在网页上加载和运行的内容源来帮助避免嵌入未经授权的脚本和框架。 CSP 中的frame-ancestors 指令特别重要,因为它允许您明确定义哪些域可以被允许构建您的网页,而所有其他域则默认被阻止。
与 X-Frame-Options 标头结合使用时,CSP 是框架选项和 Web 安全的完整解决方案。定义良好的内容安全策略 CSP 可以将您的内容仅嵌入到受信任的网站,从而显着降低被点击劫持的风险,并保护您的 Web 资源被使用和滥用。对于网站所有者来说,使用 CSP 和 X-Frame-Options 可以被视为现代 Web 保护的最佳实践。
框架破坏技术
框架破坏技术是指可用于确保网页无法被其他站点加载到框架或 iframe 中的一组方法。一般来说,这些方法都是通过JavaScript代码来识别页面是否被框架化,如果是的话,就会强制页面跳出框架,呈现在上方的窗口中。这是避免点击劫持攻击的方法之一,因为很难将攻击者框架覆盖在合法页面上。
然而,框架破坏并不是万无一失的。在某些情况下,攻击者可能会通过采用更复杂的技术来绕过这些安全措施,这可能会限制基于 JavaScript 的框架破坏(例如 HTML5 沙箱属性)的功效。由于这些限制,不建议单独使用框架破坏,而应与其他保护措施结合使用,例如设置 X-Frame-Options 和使用内容安全策略,以提供更可靠的保护来抵御点击劫持攻击。
服务器端保护策略
应在服务器端完成针对点击劫持攻击的防护。这也是将 X-Frame-Options 标头添加到 Web 服务器的响应标头的最佳方法之一。将此标头设置为 DENY 或 SAMEORIGIN,可以告诉浏览器拒绝其他页面或同一域中的页面构建您的页面。这是一种简单的措施,可以在用户受到影响之前防止大量点击劫持攻击。
与 X-Frame-Options 一样,包含frame-ancestors 指令的内容安全策略 (CSP) 可以提供另一个服务器端级别的保护。这使您能够精确控制哪些域可以构建您的内容,从而允许您细粒度地控制您的网页如何嵌入其他网站。这些服务器端保护方法的组合可以降低点击劫持攻击的风险并保证网站及其用户的安全。
测试点击劫持漏洞
网站上的点击劫持测试是确保良好网络安全的重要组成部分。执行此操作的一个简单方法是简单地放置一个简单的 HTML 页面,该页面尝试在您的网站上构建敏感页面。当页面加载到框架中时,您的网站很容易受到点击劫持攻击。自动 Web 应用程序扫描器的解析器还可以通过发送没有 X-Frame-Options 标头或不正确设置内容安全策略的网站来检测可能的漏洞。
此外,还有一些浏览器插件和扩展可用于在人们继续使用浏览器时帮助检测和防止点击劫持攻击。通过对网页的一致测试和工具的使用,您将能够在攻击者利用漏洞之前检测并解决漏洞。主动测试对于任何有效的点击劫持保护计划都很重要。
摘要:使用 VeePN 消除点击劫持
点击劫持实际上是您可以意识到的最具欺骗性但也是最危险的网络攻击类型之一,这是您的第一道防线。然而,这不仅仅是意识。无论是浏览、在线购物还是工作,使用 VeePN,您都将能够获得所有必要的安全功能,这将帮助您避免陷入点击劫持和其他在线风险的陷阱。您准备好安心购物了吗?使用 VeePN 进行安全、私密且无点击劫持的浏览。
