Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

  • Ajouter aux favoris
    Ajouter aux favoris

Le détournement de clic ou clickjacking

Lu par: 12307 Commentaires: 0 Cote de popularité: 40

jeudi 8 septembre 2016

Faites-vous confiance à votre souris d'ordinateur ? Lorsque vous cliquez sur un bouton ou un lien publié sur un site Web, vous pouvez être victime de clickjacking.

Clickjacking (terme anglais qui signifie « interception d’un clic de souris ») - Le clickjacking est une technologie malveillante permettant à un pirate de commettre des actes frauduleux en utilisant une partie invisible située « par-dessus » la page Web affichée dans le navigateur. C'est dans cette couche que les pirates téléchargent des objets dont ils ont besoin (par exemple, un élément de contrôle : un bouton ou un lien), le clic sur un bouton invisible ou sur un lien entraîne l'exécution de l'action prévue pas les criminels. Par exemple, ceci peut vous abonner à un service payant, ou vous pousser à faire un achat dans une boutique en ligne, voire provoquer une perte de données confidentielles. Les éléments invisibles implantés par les pirates dans les pages Web peuvent suivre le curseur - dans ce cas, toute pression sur un élément se trouvant sur la page concernée entraîne une action sur le site externe, et tout cela à l'insu de l'utilisateur qui ne s'aperçoit de rien !

Lu sur un forum : « C'était chouette lorsqu'il y avait un bogue dans Flash qui permettait d'organiser une couche invisible de sorte que quand on clique sur un lien, un bouton invisible s'active et démarre une webcam :)

Vous imaginez ? Vous visitez un site et en un clin d'oeil, vous êtes pris en photo et un message s’affiche vous demandant de payer une rançon pour récupérer les informations vous concernant :-)

https://habrahabr.ru/post/123923

Le clickjacking est connu depuis 2008. Cette technique est parfois utilisée par des entreprises sans scrupules afin d'augmenter de façon artificielle le nombre de "j'aime" de leur page sur les réseaux sociaux ou le nombre de visites de leurs sites, ainsi que pour obtenir des informations personnelles de manière illégale. Il suffit de placer un bouton invisible par-dessus un bouton existant, le pirate n’a donc pas forcément besoin d’être développeur ou programmeur. Il suffit de contacter un des nombreux services qui proposent par exemple la " Détermination des profils des visiteurs de votre site dans les réseaux sociaux Vk et Facebook " et d’obtenir ainsi les codes déjà prêts à être installés sur un site Web.

Par exemple, lors du démarrage de Google Play, ou de certaines applications banque -client de banques russes, le Trojan ciblant Android Android.SmsSpy.88.origin affichait par-dessus des fenêtres un faux formulaire pour y entrer des données confidentielles; après avoir reçu les détails d'une carte bancaire, il les envoyait aux criminels.

screen #drweb

https://news.drweb.fr/show/?c=5&i=9956&lng=fr

Le Trojan bancaire Android.ZBot est intéressant car il peut voler les identifiants, mots de passe et autres informations sensibles en utilisant des champs de saisie affichés par-dessus toute application, dont l'apparence est générée selon la commande que les criminels téléchargent depuis leur serveur de contrôle. Dans ce cas, les formulaires sont liés à des applications ciblées pour créer l’illusion qu'ils sont vrais.

https://news.drweb.fr/show/?c=5&i=9754&lng=fr

Le projet Lumières sur la sécurité recommande

  • Utilisez les dernières versions des navigateurs et plugins (tels que Flash, dont les versions obsolètes sont vulnérables aux attaques de clickjacking). Quel que soit le navigateur et le système d’exploitation installé sur le périphérique, vous devez utiliser sa dernière version avec toutes les mises à jour installées.
  • Configurez le navigateur en utilisant ses mécanismes de protection intégrés contre le c lickjackin g ou installez les plugins appropriés s’ils sont disponibles, par exemple, NoScript - un plugin anti-clickjacking gratuit pour Mozilla Firefox.
  • Utilisez le mode sécurisé ou privé dans votre navigateur Web.
  • Ne vous précipitez pas à cliquer sur des liens ou boutons, lancer des applications dans les réseaux sociaux, assurez-vous d’abord que c'est exactement ce dont vous avez besoin.
  • Utilisez un antivirus. La technologie Dr.Web Script Heuristics présente dans Dr.Web Antivirus et Dr.Web Security Space permet de prévenir la modification des pages Web consultées via votre navigateur par des scripts malveillants.
  • Les utilisateurs doivent se préoccuper de leur sécurité numérique, de même que les développeurs de sites Web et d’applications qui doivent également prendre des mesures préventives. Pour eux, il existe des méthodes pour écrire des codes permettant de détecter et d'empêcher le clickjacking (par exemple, sur le site Code Secure Blog). Vous pouvez prendre connaissance de certaines recommandations ici : https://learn.javascript.ru/clickjacking.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.