Browsing: Clickjacking

    係囉,錯就要認,知錯就改,咁就抵讚!密碼管理工具 LastPass 被發現有漏洞,用戶有可能俾黑客盜取最近一次嘅登入憑證。LastPass 收到通知,立即回應,火速修復,抵讚! 密碼管理工具絕對係現代人嘅必備,全靠佢,先可以應付日常海量密碼登入帳號之苦。事關網絡安全專家建議大家唔好重用密碼,以免其中一個帳戶嘅登入資料被盜取,就會波及其他帳戶。不過一個正常人又點記得咁多複雜密碼?為免大家被密碼折磨,網上就出現咗好多密碼管理工具,而 LastPass 就係最受歡迎嘅工具之一。較早前,Google 嘅網絡安全工程師 Tavis Ormandy 發現 LastPass 有一個漏洞,黑客可以利用一個有效嘅 clickjacking 手法,引導用戶利用 LastPass 登入個人帳戶,然後轉移到惡意網站,截取資料。 雖然此漏洞只出現於 Google Chrome 及…

    Clickjacking 攻擊技術,以往大多用喺呃廣告點擊方面,黑客會喺受害者嘅電腦或手機上安裝惡意軟件,暗中點擊網站上嘅廣告嚟賺取廣告費。不過,而家呃人已經唔似以前咁容易,因為互聯網廣告供應商都開發咗一啲偵測系統嚟捉鬼,只要點擊廣告嘅行為有可疑,例如重複點擊同一個廣告,又或瀏覽網頁時唔轉頁淨係 click 廣告等等,都會被視為無效點擊,令到黑客無咁易呃到廣告費及點擊率。 不過,正所謂「路不轉人轉」,呢個方法唔可行,黑客咪研究新方法囉,最新技術就係騎劫網民嘅點擊,即係明明你點呢個位,實際上就點咗其他地方,又或者係你開啟嘅連結同字面表述不符等。 Microsoft Research 最近就聯同香港中文大學、首爾國立大學等學術機構發表研究報告,透過開發出一款名為「Observer」嘅工具,去檢查 Alexa 頭 25 萬最多人瀏覽嘅網站,睇下當中有幾多個被黑客植入惡意騎劫程式碼。最後發現,當中有 613 個網站中招,每日總瀏覽量高達 4300 萬。研究人員又指出,喺被發現中招嘅網站中,有接近 36% 嘅點擊騎劫係用嚟賺取廣告費,其餘騎劫就用喺將網民轉去一啲詐騙網站。而為咗避免令網民起疑,黑客仲識得限制騎劫頻率添。 問題就搵咗出嚟,但點樣防範呢?答案係都要靠網站或瀏覽器製造商時刻偵測網站有無俾黑客植入惡意程式碼,同時間,亦可以喺網民真正點擊連結前,提供多啲連結資料俾網民,等佢哋更容易知道條 link…