Serangan Clickjacking: Waspadai Identifikasi Jejaring Sosial

Sulit untuk menolak mengklik tautan penawaran iPhone gratis. Tapi hati-hati: klik Anda dapat dengan mudah dibajak, dan hasilnya bisa menjadi bencana.


Clickjacking adalah metode serangan, juga dikenal sebagai Redressing Antarmuka Pengguna, karena disetel dengan menyamarkan (atau memperbaiki) tautan dengan overlay yang menipu pengguna untuk melakukan sesuatu yang berbeda dari yang ia kira.

Sebagian besar pengguna jejaring sosial menikmati kenyamanan untuk tetap masuk ke mereka setiap saat. Penyerang dapat dengan mudah memanfaatkan kebiasaan ini untuk memaksa pengguna menyukai atau mengikuti sesuatu tanpa memperhatikan. Untuk melakukan ini, penjahat dunia maya dapat meletakkan tombol yang menggoda – misalnya, dengan teks yang menarik, seperti “iPhone Gratis – tawaran waktu terbatas” – di laman webnya sendiri dan tutup bingkai tak kasat mata dengan halaman jejaring sosial di dalamnya, sedemikian rupa. cara tombol “Suka” atau “Bagikan” terletak di atas tombol iPhone Gratis.

Trik clickjacking sederhana ini dapat memaksa pengguna Facebook untuk menyukai grup atau halaman penggemar tanpa mengetahuinya.

Skenario yang dijelaskan cukup polos, dalam arti bahwa satu-satunya konsekuensi bagi korban adalah ditambahkan ke grup jejaring sosial. Tetapi dengan upaya ekstra, teknik yang sama dapat digunakan untuk menentukan apakah pengguna login ke akun perbankannya dan, alih-alih menyukai atau berbagi beberapa item media sosial, ia dapat dipaksa untuk mengklik tombol yang mentransfer dana ke akun penyerang, misalnya. Bagian terburuknya adalah bahwa tindakan jahat tidak dapat dilacak, karena pengguna itu sah masuk ke rekening banknya, dan dia secara sukarela mengklik tombol transfer.

Karena sebagian besar teknik clickjacking memerlukan rekayasa sosial, jaringan sosial menjadi vektor serangan yang ideal.

Mari kita lihat bagaimana mereka digunakan.

Clickjacking di Twitter

Sekitar sepuluh tahun yang lalu, jejaring sosial Twitter mengalami serangan besar-besaran yang dengan cepat menyebarkan pesan, yang membuat pengguna mengklik tautan, memanfaatkan keingintahuan alami mereka..

Tweet dengan teks “Jangan klik,” diikuti oleh tautan, disebarkan dengan cepat di ribuan akun Twitter. Ketika pengguna mengklik tautan dan kemudian pada tombol yang tampaknya tidak bersalah di halaman target, tweet dikirim dari akun mereka. Tweet itu menyertakan teks “Jangan klik,” diikuti oleh tautan jahat.

Insinyur Twitter menambal serangan clickjacking tidak lama setelah dimulai. Serangan itu sendiri terbukti tidak berbahaya, dan itu berfungsi sebagai alarm yang memberitahukan potensi risiko yang terlibat dalam inisiatif clickjacking Twitter. Tautan jahat membawa pengguna ke halaman web dengan iframe tersembunyi. Di dalam bingkai ada tombol tak terlihat yang mengirim tweet berbahaya dari akun korban.

Clickjacking di Facebook

Pengguna aplikasi seluler Facebook dihadapkan pada bug yang memungkinkan spammer memposting konten yang dapat diklik di timeline mereka, tanpa persetujuan mereka. Bug itu ditemukan oleh seorang profesional keamanan yang menganalisis kampanye spam. Pakar mengamati bahwa banyak kontaknya menerbitkan tautan ke halaman dengan gambar-gambar lucu. Sebelum mencapai gambar, pengguna diminta untuk mengklik deklarasi kedatangan usia.

Apa yang tidak mereka ketahui adalah bahwa deklarasi berada di bawah bingkai yang tidak terlihat.

Ketika pengguna menerima deklarasi, mereka dibawa ke halaman dengan gambar-gambar lucu. Tetapi sementara itu, tautan itu diterbitkan di timeline Facebook pengguna. Itu dimungkinkan karena komponen browser web di aplikasi Facebook untuk Android tidak kompatibel dengan header opsi bingkai (di bawah ini kami jelaskan apa itu), dan oleh karena itu memungkinkan untuk overlay bingkai berbahaya..

Facebook tidak mengenali masalah ini sebagai bug karena tidak berdampak pada integritas akun pengguna. Jadi tidak pasti apakah akan diperbaiki.

Clickjacking di jejaring sosial yang lebih rendah

Bukan hanya Twitter dan Facebook. Jejaring sosial dan platform blogging lain yang kurang populer juga memiliki kerentanan yang memungkinkan untuk clickjacking. LinkedIn, misalnya, memiliki kelemahan yang membuka pintu bagi penyerang untuk menipu pengguna agar berbagi dan memposting tautan atas nama mereka tetapi tanpa persetujuan mereka. Sebelum diperbaiki, cacat tersebut memungkinkan penyerang memuat halaman LinkedIn ShareArticle pada bingkai tersembunyi, dan menindih bingkai ini pada halaman dengan tautan atau tombol yang tampaknya tidak bersalah dan menarik..

Kasus lain adalah Tumblr, platform blogging web publik. Situs ini menggunakan kode JavaScript untuk mencegah clickjacking. Tetapi metode perlindungan ini menjadi tidak efektif karena halaman dapat diisolasi dalam bingkai HTML5 yang mencegah mereka menjalankan kode JavaScript. Teknik yang dibuat dengan hati-hati dapat digunakan untuk mencuri kata sandi, menggabungkan cacat yang disebutkan dengan plugin browser pembantu kata sandi: dengan menipu pengguna untuk mengetikkan teks captcha palsu, mereka dapat secara tidak sengaja mengirimkan kata sandi mereka ke situs penyerang.

Pemalsuan permintaan lintas situs

Salah satu varian serangan clickjacking disebut pemalsuan permintaan lintas situs, atau CSRF. Dengan bantuan rekayasa sosial, penjahat cyber mengarahkan serangan CSRF terhadap pengguna akhir, memaksa mereka untuk melakukan tindakan yang tidak diinginkan. Vektor serangan dapat berupa tautan yang dikirim melalui email atau obrolan.

Serangan CSRF tidak bermaksud mencuri data pengguna karena penyerang tidak dapat melihat respons terhadap permintaan palsu. Sebaliknya, serangan menargetkan permintaan yang berubah-ubah negara, seperti perubahan kata sandi atau transfer dana. Jika korban memiliki hak administratif, serangan itu berpotensi membahayakan seluruh aplikasi web.

Serangan CSRF dapat disimpan di situs web yang rentan, terutama situs web dengan apa yang disebut “cacat CSRF yang tersimpan.” Ini dapat dilakukan dengan memasukkan tag IMG atau IFRAME di bidang input yang nanti ditampilkan pada halaman, seperti komentar atau halaman hasil pencarian.

Mencegah serangan framing

Browser modern dapat diberi tahu jika sumber daya tertentu diizinkan atau tidak dimuat dalam suatu bingkai. Mereka juga dapat memilih untuk memuat sumber daya dalam bingkai hanya ketika permintaan berasal dari situs yang sama dengan tempat pengguna berada. Dengan cara ini, pengguna tidak dapat ditipu untuk mengklik frame yang tidak terlihat dengan konten dari situs lain, dan klik mereka tidak dibajak.

Teknik mitigasi sisi klien disebut penghilang bingkai atau pembunuhan bingkai. Meskipun mereka bisa efektif dalam beberapa kasus, mereka juga dapat dengan mudah dilewati. Itu sebabnya metode sisi klien tidak dianggap sebagai praktik terbaik. Alih-alih frame busting, pakar keamanan merekomendasikan metode sisi server seperti X-Frame-Options (XFO) atau yang lebih baru, seperti Kebijakan Keamanan Konten.

X-Frame-Options adalah header respons yang disertakan server web pada halaman web untuk menunjukkan apakah browser diizinkan atau tidak untuk menampilkan kontennya di dalam bingkai.

Header X-Frame-Option memungkinkan tiga nilai.

  • DENY, yang melarang untuk menampilkan halaman dalam suatu bingkai
  • SAMAORIGIN, yang memungkinkan menampilkan halaman dalam bingkai, asalkan tetap berada di domain yang sama
  • MENGIZINKAN-DARI URI, yang memungkinkan tampilan halaman dalam bingkai tetapi hanya di URI tertentu (Uniform Resource Identifier), mis., Hanya dalam halaman web tertentu dan spesifik.

Metode anti-clickjacking yang lebih baru termasuk Kebijakan Keamanan Konten (CSP) dengan arahan leluhur bingkai. Opsi ini sedang banyak digunakan dalam penggantian XFO. Salah satu manfaat utama CSP dibandingkan dengan XFO adalah memungkinkan server web untuk mengotorisasi beberapa domain untuk membingkai kontennya. Namun, itu belum didukung oleh semua browser.

Arahan leluhur bingkai CSP mengakui tiga jenis nilai: ‘Tidak ada,’ untuk mencegah domain mana pun menampilkan konten; ‘diri,’ hanya mengizinkan situs saat ini untuk menampilkan konten dalam bingkai, atau daftar URL dengan wildcard, seperti ‘* .some site.com,’ ‘https://www.example.com/index.html,’Dll., Untuk hanya mengizinkan pembingkaian pada halaman apa pun yang cocok dengan elemen dari daftar.

Bagaimana melindungi diri Anda dari clickjacking

Sangat nyaman untuk tetap masuk ke jejaring sosial saat menjelajahi, tetapi jika Anda melakukannya, Anda harus berhati-hati dengan klik Anda. Anda juga harus memperhatikan situs yang Anda kunjungi karena tidak semuanya mengambil tindakan yang diperlukan untuk mencegah clickjacking. Jika Anda tidak yakin tentang situs web yang Anda kunjungi, Anda tidak boleh mengklik pada klik yang mencurigakan, tidak peduli seberapa menggoda itu..

Hal lain yang perlu diperhatikan adalah versi browser Anda. Bahkan jika sebuah situs menggunakan semua header pencegahan clickjacking yang kami sebutkan sebelumnya, tidak semua browser mendukung semuanya, jadi pastikan untuk menggunakan versi terbaru yang bisa Anda peroleh dan mendukung fitur anti-clickjacking.

Akal sehat adalah perangkat perlindungan diri yang efektif terhadap clickjacking. Ketika Anda melihat konten yang tidak biasa, termasuk tautan yang diposting oleh teman di jejaring sosial apa pun, sebelum melakukan apa pun, Anda harus bertanya pada diri sendiri apakah itu jenis konten yang akan diterbitkan teman Anda. Jika tidak, Anda harus memperingatkan teman Anda bahwa ia bisa menjadi korban clickjacking.

Satu saran terakhir: jika Anda seorang influencer, atau Anda hanya memiliki jumlah pengikut atau teman yang sangat besar di jejaring sosial apa pun, Anda harus menggandakan tindakan pencegahan dan mempraktikkan perilaku online yang bertanggung jawab. Karena jika Anda menjadi korban clickjacking, serangan itu pada akhirnya akan memengaruhi banyak orang.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map