Napadi na klik, čuvajte se identifikacije društvenih mreža

Teško je odoljeti kliku na besplatnu vezu za iPhone ponudu. Ali budite oprezni: vaš se klik može lako oteti, a rezultati mogu biti katastrofalni.


Clickjacking je metoda napada, poznata i kao ispravljanje korisničkog sučelja, jer se postavlja prikrivanjem (ili ispravljanjem) veze s slojem koji nagovara korisnika da radi nešto drugačije nego što on ili ona misli.

Većina korisnika društvenih mreža uživa u pogodnosti borave na njima u svakom trenutku. Napadači bi lako mogli iskoristiti tu naviku kako bi prisilili korisnike da im se sviđa ili slijede nešto bez da primijete. Da bi to učinio, cyber-kriminalac može staviti primamljiv gumb – na primjer, s privlačnim tekstom, poput “Besplatni iPhone – ponuda s ograničenim vremenom” – na vlastitoj web stranici i prekriti nevidljivi okvir sa stranicom društvene mreže u njemu, na takav na način da gumb “Sviđa mi se” ili “Dijeli” leži preko gumba Besplatno iPhone.

Ovaj jednostavni trik sa kliktanjem može prisiliti korisnike Facebooka da vole grupe ili fan stranice bez znanja.

Opisani scenarij prilično je nevin, u smislu da je jedina posljedica za žrtvu dodavanje grupi društvenih mreža. No uz dodatni napor, ista bi se tehnika mogla koristiti za utvrđivanje je li korisnik prijavljen na svoj bankovni račun i, umjesto da voli ili dijeli neku stavku na društvenim medijima, on ili ona bi mogli biti prisiljeni kliknuti gumb na koji prenose sredstva na Na primjer, račun napadača. Najgori dio je što se zlonamjerna radnja ne može pratiti, jer je korisnik legitimno prijavljen na svoj bankovni račun i dobrovoljno je kliknuo gumb za prijenos.

Budući da većina tehnika za kliktanje zahtijeva socijalni inženjering, društvene mreže postaju idealni vektori napada.

Pogledajmo kako se koriste.

Klikni na Twitteru

Prije desetak godina društvena mreža Twitter pretrpjela je masovni napad koji je brzo proširio poruku, zbog čega su korisnici kliknuli na vezu, iskorištavajući svoju prirodnu znatiželju..

Tweeti s tekstom “Nemoj kliknuti”, a zatim vezom brzo se šire na tisućama Twitter računa. Kada su korisnici kliknuli na vezu, a potom na naoko nevin gumb na ciljnoj stranici, tvit je poslan sa njihovih računa. Taj tvit sadržavao je tekst “Ne klikaj”, a potom zlonamjernu vezu.

Inženjeri Twittera zakrpili su napad klikanja, nedugo nakon što je započeo. Sam napad pokazao se bezazlenim, a djelovao je i kao alarm koji govori o potencijalnim rizicima koji su uključeni u Twitter inicijative za klikanje. Zlonamjerna veza odvela je korisnika do web stranice sa skrivenim iframeom. Unutar okvira nalazio se nevidljivi gumb koji je slao zlonamjerni tvit s računa žrtve.

Clickjacking na Facebooku

Korisnici mobilnih Facebook aplikacija izloženi su pogrešci koja omogućuje neželjenim poštarima da na svojim vremenskim rokovima objavljuju sadržaj na koji se može kliknuti, bez njihovog pristanka. Bugu je otkrio sigurnosni stručnjak koji je analizirao kampanju neželjene pošte. Stručnjak je primijetio da mnogi njegovi kontakti objavljuju vezu do stranice sa smiješnim slikama. Prije dolaska do slika, korisnici su zamoljeni da kliknu na deklaraciju o punoljetnosti.

Ono što nisu znali je da je deklaracija bila pod nevidljivim okvirom.

Kad su korisnici prihvatili deklaraciju, bili su preusmjereni na stranicu sa smiješnim slikama. U međuvremenu, veza je objavljena na vremenskoj traci korisnika. To je bilo moguće jer komponenta web-preglednika u aplikaciji Facebook za Android nije kompatibilna s zaglavima opcija okvira (u nastavku objašnjavamo o čemu se radi) i zato omogućuje zlonamjerno prekrivanje okvira.

Facebook ne prepoznaje problem kao grešku jer nema utjecaja na integritet korisničkih računa. Dakle, neizvjesno je hoće li se to ikada popraviti.

Klikni na manje društvenim mrežama

Nisu to samo Twitter i Facebook. Ostale manje popularne društvene mreže i platforme za bloganje također imaju ranjivosti koje omogućuju klikanje. LinkedIn, na primjer, imao je propust koji je otvorio vrata napadačima kako bi naveli korisnike da dijele i objavljuju veze u njihovo ime, ali bez njihovog pristanka. Prije nego što je riješen, propust je omogućio napadačima da učitaju stranicu LinkedIn ShareArticle na skriveni okvir i prekriju taj okvir na stranicama naizgled nevinim i privlačnim vezama ili gumbima.

Drugi je slučaj Tumblr, javna platforma za web blogove. Ova web lokacija koristi JavaScript kôd za sprečavanje klikanja. Ali ova metoda zaštite postaje neučinkovita jer stranice mogu biti izolirane u okviru HTML5 koji im onemogućuje pokretanje JavaScripta. Pomno izrađena tehnika mogla bi se koristiti za krađu lozinki, kombinirajući spomenutu manu s dodatkom preglednika za pomoć kod lozinke: prevarajući korisnike da upišu lažni tekst captcha, oni mogu nehotice slati svoje lozinke na web mjesto napadača.

Krivotvorenje zahtjeva na više stranica

Jedna varijanta napada klipinga naziva se krivotvorenje zahtjeva na više mjesta ili ukratko CSRF. Pomoću društvenog inženjeringa, cyber-kriminalci usmjeravaju napade CSRF-a prema krajnjim korisnicima, prisiljavajući ih na izvršavanje neželjenih radnji. Vektor napada može biti veza poslana putem e-pošte ili chata.

CSRF napadi nemaju namjeru ukrasti korisnikove podatke jer napadač ne može vidjeti odgovor na lažni zahtjev. Umjesto toga, napadi ciljaju zahtjeve za promjenom stanja, poput promjene lozinke ili prijenosa sredstava. Ako žrtva ima administrativne privilegije, napad može ugroziti čitavu web aplikaciju.

CSRF napad može se pohraniti na ranjive web stranice, posebno web stranice s takozvanim “pohranjenim CSRF nedostacima”. To se može postići unošenjem oznaka IMG ili IFRAME u polja za unos koja su kasnije prikazana na stranici, poput komentara ili stranice rezultata pretraživanja.

Sprječavanje napada uokvirivanjem

Suvremeni preglednici mogu reći je li dopušteno određeno spremanje unutar okvira. Također se mogu odlučiti učitati resurs u okviru samo kad zahtjev potječe s iste web lokacije na kojoj je korisnik. Na taj se način korisnici ne mogu navesti da kliknu na nevidljive okvire sa sadržajem s drugih web lokacija i njihovi klikovi ne mogu biti oteti.

Tehnike ublažavanja na strani klijenta nazivaju se pucanjem okvira ili ubijanjem okvira. Iako u nekim slučajevima mogu biti učinkovite, također ih se može lako zaobići. Zato se metode na strani klijenta ne smatraju najboljom praksom. Umjesto gušenja okvira, sigurnosni stručnjaci preporučuju metode na strani poslužitelja, poput X-Frame-Options (XFO) ili novije, poput sigurnosne politike sadržaja.

X-Frame-Options je zaglavlje odgovora koje web poslužitelji uključuju na web stranicama kako bi naznačili je li pregledniku dopušteno da prikazuje njegov sadržaj unutar okvira ili ne..

Zaglavlje X-Frame-Option omogućuje tri vrijednosti.

  • DENY, što zabranjuje prikazivanje stranice unutar okvira
  • SAMEORIGIN, koji omogućava prikazivanje stranice unutar okvira, sve dok ostaje u istoj domeni
  • DOZVOLI IZ URI-ja, koji omogućava prikaz stranice unutar okvira, ali samo u specificiranom URI-u (Uniform Resource Identifier), npr., Samo unutar određene, određene web stranice.

Novije metode anti-clickjacking uključuju politiku sigurnosti sadržaja (CSP) s direktivom frame predaka. Ova se opcija široko koristi u zamjeni XFO-a. Glavna prednost CSP-a u odnosu na XFO je ta što web-poslužitelju omogućuje autorizaciju više domena za uokvirivanje njegovog sadržaja. No, preglednici ga još uvijek ne podržavaju.

CSP-ova direktiva okvira predaka priznaje tri vrste vrijednosti: „Nitko” za sprečavanje prikazivanja sadržaja bilo koje domene; „Ja” da biste trenutnoj web lokaciji omogućili samo prikazivanje sadržaja u okviru ili na popisu URL-ova s ​​zamjenskim znakovima, poput “* .some site.com”, “https://www.example.com/index.html,Itd., Kako bi se omogućilo kadriranje samo na bilo kojoj stranici koja odgovara elementu s popisa.

Kako se zaštititi od klikanja

Prikladno je ostati prijavljen na društvenu mrežu dok pregledavate, ali ako to učinite, morate biti oprezni sa svojim klikovima. Također biste trebali obratiti pozornost na web stranice koje posjećujete, jer ne poduzimaju sve potrebne mjere kako bi spriječili kliktanje. U slučaju da niste sigurni u web mjesto koju posjećujete, ne biste trebali klikati nijedan sumnjivi klik, bez obzira na to koliko primamljivo to moglo biti.

Još jedna stvar na koju morate obratiti pozornost je verzija vašeg preglednika. Čak i ako web lokacija koristi sva zaglavlja za sprječavanje klikanja koje smo spomenuli prije, ne podržavaju ih svi preglednici, pa budite sigurni da koristite najnoviju verziju koju možete dobiti i da podržava značajke protiv klikanja.

Zdrav razum je učinkovit uređaj samozaštite od klika. Kad uočite neobičan sadržaj, uključujući vezu koju je prijatelj objavio na bilo kojoj društvenoj mreži, prije nego što učinite bilo što, trebali biste se zapitati je li to vrsta sadržaja koju bi vaš prijatelj objavio. Ako ne, trebali biste upozoriti prijatelja da je mogao postati žrtva klikanja.

Još jedan savjet: ako ste utjecaj ili jednostavno imate stvarno velik broj sljedbenika ili prijatelja na bilo kojoj društvenoj mreži, trebate udvostručiti svoje mjere opreza i uvježbavati odgovorno ponašanje na mreži. Jer ako postanete žrtva klikanja, napad će na kraju pogoditi čitav niz ljudi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map