Napadi na klik, pazite na identifikacijo družbenih omrežij

Kliki na brezplačno povezavo do ponudbe za iPhone se je težko upreti. Vendar bodite previdni: vaš klik lahko preprosto ugrabite, rezultati pa so lahko katastrofalni.


Clickjacking je metoda napada, znana tudi kot popravljanje uporabniškega vmesnika, saj je postavljena s prikrivanjem (ali popravljanjem) povezave s prekrivanjem, ki uporabnika vara, da naredi nekaj drugačnega, kot si misli.

Večina uporabnikov družbenih omrežij uživa v tem, da so ves čas prijavljeni nanje. Napadalci bi lahko zlahka izkoristili to navado, da bi uporabnike prisilili, da jim je nekaj všeč ali spremljati, ne da bi opazili. Da bi to naredili, bi lahko kiber kriminalec na svojo spletno stran postavil mamljiv gumb – na primer s privlačnim besedilom, kot je “Brezplačni iPhone – omejena ponudba” – in nanj prekrival nevidni okvir s stranjo družbenega omrežja, na način, da gumb “Všeč mi je” ali “Skupna raba” leži nad gumbom Prosti iPhone.

Ta preprost trik s klikanjem lahko uporabnike Facebooka prisili, da imajo radi skupine ali oboževalne strani, ne da bi vedeli.

Opisani scenarij je dokaj nedolžen, v smislu, da je edina posledica za žrtev dodana skupina družbenih omrežij. Toda z nekaj dodatnega truda bi lahko isto tehniko uporabili za določitev, ali se uporabnik prijavi na svoj bančni račun, in namesto, da bi všeč ali delil kakšen element v družabnih medijih, bi ga lahko prisilili, da klikne gumb, ki sredstva nakaže na primer napadalčev račun. Najslabši del je, da zlonamernega dejanja ni mogoče izslediti, ker je bil uporabnik zakonito prijavljen na svoj bančni račun in je prostovoljno kliknil gumb za prenos.

Ker večina tehnik klikanja zahteva socialni inženiring, družbena omrežja postanejo idealni vektorji napadov.

Poglejmo, kako se uporabljajo.

Clickjacking na Twitterju

Pred približno desetimi leti je družabno omrežje Twitter doživelo množičen napad, ki je hitro razširil sporočilo, zaradi česar so uporabniki kliknili na povezavo in izkoristili svojo naravno radovednost..

Tweeti z besedilom »Ne klikaj«, ki mu sledi povezava in se hitro razširijo na tisoče Twitter računov. Ko so uporabniki kliknili povezavo in nato na videz nedolžni gumb na ciljni strani, je bil iz njihovih računov poslan tvit. Ta tvit je vseboval besedilo »Ne klikni«, ki mu je sledila zlonamerna povezava.

Inženirji na Twitterju so kmalu po njegovem napadu zakrpali napad na klikanje. Sam napad se je izkazal za neškodljivega in je deloval kot alarm, ki navaja potencialna tveganja, povezana s pobudami za klikanje v Twitterju. Zlonamerna povezava je uporabnika pripeljala do spletne strani s skritim okvirjem. Znotraj okvira je bil neviden gumb, ki je pošiljal zlonamerni tvit iz računa žrtve.

Clickjacking na Facebooku

Uporabniki mobilnih Facebook aplikacij so izpostavljeni hrošču, ki pošiljateljem neželene pošte omogoča, da na svoje časovne okvire objavljajo vsebino, na katero je mogoče klikniti, brez njihovega soglasja. Napako je odkril varnostni strokovnjak, ki je analiziral nezaželeno kampanjo. Strokovnjak je opazil, da so mnogi njegovi stiki objavili povezavo do strani s smešnimi slikami. Preden so dosegli slike, so uporabnike prosili, naj kliknejo na izjavo o starosti.

Niso vedeli, da je deklaracija pod nevidnim okvirom.

Ko so uporabniki sprejeli deklaracijo, so jih odpeljali na stran s smešnimi slikami. Vmes pa je bila povezava objavljena v časovni premici uporabnikov Facebook. To je bilo mogoče, ker komponenta spletnega brskalnika v aplikaciji Facebook za Android ni združljiva z glavami možnosti okvirjev (spodaj pojasnjujemo, kaj so) in zato omogoča zlonamerno prekrivanje okvirjev.

Facebook težave ne prepozna kot napako, ker nima vpliva na celovitost uporabnikovih računov. Torej je negotovo, če se bo to kdaj odpravilo.

Klikni na manjših družbenih omrežjih

Ne gre samo za Twitter in Facebook. Tudi druga manj priljubljena socialna omrežja in platforme za bloganje imajo ranljivosti, ki omogočajo klikanje. Na primer, LinkedIn je imel napako, ki je napadalcem odprla vrata, da bi uporabnike zvabila v skupno rabo in objavljanje povezav v njihovem imenu, vendar brez njihovega soglasja. Preden se je odpravila, je napaka napadalcem omogočila, da na skriven okvir naložijo stran LinkedIn ShareArticle in ta okvir prekrivajo na straneh z na videz nedolžnimi in privlačnimi povezavami ali gumbi.

Drug primer je Tumblr, javna platforma za spletni blog. Ta spletna stran uporablja JavaScript kodo, da prepreči preusmeritev klikov. Toda ta način zaščite postane neučinkovit, saj lahko strani izoliramo v okvirju HTML5, kar jim preprečuje izvajanje kode JavaScript. Skrbno izdelano tehniko lahko uporabimo za krajo gesel, ki združujejo omenjeno napako in vtičnik brskalnika za pomoč pri geslu: s tem, ko uporabnike zavedejo, da vnesejo lažno besedilo v obliki captcha, lahko nenamerno pošljejo svoja gesla na napadalčevo mesto.

Ponarejanje zahteve na več mestih

Ena varianta napada s klikanjem je imenovana krivotvorenje zahtevka na več straneh ali na kratko CSRF. Kibernetski kriminalci s pomočjo socialnega inženiringa usmerjajo napade CSRF proti končnim uporabnikom, ki jih prisilijo k izvajanju neželenih dejanj. Vektor napada je lahko povezava, poslana po e-pošti ali klepetu.

Napadi CSRF ne nameravajo ukrasti uporabnikovih podatkov, ker napadalec ne vidi odziva na lažno zahtevo. Namesto tega napadi ciljajo na zahteve za spreminjanje stanja, kot sta sprememba gesla ali prenos sredstev. Če ima žrtev administrativne privilegije, lahko napad ogrozi celotno spletno aplikacijo.

Napad CSRF se lahko shrani na ranljivih spletnih mestih, zlasti na spletnih mestih s tako imenovanimi “shranjenimi napakami CSRF”. To lahko dosežete z vnosom oznak IMG ali IFRAME v vhodna polja, ki so pozneje prikazana na strani, kot so komentarji ali stran z rezultati iskanja.

Preprečevanje napadov okvirja

Sodobnim brskalnikom lahko povemo, ali je določen vir dovoljen za nalaganje v okvir. Prav tako se lahko odločijo za nalaganje virov v okvir le, če zahteva izvira z istega mesta, na katerem je uporabnik. Tako uporabnikov ni mogoče nagajati, da klikajo na nevidne okvirje z vsebino z drugih spletnih mest in njihovi kliki ne bodo ugrabljeni.

Tehnike omilitve na strani odjemalca imenujemo razbijanje okvirja ali ubijanje okvirja. Čeprav so v nekaterih primerih lahko učinkovite, jih je mogoče tudi preprosto zaobiti. Zato metode na strani odjemalca ne veljajo za najboljše prakse. Namesto razbijanja okvirja varnostni strokovnjaki priporočajo metode na strani strežnika, kot so X-Frame-Options (XFO) ali novejše, kot je varnostna politika vsebine.

Možnosti X-Frame je odzivna glava, ki jo spletni strežniki vključujejo na spletnih straneh, da nakaže, ali lahko brskalnik prikaže svojo vsebino v okviru.

Glava X-Frame-Option omogoča tri vrednosti.

  • DENY, ki prepoveduje prikaz strani v okviru
  • SAMEORIGIN, ki omogoča prikazovanje strani v okviru, dokler ostane v isti domeni
  • ALLOW-FROM URI, ki omogoča prikaz strani znotraj okvira, vendar le v določenem URI-ju (enotni identifikator vira), npr. Samo znotraj določene posebne strani.

Novejše metode preprečevanja klikov vključujejo varnostno politiko vsebine (CSP) z direktivo za prednike. Ta možnost se pogosto uporablja pri nadomestitvi XFO. Glavna prednost CSP v primerjavi z XFO je ta, da spletnemu strežniku omogoča, da pooblasti več domen za okvirjanje njegove vsebine. Vendar je še ne podpirajo vsi brskalniki.

Direktiva okvirnih prednikov podjetja CSP priznava tri vrste vrednosti: “Nič” preprečiti prikazovanje vsebine katera koli domena; “Jaz” da dovolite samo trenutnemu spletnemu mestu, da prikaže vsebino v okvirju ali seznam URL-jev z nadomestnimi znaki, na primer »* .some site.com«, «https://www.example.com/index.html,Itd., Če želite dovoliti kadriranje samo na kateri koli strani, ki ustreza elementu s seznama.

Kako se zaščititi pred klikanjem

Med brskanjem je priročno ostati prijavljen v socialno omrežje, če pa to storite, morate biti s kliki previdni. Pozorni bodite tudi na spletna mesta, ki jih obiščete, saj ne sprejmejo vsi potrebni ukrepi, da preprečijo klikanje. Če niste prepričani o spletnem mestu, ki ga obiščete, ne smete klikniti nobenega sumljivega klika, ne glede na to, kako mamljiva bi bila..

Še ena stvar, na katero morate biti pozorni, je različica brskalnika. Tudi če spletno mesto uporablja vse naslove za preprečevanje klikanja, ki smo jih že omenili, vsi brskalniki ne podpirajo vseh, zato se prepričajte, da uporabite najnovejšo različico, ki jo lahko dobite, in da podpira funkcije proti kliku.

Zdrav razum je učinkovita samozaščitna naprava pred klikanjem. Ko zaznate nenavadno vsebino, vključno s povezavo, ki jo je prijatelj objavil na katerem koli družbenem omrežju, se pred kakršnim koli početjem vprašajte, ali je to vrsta vsebine, ki bi jo objavil vaš prijatelj. Če ne, bi morali prijatelja opozoriti, da bi lahko postal žrtev klikav.

Še zadnji nasvet: če ste vplivnež ali imate resnično veliko sledilcev ali prijateljev na katerem koli družbenem omrežju, morate podvojiti previdnostne ukrepe in ravnati odgovorno vedenje na spletu. Ker, če postanete žrtev klikanja, bo napad na koncu prizadel celo vrsto ljudi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map