התקפות קליקים: היזהרו מזיהוי רשת חברתית

קשה להתנגד ללחיצה על קישור הצעה לאייפון בחינם. אך היזהר: קליק ניתן לחטוף בקלות, והתוצאות עלולות להיות הרות אסון.


Clickjacking היא שיטת התקפה, הידועה גם בשם Redressing ממשק משתמש, מכיוון שהיא מוגדרת על ידי הסוואת (או תיקון מחדש) קישור עם שכבת-על שמובילה את המשתמש לעשות משהו שונה ממה שהוא או היא חושבים.

מרבית המשתמשים ברשתות החברתיות נהנים מהנוחות להישאר מחוברים אליהם בכל עת. התוקפים יכולים בקלות לנצל את ההרגל הזה כדי לאלץ משתמשים לאהוב או לעקוב אחרי משהו בלי לשים לב. לשם כך, עבריין רשת יכול להציב כפתור מפתה – למשל, עם טקסט מושך, כמו “אייפון בחינם – הצעת זמן מוגבלת” – בדף האינטרנט של עצמו וכיסוי מסגרת בלתי נראית עם העמוד של הרשת החברתית בתוכו, כזה דרך שכפתור “אהבתי” או “שתף” מונח על כפתור ה- iPhone בחינם.

טריק קליקים זה פשוט יכול להכריח את משתמשי פייסבוק לחבב קבוצות או דפי מעריצים מבלי לדעת.

התרחיש המתואר הוא תמים למדי, במובן זה שהתוספת היחידה עבור הקורבן היא להוסיף לקבוצת רשת חברתית. אך במאמץ נוסף נוסף ניתן להשתמש באותה טכניקה כדי לקבוע אם משתמש מחובר לחשבון הבנקאי שלו, ובמקום לאהוב או לשתף פריט כלשהו במדיה החברתית, הוא או היא יכולים להאלץ ללחוץ על כפתור שמעביר כספים ל למשל, חשבון של תוקף. החלק הגרוע ביותר הוא שלא ניתן לעקוב אחר הפעולה הזדונית, מכיוון שהמשתמש נרשם לגיטימי לחשבון הבנק שלו, או הוא לחצו מרצונו על כפתור ההעברה..

מכיוון שרוב טכניקות הג’קט קליקים דורשות הנדסה חברתית, הרשתות החברתיות הופכות להיות וקטורי התקפה אידיאליים.

בואו נראה כיצד משתמשים בהן.

לחיצה על טוויטר

לפני כעשר שנים, הרשת החברתית בטוויטר ספגה מתקפה מאסיבית שהפיצה במהירות הודעה, מה שהוביל את המשתמשים ללחוץ על קישור, תוך ניצול הסקרנות הטבעית שלהם.

ציוצים עם הטקסט “אל תלחץ”, ואחריו קישור, התפשטו במהירות באלפי חשבונות טוויטר. כאשר משתמשים לחצו על הקישור ואז על כפתור לכאורה תמים בעמוד היעד, נשלח ציוץ מחשבונותיהם. ציוץ זה כלל את הטקסט “אל תלחץ”, ואחריו הקישור הזדוני.

מהנדסי טוויטר טלאו את הפיגוע במפתיע קל זמן לא רב לאחר שהחל. ההתקפה עצמה התבררה כבלתי מזיקה והיא פעלה כזעקה המספרת את הסיכונים הפוטנציאליים הכרוכים ביוזמות טוויציית קליקים של טוויטר. הקישור הזדוני העביר את המשתמש לדף אינטרנט עם iframe מוסתר. בתוך המסגרת היה כפתור בלתי נראה ששלח את הציוץ הזדוני מחשבונו של הקורבן.

Clickjacking בפייסבוק

משתמשי אפליקציות פייסבוק לנייד נחשפים לבאג שמאפשר לרשות שולחי דואר זבל לפרסם תוכן שניתן ללחוץ על ציר הזמן שלהם, ללא הסכמתם. הבאג התגלה על ידי איש אבטחה אשר ניתח קמפיין ספאם. המומחה ציין כי רבים מאנשי הקשר שלו מפרסמים קישור לדף עם תמונות מצחיקות. לפני שהגיעו לתמונות, המשתמשים התבקשו ללחוץ על הצהרה לבוא גיל.

מה שהם לא ידעו זה שההכרזה הייתה תחת מסגרת בלתי נראית.

כאשר משתמשים קיבלו את ההצהרה, הם הועברו לדף עם תמונות מצחיקות. אך בינתיים, הקישור פורסם בציר הזמן בפייסבוק של המשתמשים. זה היה אפשרי מכיוון שמרכיב דפדפן האינטרנט באפליקציית פייסבוק עבור אנדרואיד אינו תואם לכותרות אפשרויות המסגרת (להלן נסביר מה הם), ולכן מאפשר שכבת-על של מסגרת זדונית..

פייסבוק לא מכירה את הבעיה כבאג מכיוון שהיא לא משפיעה על שלמות חשבונות המשתמשים. אז לא בטוח אם זה אי פעם יתוקן.

לחץ על קליקים ברשתות חברתיות פחותות

זה לא רק טוויטר ופייסבוק. לרשתות חברתיות אחרות ופופולריות לבלוגים פחות פופולריות יש גם פגיעויות המאפשרות jackjacking. בלינקדאין, למשל, היה פגם שפתח בפני התוקפים דלת להערים על משתמשים לשתף ולפרסם קישורים מטעמם אך ללא הסכמתם. לפני שהוא תוקן, הפגם איפשר לתוקפים לטעון את דף ShareArticle של לינקדאין על מסגרת מוסתרת, ולכסות את המסגרת הזו על דפים עם קישורים או כפתורים לכאורה תמימים ומושכים..

מקרה אחר הוא Tumblr, פלטפורמת הבלוגים באינטרנט לציבור. אתר זה משתמש בקוד JavaScript למניעת כיבוי קליקים. אך שיטת הגנה זו הופכת ללא יעילה מכיוון שניתן לבודד את הדפים במסגרת HTML5 המונעת מהם הפעלת קוד JavaScript. ניתן להשתמש בטכניקה מעוצבת בקפידה לצורך גניבת סיסמאות, תוך שילוב הפגמים שהוזכרו עם תוסף דפדפן עוזר סיסמאות: על ידי הטרמת משתמשים להקליד טקסט captcha שגוי, הם יכולים לשלוח בשוגג את הסיסמאות שלהם לאתר התוקף..

זיוף בקשה בשטח

וריאנט אחד של התקפת סחיטת קליקים נקרא זיוף בקשות חוצות-אתרים, או בקיצור CSRF. בעזרת הנדסה חברתית, פושעי רשת מפנים התקפות CSRF כנגד משתמשי קצה, ומאלצים אותם לבצע פעולות לא רצויות. וקטור ההתקפה יכול להיות קישור שנשלח באמצעות דואר אלקטרוני או צ’אט.

התקפות CSRF אינן מתכוונות לגנוב את נתוני המשתמש מכיוון שהתוקף לא יכול לראות את התגובה לבקשת המזויף. במקום זאת, ההתקפות מכוונות לבקשות המשנות את המדינה, כמו שינוי סיסמא או העברת כספים. אם לקורבן יש הרשאות ניהול, להתקפה יש פוטנציאל לפגוע ביישום אינטרנט שלם.

ניתן לאחסן התקפת CSRF באתרים פגיעים, במיוחד אתרים עם מה שמכונה “פגמים ב- CSRF.” ניתן להשיג זאת על ידי הזנת תגי IMG או IFRAME בשדות קלט שמוצגים מאוחר יותר בדף, כגון הערות או דף תוצאות חיפוש..

מניעת התקפות מסגור

ניתן לומר לדפדפנים מודרניים אם משאב מסוים מותר או לא לטעון במסגרת. הם יכולים גם לבחור לטעון משאב במסגרת רק כאשר הבקשה נובעת מאותו אתר בו נמצא המשתמש. בדרך זו, לא ניתן להערים על המשתמשים ללחוץ על מסגרות בלתי נראות עם תוכן מאתרים אחרים, והקליקים שלהם לא נחטפים.

טכניקות הפחתה מצד לקוח נקראות מעצור מסגרות או הרגת מסגרות. למרות שהם יכולים להיות יעילים במקרים מסוימים, ניתן לעקוף אותם בקלות גם. זו הסיבה ששיטות מצד הלקוח אינן נחשבות לשיטות עבודה מומלצות. במקום לשבור מסגרות, מומחי אבטחה ממליצים על שיטות בצד השרת, כגון X-Frame-Options (XFO) או עדכניות יותר, כמו מדיניות אבטחת תוכן..

X-Frame-Options הוא כותרת תגובה ששרתי האינטרנט כוללים בדפי אינטרנט כדי לציין אם דפדפן רשאי להציג את תוכנו במסגרת או לא..

כותרת ה- X-Frame-Option מאפשרת לשלושה ערכים.

  • דחה, האוסר להציג את הדף במסגרת
  • SAMEORIGIN, המאפשר הצגת העמוד במסגרת, כל עוד הוא נשאר באותו תחום
  • ALLOW-FROM URI, המאפשר הצגת העמוד בתוך מסגרת אך רק ב- URI מוגדר (מזהה משאבים אחיד), למשל, רק בדף אינטרנט ספציפי מסוים..

שיטות עדכניות יותר נגד כניסה נגד קליקים כוללות מדיניות אבטחת תוכן (CSP) עם הוראות אבות המסגרת. אפשרות זו נמצאת בשימוש נרחב בהחלפת XFO. אחד היתרונות העיקריים של CSP בהשוואה ל- XFO הוא בכך שהיא מאפשרת לשרת אינטרנט לאשר מספר תחומים למסגר את תוכנו. עם זאת, הוא עדיין לא נתמך על ידי כל הדפדפנים.

הוראת אבות המסגרת של CSP מודה בשלושה סוגים של ערכים: ‘אף אחד,’ כדי למנוע מכל תחום להציג את התוכן; ‘עצמי,’ כדי לאפשר רק לאתר הנוכחי להציג את התוכן במסגרת, או רשימה של כתובות אתרים עם תווים כלליים, כגון ‘* .some site.com,’ ‘https://www.example.com/index.html,וכו ‘, כדי לאפשר מסגור רק בכל עמוד שמתאים לאלמנט מהרשימה.

כיצד להגן על עצמך מפני קליקים

זה נוח להישאר מחובר לרשת חברתית בזמן הגלישה, אך אם אתה עושה זאת אתה צריך להיות זהיר בקליקים שלך. עליכם לשים לב גם לאתרים בהם אתם מבקרים מכיוון שלא כולם נוקטים באמצעים הנחוצים למניעת חיבור קליקים. במקרה שאתה לא בטוח לגבי אתר שאתה מבקר בו, אתה לא צריך ללחוץ על כל קליק חשוד, לא משנה כמה הוא מפתה..

דבר נוסף שכדאי לשים לב אליו הוא גרסת הדפדפן שלך. גם אם אתר משתמש בכל כותרות המניעה של קליקים וצעירים שהזכרנו קודם, לא כל הדפדפנים תומכים בכולם, לכן הקפידו להשתמש בגרסה העדכנית ביותר שתוכלו להשיג והיא תומכת בתכונות אנטי-קליק-ג’קינג..

השכל הישר הוא מכשיר להגנה עצמית יעיל כנגד ג’חיצת קליקים. כשאתה רואה תוכן יוצא דופן, כולל קישור שפרסם חבר ברשת חברתית כלשהי, לפני שאתה עושה משהו, עליך לשאול את עצמך אם זה סוג התוכן שהחבר שלך יפרסם. אם לא, עליכם להזהיר את חברכם כי הוא או היא עלולים להפוך לקורבן של סחיטת קליקים.

עצה אחרונה אחת: אם אתה משפיע, או שיש לך מספר גדול באמת של עוקבים או חברים בכל רשת חברתית, עליך להכפיל את אמצעי הזהירות שלך ולתרגל התנהגות אחראית באופן מקוון. מכיוון שאם תהפוך לקורבן של ג’וב-קליק, ההתקפה בסופו של דבר תשפיע על המון אנשים.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map