Clickjacking Útoky: Dajte si pozor na identifikáciu sociálnych sietí

Je ťažké odolať kliknutiu na bezplatný odkaz na ponuku pre iPhone. Ale pozor: kliknutie môže byť ľahko unesené a výsledky môžu byť katastrofálne.


Clickjacking je metóda útoku, známa tiež ako Redukcia používateľského rozhrania, pretože je nastavená zamaskovaním (alebo opravou) odkazu s prekrytím, ktoré používateľa podvádza, aby urobil niečo iné, ako si myslí on..

Väčšina používateľov sociálnych sietí má výhodu nepretržitého prihlásenia sa k nim. Útočníci by mohli ľahko využiť tento zvyk a prinútiť používateľov, aby niečo páčili alebo sledovali bez toho, aby si to všimli. Na tento účel by mohol počítačový zločin umiestniť lákavé tlačidlo – napríklad s príťažlivým textom, napríklad „Bezplatný iPhone – obmedzená časová ponuka“ – na svoju vlastnú webovú stránku a prekrývať neviditeľný rámec so stránkou sociálnej siete v takom spôsobom, ktorý sa nad tlačidlom Bezplatný iPhone nachádza tlačidlo „Páči sa mi“ alebo „Zdieľať“.

Tento jednoduchý trik s klikaním môže prinútiť používateľov Facebooku, aby používali skupiny alebo stránky fanúšikov bez toho, aby o tom vedeli.

Opísaný scenár je dosť nevinný v tom zmysle, že jediným dôsledkom pre obeť je pridanie do skupiny sociálnych sietí. Rovnakým spôsobom by sa však s určitým úsilím mohlo použiť na určenie, či je používateľ prihlásený na svoj bankový účet, a namiesto toho, aby sa mu páčili alebo zdieľali nejaké položky zo sociálnych médií, mohol by byť donútený kliknúť na tlačidlo, ktoré prevádza prostriedky na účet útočníka. Najhoršie na tom je, že škodlivú akciu nie je možné zistiť, pretože používateľ bol legitímne prihlásený na svoj bankový účet a dobrovoľne klikol na tlačidlo prevodu.

Pretože väčšina techník clickjackingu vyžaduje sociálne inžinierstvo, sociálne siete sa stávajú ideálnymi vektormi útokov.

Pozrime sa, ako sa používajú.

Clickjacking na Twitteri

Asi pred desiatimi rokmi prešla sociálna sieť Twitter masívnym útokom, ktorý rýchlo šíril správu, ktorá viedla používateľov k kliknutiu na odkaz, pričom využili svoju prirodzenú zvedavosť.

Tweety s textom „nekliknúť“, za ktorým nasleduje odkaz, sa rýchlo šíria medzi tisíckami účtov Twitter. Keď používatelia klikli na odkaz a potom na zdanlivo nevinné tlačidlo na cieľovej stránke, zo svojich účtov bol odoslaný tweet. Tento tweet obsahoval text „Neklikajte“, za ktorým nasledoval škodlivý odkaz.

Inžinieri Twitteru opravili útok na klikanie krátko po jeho začatí. Samotný útok sa ukázal byť neškodný a fungoval ako alarm, ktorý upozorňoval na možné riziká spojené s iniciatívami clickjacking na Twitteri. Škodlivý odkaz priviedol používateľa na webovú stránku so skrytým prvkom iframe. Vo vnútri rámu bolo neviditeľné tlačidlo, ktoré poslalo škodlivý tweet z účtu obete.

Clickjacking na Facebooku

Používatelia mobilných aplikácií Facebook sú vystavení chybe, ktorá umožňuje odosielateľom spamu zverejniť obsah, na ktorý je možné kliknúť, v časových harmonogramoch bez ich súhlasu. Túto chybu objavil odborník na bezpečnosť, ktorý analyzoval spamovú kampaň. Odborník poznamenal, že mnoho z jeho kontaktov uverejňoval odkaz na stránku s vtipnými obrázkami. Pred dosiahnutím obrázkov boli používatelia požiadaní, aby klikli na vyhlásenie o dosiahnutí veku.

Nevedeli však, že vyhlásenie bolo v neviditeľnom rámci.

Keď používatelia prijali vyhlásenie, dostali sa na stránku s vtipnými obrázkami. Medzitým bol odkaz zverejnený na časovej osi používateľov na Facebooku. Bolo to možné, pretože súčasť webového prehľadávača v aplikácii Facebook pre Android nie je kompatibilná s hlavičkami možností rámcov (nižšie vysvetlíme, čo sú), a preto umožňuje prekrytie škodlivého rámca.

Facebook nerozpoznáva problém ako chybu, pretože nemá vplyv na integritu účtov používateľov. Nie je teda isté, či bude niekedy opravená.

Clickjacking na menších sociálnych sieťach

Nejde iba o Twitter a Facebook. Ďalšie menej populárne sociálne siete a platformy na vytváranie blogov majú chyby, ktoré umožňujú klikanie. Napríklad LinkedIn mal chybu, ktorá útočníkom otvorila dvere, aby mohli prinútiť používateľov, aby zdieľali a uverejňovali odkazy v ich mene, ale bez ich súhlasu. Predtým, ako sa chyba napravila, umožnila útočníkom načítať stránku LinkedIn ShareArticle do skrytého rámca a prekrývať tento rámec na stránkach so zdanlivo nevinnými a príťažlivými odkazmi alebo tlačidlami..

Ďalším prípadom je verejná webová blogovacia platforma Tumblr. Táto stránka používa kód JavaScript na zabránenie kliknutiam. Táto metóda ochrany sa však stáva neúčinnou, pretože stránky sa dajú izolovať v rámci HTML5, ktorý im zabraňuje spustiť kód JavaScript. Na odcudzenie hesiel by sa mohla použiť starostlivo vypracovaná technika, ktorá by kombinovala uvedenú chybu s doplnkom prehliadača na pomoc s heslom: tým, že podvádzajú používateľov, aby napísali falošný text captcha, môžu neúmyselne posielať svoje heslá na stránky útočníka..

Falšovanie žiadosti na viacerých miestach

Jeden z variantov útoku na kliknutie sa nazýva falšovanie žiadostí na viacerých stránkach alebo skrátene CSRF. S pomocou sociálneho inžinierstva riadia počítačoví zločinci útoky CSRF proti koncovým používateľom, čo ich núti vykonávať neželané kroky. Vektorom útoku môže byť odkaz odoslaný prostredníctvom e-mailu alebo chatu.

Útoky CSRF nemajú v úmysle ukradnúť údaje používateľa, pretože útočník nevidí odpoveď na falošnú žiadosť. Namiesto toho sa útoky zameriavajú na žiadosti o zmenu stavu, napríklad o zmenu hesla alebo prevod prostriedkov. Ak má obeť administratívne oprávnenie, útok môže ohroziť celú webovú aplikáciu.

Útok CSRF možno uložiť na zraniteľné webové stránky, najmä na webové stránky s tzv. „Uloženými chybami CSRF“. To sa dá dosiahnuť zadaním značiek IMG alebo IFRAME do vstupných polí, ktoré sa neskôr zobrazia na stránke, ako sú napríklad komentáre alebo stránka s výsledkami vyhľadávania..

Prevencia útokov na rámovanie

Moderným prehliadačom sa dá povedať, či je konkrétny prostriedok povolený alebo sa nenačíta v rámci. Tiež sa môžu rozhodnúť načítať prostriedok v rámci, iba ak požiadavka pochádza z tej istej stránky, na ktorej sa používateľ nachádza. Týmto spôsobom nie je možné používateľov oklamať, aby klikli na neviditeľné rámce s obsahom z iných stránok, a ich kliknutia nebudú unesené..

Techniky zmierňovania na strane klienta sa nazývajú mlátenie alebo zabíjanie rámcov. Aj keď môžu byť v niektorých prípadoch účinné, môžu sa ľahko obísť. Preto sa metódy na strane klienta nepovažujú za osvedčené postupy. Namiesto rušenia rámcov odporúčajú odborníci na bezpečnosť metódy na strane servera, ako sú napríklad možnosti X-Frame-Options (XFO) alebo novšie, napríklad zásady zabezpečenia obsahu..

X-Frame-Options je záhlavie odpovedí, ktoré webové servery obsahujú na webových stránkach s cieľom určiť, či má prehliadač povolené zobrazovať obsah v rámci alebo nie..

Hlavička X-Frame-Option umožňuje tri hodnoty.

  • DENY, čo zakazuje zobrazenie stránky v rámci
  • SAMEORIGIN, ktorý umožňuje zobrazenie stránky v rámci, pokiaľ zostáva v rovnakej doméne
  • ALLOW-FROM URI, ktoré umožňuje zobrazenie stránky v rámci, ale iba v určenom URI (Uniform Resource Identifier), napr. Iba v rámci konkrétnej konkrétnej webovej stránky.

Medzi najnovšie metódy boja proti kliknutiu patrí zásada zabezpečenia obsahu (CSP) so smernicou o predkoch rámcov. Táto možnosť sa vo veľkej miere používa ako náhrada za XFO. Jednou z hlavných výhod CSP v porovnaní s XFO je, že umožňuje webovému serveru autorizovať viacero domén na vytvorenie obsahu. Zatiaľ ho však všetky prehliadače nepodporujú.

Smernica CSP o predkoch snímok pripúšťa tri typy hodnôt: , None ‘ zabrániť akejkoľvek doméne v zobrazovaní obsahu; , Ja, ‘ povoliť aktuálnej stránke iba zobrazovať obsah v rámčeku alebo zoznam adries URL s zástupnými znakmi, ako napríklad „* .some site.com“, „https://www.example.com/index.html,“Atď., Aby bolo možné rámovanie povoliť iba na akejkoľvek stránke, ktorá sa zhoduje s prvkom zo zoznamu.

Ako sa chrániť pred klikaním

Počas prehľadávania je vhodné zostať prihlásený / -á do sociálnej siete, ale ak tak urobíte, musíte byť opatrní pri kliknutí. Mali by ste tiež venovať pozornosť navštíveným webom, pretože nie všetky z nich prijímajú potrebné opatrenia, aby zabránili kliknutiu. V prípade, že si nie ste istí webom, ktorý navštevujete, nemali by ste kliknúť na žiadne podozrivé kliknutie bez ohľadu na to, aké lákavé by to mohlo byť..

Ďalšou vecou, ​​ktorú treba venovať, je verzia prehliadača. Aj keď web používa všetky hlavičky prevencie kliknutia, ktoré sme spomenuli predtým, nie všetky prehliadače ich všetky podporujú. Preto používajte najnovšiu verziu, ktorú môžete získať, a že podporuje funkcie proti kliknutiu.

Zdravý rozum je účinné ochranné zariadenie proti klikaniu. Ak vidíte nezvyčajný obsah vrátane odkazu uverejneného priateľom na akejkoľvek sociálnej sieti, skôr ako začnete robiť čokoľvek, mali by ste sa sami seba opýtať, či ide o typ obsahu, ktorý by zverejnil váš priateľ. Ak nie, mali by ste upozorniť svojho priateľa, že sa mohol stať obeťou klikania.

Jedna posledná rada: ak ste ovplyvňovateľom, alebo ak máte naozaj veľký počet nasledovníkov alebo priateľov na akejkoľvek sociálnej sieti, mali by ste zdvojnásobiť svoje opatrenia a praktizovať zodpovedné správanie online. Pretože ak sa stanete obeťou kliknutia, útok skončí ovplyvnením mnohých ľudí.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map