Атаки Clickjacking: Остерегайтесь идентификации в социальных сетях

Трудно удержаться от нажатия на бесплатную ссылку предложения iPhone. Но будьте осторожны: ваш клик может быть легко взломан, а результаты могут быть катастрофическими.


Clickjacking – это метод атаки, также известный как перенаправление пользовательского интерфейса, потому что он создается путем маскировки (или перенаправления) ссылки с наложением, которая заставляет пользователя делать что-то отличное от того, о чем он или она думает.

Большинство пользователей социальных сетей пользуются удобством постоянного входа в систему. Злоумышленники могут легко воспользоваться этой привычкой, чтобы заставить пользователей что-то нравиться или следовать, не замечая этого. Для этого киберпреступник может поместить на свою веб-страницу соблазнительную кнопку – например, с привлекательным текстом, таким как «Бесплатный iPhone – предложение с ограниченным временем», и наложить невидимый фрейм со страницей социальной сети в нем, например таким образом кнопка «Нравится» или «Поделиться» находится над кнопкой «Бесплатный iPhone».

Этот простой трюк с кликбеком может заставить пользователей Facebook любить группы или фан-страницы, не зная.

Описанный сценарий является довольно невинным, в том смысле, что единственным следствием для жертвы является добавление в группу социальных сетей. Но с некоторыми дополнительными усилиями тот же метод может быть использован для определения того, зарегистрирован ли пользователь на своем банковском счете, и вместо того, чтобы любить или делиться каким-либо элементом социальной сети, он или она могут быть вынуждены нажать на кнопку, которая переводит средства в например, учетная запись злоумышленника. Хуже всего то, что злонамеренное действие не может быть отслежено, потому что пользователь был законно зарегистрирован на свой банковский счет, и он или она добровольно нажал на кнопку передачи.

Поскольку большинство методов клик-джеккинга требуют социальной инженерии, социальные сети становятся идеальными векторами атак.

Давайте посмотрим, как они используются.

Clickjacking в Твиттере

Около десяти лет назад социальная сеть Twitter подверглась массированной атаке, которая быстро распространила сообщение, в результате которого пользователи нажимали на ссылку, используя свое естественное любопытство..

Твиты с текстом «Не нажимайте», за которым следует ссылка, быстро распространяются в тысячах учетных записей Twitter. Когда пользователи нажимали на ссылку, а затем на казалось бы невинную кнопку на целевой странице, твит был отправлен из их аккаунтов. Этот твит содержал текст «Не нажимай», за которым следовала вредоносная ссылка.

Инженеры Twitter исправили атаку clickjacking вскоре после того, как она началась. Сама атака оказалась безвредной, и она сработала как сигнал тревоги, сообщая о потенциальных рисках, связанных с инициативами Twitter-взлома. Вредоносная ссылка перенесла пользователя на веб-страницу со скрытым фреймом. Внутри рамки была невидимая кнопка, которая отправляла вредоносный твит со счета жертвы..

Clickjacking на Facebook

Пользователи мобильных приложений Facebook могут столкнуться с ошибкой, которая позволяет спамерам размещать кликабельный контент на своих временных шкалах без их согласия. Ошибка была обнаружена специалистом по безопасности, который анализировал спам-кампанию. Эксперт заметил, что многие из его контактов публиковали ссылку на страницу с забавными картинками. Прежде чем перейти к фотографиям, пользователям было предложено нажать на объявление о совершеннолетии.

То, что они не знали, было то, что декларация была в невидимой структуре.

Когда пользователи приняли декларацию, они попали на страницу с забавными картинками. Но в то же время ссылка была опубликована в пользовательской хронике Facebook. Это стало возможным, поскольку компонент веб-браузера в приложении Facebook для Android несовместим с заголовками параметров фрейма (ниже мы объясним, что это такое), и, следовательно, допускает злонамеренное наложение фреймов..

Facebook не признает проблему как ошибку, поскольку она не влияет на целостность учетных записей пользователей. Так что неясно, будет ли это когда-либо исправлено.

Clickjacking в небольших социальных сетях

Это не просто Twitter и Facebook. Другие менее популярные социальные сети и платформы для ведения блогов также имеют уязвимости, которые допускают перехват кликов. Например, у LinkedIn был недостаток, который открыл злоумышленникам возможность обманным путем делиться и публиковать ссылки от своего имени, но без их согласия. Прежде, чем это было исправлено, уязвимость позволяла злоумышленникам загружать страницу LinkedIn ShareArticle в скрытый фрейм и накладывать этот фрейм на страницы с кажущимися невинными и привлекательными ссылками или кнопками..

Другой случай – Tumblr, общедоступная веб-платформа для блогов. Этот сайт использует код JavaScript для предотвращения кликджекинга. Но этот метод защиты становится неэффективным, поскольку страницы могут быть изолированы в фрейме HTML5, который не позволяет им запускать код JavaScript. Тщательно продуманную технику можно использовать для кражи паролей, сочетая упомянутый недостаток с плагином браузера помощника по паролям: обманывая пользователей, вводя текст ложной капчи, они могут непреднамеренно отправлять свои пароли на сайт злоумышленника..

Подделка межсайтовых запросов

Один из вариантов атаки с использованием ClickJacking называется «Подделка межсайтовых запросов», или сокращенно CSRF. С помощью социальной инженерии киберпреступники направляют CSRF-атаки на конечных пользователей, заставляя их выполнять нежелательные действия. Вектор атаки может быть ссылкой, отправленной по электронной почте или в чате..

CSRF-атаки не предназначены для кражи данных пользователя, поскольку злоумышленник не может увидеть ответ на фальшивый запрос. Вместо этого атаки направлены на запросы об изменении состояния, такие как смена пароля или перевод средств. Если жертва имеет административные привилегии, атака может поставить под угрозу целое веб-приложение..

Атака CSRF может храниться на уязвимых веб-сайтах, в частности, на сайтах с так называемыми «сохраненными недостатками CSRF». Это можно сделать, введя теги IMG или IFRAME в поля ввода, которые впоследствии будут отображаться на странице, например, комментарии или страница результатов поиска..

Предотвращение фреймирующих атак

Современные браузеры могут сказать, разрешен ли конкретный ресурс для загрузки в кадре. Они также могут выбрать загрузку ресурса во фрейме, только если запрос исходит от того же сайта, на котором находится пользователь. Таким образом, пользователи не могут быть обмануты, чтобы нажать на невидимые фреймы с контентом с других сайтов, и их клики не будут угнаны.

Методы смягчения на стороне клиента называются сбросом кадра или уничтожением кадра. Хотя в некоторых случаях они могут быть эффективными, их также можно легко обойти. Вот почему методы на стороне клиента не считаются лучшими практиками. Вместо уничтожения фреймов эксперты по безопасности рекомендуют методы на стороне сервера, такие как X-Frame-Options (XFO) или более поздние, такие как Content Security Policy..

X-Frame-Options – это заголовок ответа, который веб-серверы включают в веб-страницы, чтобы указать, разрешено ли браузеру показывать его содержимое внутри фрейма..

Заголовок X-Frame-Option допускает три значения.

  • DENY, который запрещает отображать страницу в рамке
  • SAMEORIGIN, который позволяет отображать страницу внутри фрейма, пока она остается в одном домене
  • ALLOW-FROM URI, который позволяет отображать страницу внутри фрейма, но только в указанном URI (универсальном идентификаторе ресурса), например, только в пределах определенной, конкретной веб-страницы.

Более поздние методы защиты от кликбэков включают Политику безопасности контента (CSP) с директивой frame-ancestors. Эта опция широко используется при замене XFO. Одним из основных преимуществ CSP по сравнению с XFO является то, что он позволяет веб-серверу авторизовать несколько доменов для создания контента. Тем не менее, он еще не поддерживается всеми браузерами.

Директива CSP frame-ancestors допускает три типа значений: ‘никто,’ запретить показ контента на любом домене; «Я» разрешить только текущему сайту показывать содержимое во фрейме или список URL-адресов с подстановочными знаками, например ‘* .some site.com,’ ‘https://www.example.com/index.html,И т. Д., Чтобы разрешить кадрирование только на любой странице, которая соответствует элементу из списка.

Как защитить себя от кликджекинга

Удобно оставаться подключенным к социальной сети, просматривая страницы, но если вы делаете это, вам нужно быть осторожным со своими кликами. Вам также следует обратить внимание на сайты, которые вы посещаете, потому что не все из них принимают необходимые меры для предотвращения взлома. Если вы не уверены в том, какой веб-сайт вы посещаете, не следует нажимать на подозрительные клики, какими бы заманчивыми они ни были..

Еще одна вещь, на которую стоит обратить внимание – это версия вашего браузера. Даже если на сайте используются все заголовки для предотвращения кликджекинга, о которых мы упоминали ранее, не все браузеры поддерживают все из них, поэтому обязательно используйте самую последнюю версию, которую вы можете получить, и что она поддерживает функции анти-клик-джеккинга..

Здравый смысл – это эффективное средство самозащиты от кликджекинга. Когда вы видите необычный контент, в том числе ссылку, размещенную другом в любой социальной сети, прежде чем что-либо делать, вы должны спросить себя, будет ли этот тип контента опубликован вашим другом. Если нет, вы должны предупредить своего друга, что он или она могли бы стать жертвой кликджекинга.

Последний совет: если вы являетесь влиятельным лицом или у вас просто очень много подписчиков или друзей в любой социальной сети, вам следует удвоить свои меры предосторожности и вести себя ответственным образом в Интернете. Потому что, если вы станете жертвой кликджекинга, атака затронет множество людей..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map