Tấn công nhấp chuột: Cảnh giác với nhận dạng mạng xã hội

Nó khó có thể cưỡng lại việc nhấp vào liên kết cung cấp iPhone miễn phí. Nhưng hãy cẩn thận: nhấp chuột của bạn có thể dễ dàng bị tấn công và kết quả có thể là thảm họa.


Clickjacking là một phương thức tấn công, còn được gọi là Khắc phục giao diện người dùng, bởi vì nó được thiết lập bằng cách ngụy trang (hoặc khắc phục) một liên kết với lớp phủ để lừa người dùng làm điều gì đó khác với họ nghĩ.

Hầu hết người dùng của các mạng xã hội đều thích sự tiện lợi khi luôn đăng nhập vào họ. Kẻ tấn công có thể dễ dàng lợi dụng thói quen này để buộc người dùng thích hoặc làm theo một cái gì đó mà không nhận thấy. Để làm điều này, một tên tội phạm mạng có thể đặt một nút hấp dẫn Ví dụ, với một văn bản hấp dẫn, chẳng hạn như iPhone miễn phí – cung cấp thời gian giới hạn trên – trên trang web của chính nó và phủ một khung vô hình với trang mạng xã hội trong đó, như vậy một cách mà một nút Like Like hay hoặc nút Share Share đặt trên nút iPhone miễn phí.

Thủ thuật nhấp chuột đơn giản này có thể buộc người dùng Facebook thích các nhóm hoặc trang fan hâm mộ mà không biết.

Kịch bản được mô tả là khá vô tội, theo nghĩa là hậu quả duy nhất cho nạn nhân là được thêm vào một nhóm mạng xã hội. Nhưng với một số nỗ lực bổ sung, kỹ thuật tương tự có thể được sử dụng để xác định xem người dùng có đăng nhập vào tài khoản ngân hàng của mình hay không, thay vì thích hoặc chia sẻ một số mục phương tiện truyền thông xã hội, họ có thể bị buộc phải nhấp vào nút chuyển tiền sang một tài khoản của kẻ tấn công, ví dụ. Điều tồi tệ nhất là hành động độc hại không thể được theo dõi, bởi vì người dùng đã đăng nhập hợp pháp vào tài khoản ngân hàng của họ và anh ta hoặc cô ta tự nguyện nhấp vào nút chuyển.

Bởi vì hầu hết các kỹ thuật clickjacking yêu cầu kỹ thuật xã hội, mạng xã hội trở thành các vectơ tấn công lý tưởng.

Hãy cùng xem chúng được sử dụng như thế nào.

Nhấp chuột trên Twitter

Khoảng mười năm trước, mạng xã hội Twitter đã phải chịu một cuộc tấn công lớn nhanh chóng lan truyền một thông điệp, khiến người dùng nhấp vào một liên kết, lợi dụng sự tò mò tự nhiên của họ.

Tweet có dòng chữ Don Don nhấp chuột, theo sau là một liên kết, được lan truyền nhanh chóng trên hàng ngàn tài khoản Twitter. Khi người dùng nhấp vào liên kết và sau đó vào nút có vẻ vô tội trên trang đích, một tweet đã được gửi từ tài khoản của họ. Dòng tweet đó bao gồm đoạn văn bản Don Don nhấp chuột, theo sau là liên kết độc hại.

Các kỹ sư Twitter đã vá lỗi tấn công clickjacking không lâu sau khi nó bắt đầu. Cuộc tấn công tự nó đã được chứng minh là vô hại, và nó hoạt động như một báo động cho biết những rủi ro tiềm ẩn liên quan đến các sáng kiến ​​nhấp chuột trên Twitter. Liên kết độc hại đã đưa người dùng đến một trang web có iframe ẩn. Bên trong khung là một nút vô hình đã gửi tweet độc hại từ tài khoản nạn nhân.

Nhấp chuột trên Facebook

Người dùng ứng dụng Facebook trên thiết bị di động gặp phải một lỗi cho phép những kẻ gửi thư rác đăng nội dung có thể nhấp vào dòng thời gian của họ mà không cần sự đồng ý của họ. Lỗi được phát hiện bởi một chuyên gia bảo mật đang phân tích một chiến dịch spam. Chuyên gia quan sát thấy rằng nhiều liên hệ của ông đã xuất bản một liên kết đến một trang với hình ảnh vui nhộn. Trước khi tiếp cận hình ảnh, người dùng được yêu cầu nhấp vào tuyên bố sắp đến tuổi.

Điều họ không biết là tuyên bố dưới một khung vô hình.

Khi người dùng chấp nhận tuyên bố, họ được đưa đến một trang có hình ảnh vui nhộn. Nhưng trong thời gian đó, liên kết đã được xuất bản trong dòng thời gian của người dùng Facebook. Điều đó là có thể bởi vì thành phần trình duyệt web trong ứng dụng Facebook dành cho Android không tương thích với các tiêu đề tùy chọn khung (bên dưới chúng tôi giải thích chúng là gì) và do đó cho phép lớp phủ khung độc hại.

Facebook không nhận ra vấn đề này là một lỗi vì nó không ảnh hưởng đến tính toàn vẹn tài khoản của người dùng. Vì vậy, nó không chắc chắn nếu nó sẽ được sửa chữa.

Clickjacking trên các mạng xã hội ít hơn

Nó không chỉ là Twitter và Facebook. Các mạng xã hội và nền tảng blog ít phổ biến khác cũng có các lỗ hổng cho phép nhấp chuột. LinkedIn, chẳng hạn, có một lỗ hổng mở ra một cánh cửa cho những kẻ tấn công để lừa người dùng chia sẻ và đăng liên kết thay mặt họ nhưng không có sự đồng ý của họ. Trước khi nó được sửa, lỗ hổng cho phép kẻ tấn công tải trang LinkedIn ShareArticle trên một khung ẩn và che phủ khung này trên các trang bằng các liên kết hoặc nút có vẻ vô tội và hấp dẫn.

Một trường hợp khác là Tumblr, nền tảng viết blog công khai. Trang web này sử dụng mã JavaScript để ngăn chặn nhấp chuột. Nhưng phương pháp bảo vệ này trở nên không hiệu quả do các trang có thể bị cô lập trong khung HTML5 ngăn chúng chạy mã JavaScript. Một kỹ thuật được chế tạo cẩn thận có thể được sử dụng để đánh cắp mật khẩu, kết hợp lỗ hổng được đề cập với plugin trình duyệt của trình trợ giúp mật khẩu: bằng cách lừa người dùng nhập văn bản captcha sai, họ có thể vô tình gửi mật khẩu của mình đến trang web kẻ tấn công..

Giả mạo yêu cầu chéo

Một biến thể của tấn công clickjacking được gọi là giả mạo yêu cầu Cross-site hoặc viết tắt là CSRF. Với sự trợ giúp của kỹ thuật xã hội, tội phạm mạng trực tiếp tấn công CSRF chống lại người dùng cuối, buộc họ phải thực hiện các hành động không mong muốn. Vectơ tấn công có thể là một liên kết được gửi qua email hoặc trò chuyện.

Các cuộc tấn công CSRF không có ý định đánh cắp dữ liệu của người dùng vì kẻ tấn công có thể nhìn thấy phản hồi đối với yêu cầu giả mạo. Thay vào đó, các cuộc tấn công nhắm vào các yêu cầu thay đổi trạng thái, như thay đổi mật khẩu hoặc chuyển tiền. Nếu nạn nhân có đặc quyền quản trị, cuộc tấn công có khả năng thỏa hiệp toàn bộ ứng dụng web.

Một cuộc tấn công CSRF có thể được lưu trữ trên các trang web dễ bị tấn công, đặc biệt là các trang web có cái gọi là lỗ hổng CSRF được lưu trữ. Điều này có thể được thực hiện bằng cách nhập các thẻ IMG hoặc IFRAME vào các trường đầu vào được hiển thị sau đó trên một trang, chẳng hạn như nhận xét hoặc trang kết quả tìm kiếm.

Ngăn chặn các cuộc tấn công đóng khung

Các trình duyệt hiện đại có thể được cho biết nếu một tài nguyên cụ thể được cho phép hoặc không tải trong một khung. Họ cũng có thể chọn tải tài nguyên trong một khung chỉ khi yêu cầu bắt nguồn từ cùng một trang mà người dùng đang ở. Bằng cách này, người dùng không thể bị lừa khi nhấp vào các khung vô hình có nội dung từ các trang web khác và các nhấp chuột của họ không bị tấn công.

Các kỹ thuật giảm thiểu phía khách hàng được gọi là phá khung hoặc giết khung. Mặc dù chúng có thể hiệu quả trong một số trường hợp, nhưng chúng cũng có thể dễ dàng được bỏ qua. Đó là lý do tại sao các phương pháp phía khách hàng không được coi là thực tiễn tốt nhất. Thay vì phá vỡ khung, các chuyên gia bảo mật khuyên dùng các phương thức phía máy chủ như X-Frame-Options (XFO) hoặc các phương pháp gần đây hơn, như Chính sách bảo mật nội dung.

Tùy chọn khung X là tiêu đề phản hồi mà máy chủ web đưa vào trên các trang web để cho biết trình duyệt có được phép hiển thị nội dung của nó trong khung không.

Tiêu đề X-Frame-Option cho phép ba giá trị.

  • DENY, cấm hiển thị trang trong một khung
  • SAMEORIGIN, cho phép hiển thị trang trong một khung, miễn là nó vẫn ở trong cùng một miền
  • ALLOW-TỪ URI, cho phép hiển thị trang trong một khung nhưng chỉ trong một URI được chỉ định (Mã định danh tài nguyên đồng nhất), ví dụ: chỉ trong một trang web cụ thể, cụ thể.

Các phương pháp chống nhấp chuột gần đây hơn bao gồm Chính sách bảo mật nội dung (CSP) với chỉ thị của tổ tiên khung. Tùy chọn này đang được sử dụng rộng rãi trong việc thay thế XFO. Một lợi ích chính của CSP so với XFO là nó cho phép một máy chủ web ủy quyền cho nhiều tên miền để đóng khung nội dung của nó. Tuy nhiên, nó chưa được hỗ trợ bởi tất cả các trình duyệt.

Chỉ thị tổ tiên của khung CSP thừa nhận ba loại giá trị: ‘không ai,’ để ngăn chặn bất kỳ tên miền nào hiển thị nội dung; ‘Tự, rèn chỉ cho phép trang web hiện tại hiển thị nội dung trong một khung hoặc danh sách các URL có ký tự đại diện, chẳng hạn như ‘* .some site.com, đấmhttps://www.example.com/index.html,Vv, v.v., chỉ cho phép đóng khung trên bất kỳ trang nào khớp với một yếu tố trong danh sách.

Làm thế nào để bảo vệ bản thân trước clickjacking

Thật thuận tiện để duy trì đăng nhập vào mạng xã hội trong khi duyệt xung quanh, nhưng nếu bạn làm như vậy, bạn cần thận trọng với các nhấp chuột của mình. Bạn cũng nên chú ý đến các trang web bạn truy cập vì không phải tất cả chúng đều thực hiện các biện pháp cần thiết để ngăn chặn nhấp chuột. Trong trường hợp bạn không chắc chắn về một trang web bạn đang truy cập, bạn không nên nhấp vào bất kỳ nhấp chuột đáng ngờ nào, bất kể nó có thể hấp dẫn đến mức nào.

Một điều cần chú ý là phiên bản trình duyệt của bạn. Ngay cả khi một trang web sử dụng tất cả các tiêu đề ngăn chặn nhấp chuột mà chúng tôi đã đề cập trước đây, không phải tất cả các trình duyệt đều hỗ trợ tất cả chúng, vì vậy hãy chắc chắn sử dụng phiên bản mới nhất bạn có thể nhận được và nó hỗ trợ các tính năng chống nhấp chuột.

Tâm lý chung là một thiết bị tự bảo vệ hiệu quả chống lại clickjacking. Khi bạn thấy nội dung bất thường, bao gồm một liên kết được đăng bởi một người bạn trên bất kỳ mạng xã hội nào, trước khi làm bất cứ điều gì, bạn nên tự hỏi mình đó có phải là loại nội dung mà bạn của bạn sẽ xuất bản không. Nếu không, bạn nên cảnh báo bạn của bạn rằng anh ấy hoặc cô ấy có thể trở thành nạn nhân của nhấp chuột.

Một lời khuyên cuối cùng: nếu bạn là người có ảnh hưởng hoặc bạn chỉ có số lượng người theo dõi hoặc bạn bè thực sự lớn trên bất kỳ mạng xã hội nào, bạn nên tăng gấp đôi biện pháp phòng ngừa và thực hành hành vi có trách nhiệm trực tuyến. Bởi vì nếu bạn trở thành nạn nhân nhấp chuột, cuộc tấn công sẽ kết thúc ảnh hưởng đến rất nhiều người.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map