Kattintási támadások: Óvakodj a közösségi hálózat azonosításáról

Nehéz ellenállni egy ingyenes iPhone ajánlat linkre való kattintással. De légy óvatos: kattintása könnyen eltéríthető, és az eredmények katasztrofálisak lehetnek.


A kattintással történő támadás egy módszer, amelyet felhasználói felület kijavításának is neveznek, mert úgy hozzák létre, hogy egy olyan sablont lefejt (vagy megjavít) egy átfedéssel, amely arra készteti a felhasználót, hogy valami mást csináljon, mint gondolná..

A közösségi hálózatok legtöbb felhasználója élvezi a kényelmet, hogy mindig bejelentkezzen velük. A támadók könnyen kihasználhatják ezt a szokást, és arra kényszerítik a felhasználókat, hogy észrevételezés nélkül kedveljenek vagy kövessenek valamit. Ennek érdekében egy számítógépes bűncselekmény egy csábító gombot – például egy vonzó szöveggel, például „Ingyenes iPhone – korlátozott időtartamú ajánlat” elhelyezésével – saját weboldalára helyezhet egy csábító gombot, és egy láthatatlan keretet fedhet fel a benne található szociális háló oldalával. oly módon, hogy a „Tetszik” vagy a „Megosztás” gomb fekszik az Ingyenes iPhone gomb felett.

Ez az egyszerű clickjacking-trükk arra kényszerítheti a Facebook-felhasználókat, hogy anélkül, hogy tudnának, kedvelik a csoportokat vagy rajongói oldalakat.

A leírt forgatókönyv meglehetősen ártatlan abban az értelemben, hogy az áldozat egyetlen következménye, hogy hozzáadódik egy közösségi hálózati csoporthoz. De némi extra erőfeszítéssel ugyanezt a technikát lehet használni annak meghatározására, hogy a felhasználó be van-e jelentkezve a bankszámlájára, és ahelyett, hogy kedvelni vagy megosztani valamilyen közösségi média elemet, arra kényszeríthető, hogy rákattint egy gombra, amely pénzeszközöket utal át az például egy támadó fiókja. A legrosszabb rész az, hogy a rosszindulatú műveletet nem lehet nyomon követni, mert a felhasználó jogos volt bejelentkezni bankszámlájára, és önként kattintott az átutalás gombra..

Mivel a legtöbb kattintástechnika társadalmi mérnököt igényel, a közösségi hálózatok ideális támadási vektorokká válnak.

Lássuk, hogyan használják őket.

Clickjacking a Twitteren

Körülbelül tíz évvel ezelőtt a Twitter közösségi hálózatot egy hatalmas támadás érte, amely gyorsan eljuttatott egy üzenetet, és a felhasználók a linkre kattintva kényszerítették ki természetes kíváncsiságaikat.

A „Ne kattintás” szöveget tartalmazó Tweetek és egy link követik, amelyek gyorsan elterjedtek a több ezer Twitter-fiókban. Amikor a felhasználók rákattintottak a linkre, majd egy látszólag ártatlan gombra a céloldalon, csipogót küldtek a fiókjukból. A tweet tartalmazta a „Ne kattintson” szöveget, amelyet a rosszindulatú link követ.

A Twitter mérnökei nem sokkal azután indultak el, hogy javítsák a clickjacking támadást. Maga a támadás ártalmatlannak bizonyult, és riasztóként működött, amely elmondta a Twitter kattintással történő kezdeményezésekkel járó lehetséges kockázatokat. A rosszindulatú link elrejtette a felhasználót egy rejtett iframe keretű weboldalra. A keret belsejében egy láthatatlan gomb volt, amely a rosszindulatú tweetet küldte az áldozat fiókjából.

Clickjacking a Facebookon

A Facebook mobil alkalmazásának felhasználói egy olyan hibának vannak kitéve, amely lehetővé teszi a spamszolgáltatók számára kattintható tartalom közzétételét ütemtervükön, hozzájárulásuk nélkül. A hibát egy biztonsági szakember fedezte fel, aki egy spam kampányt elemez. A szakértő megfigyelte, hogy számos kapcsolattartója vicces képekkel ellátott oldalra mutató hivatkozást tett közzé. A képek elérése előtt a felhasználókat felkérték, hogy kattintsanak az életkor bejelentésére.

Amit nem tudtak, az volt, hogy a nyilatkozat láthatatlan keret alatt volt.

Amikor a felhasználók elfogadták a nyilatkozatot, vicces képekkel ellátott oldalra vitték őket. Időközben azonban a linket közzétették a felhasználók Facebook idővonalában. Ez azért volt lehetséges, mert az Androidos Facebook alkalmazás webböngésző-összetevője nem kompatibilis a keretbeállítások fejléceivel (alább ismertetjük, melyek azok), és ennélfogva lehetővé teszi a rosszindulatú keretfedések átfedését..

A Facebook nem ismeri el a hibát, mivel nincs hatással a felhasználók fiókok integritására. Tehát nem biztos, hogy ezt valaha is megjavítják.

Kattintás a kisebb közösségi hálózatokon

Ez nem csak a Twitter és a Facebook. Más kevésbé népszerű közösségi hálózatokon és blogplatformokon is vannak olyan biztonsági rések, amelyek lehetővé teszik a kattintást. Például a LinkedInnek volt egy hibája, amely megnyitotta a kaput a támadók számára, hogy becsapják a felhasználókat a linkek megosztására és közzétételére a nevükben, de hozzájárulásuk nélkül. Mielőtt kijavították, a hiba lehetővé tette a támadóknak, hogy betöltsék a LinkedIn ShareArticle oldalt egy rejtett keretbe, és fedjék le ezt a keretet látszólag ártatlan és vonzó linkekkel vagy gombokkal ellátott oldalakon..

Egy másik eset a Tumblr, a nyilvános webes blogplatform. Ez a webhely JavaScript-kódot használ a kattintások elkerülése érdekében. Ez a védelmi módszer azonban hatástalanná válik, mivel az oldalak elkülöníthetők egy HTML5 keretben, amely megakadályozza őket a JavaScript-kód futtatásában. Egy gondosan kidolgozott módszer használható a jelszavak ellopására, kombinálva az említett hibát a jelszó-segítő böngésző plugin-jával: megtévesztve a felhasználókat egy hamis captcha-szöveg beírására, véletlenül elküldhetik jelszavukat a támadó webhelyére..

Telephelyközi hamisítási igény

A clickjacking támadás egyik változatát webhelyek közötti kérés-hamisításnak vagy röviden CSRF-nek hívják. A szociális mérnökök segítségével a számítógépes bűnözők a végső felhasználók ellen irányítják a CSRF-támadásokat, kényszerítve őket a nem kívánt tevékenységek végrehajtására. A támadási vektor lehet link, amelyet e-mailben vagy csevegéssel küldünk el.

A CSRF támadások nem szándékoznak ellopni a felhasználó adatait, mivel a támadó nem látja a hamis kérelemre adott választ. Ehelyett a támadások állapotváltoztató kéréseket céloznak meg, például egy jelszó megváltoztatása vagy egy pénzátutalás. Ha az áldozat adminisztratív jogosultságokkal rendelkezik, a támadás veszélyeztetheti a teljes webes alkalmazást.

A CSRF-támadás veszélyeztetett webhelyeken tárolható, különösen az úgynevezett „tárolt CSRF-hibákkal” rendelkező webhelyeken. Ez úgy érhető el, ha IMG vagy IFRAME címkéket ír be olyan beviteli mezőkbe, amelyeket később egy oldalon mutatnak, például megjegyzéseket vagy keresési eredményoldalt..

A keretes támadások megelőzése

A modern böngészők megmondhatják, hogy megengedett-e egy adott erőforrás betöltése a keretben. Azt is választhatják, hogy csak egy erőforrást töltenek be a keretbe, ha a kérés ugyanabból a webhelyről származik, ahol a felhasználó található. Ily módon a felhasználókat nem lehet megtéveszteni, hogy más webhelyek tartalmával láthatatlan keretekre kattintsanak, és kattintásaikat nem kapják el.

Az ügyféloldali mérséklési technikákat nevezzük keretszorításnak vagy képgyilkolásnak. Annak ellenére, hogy bizonyos esetekben hatékonyak lehetnek, könnyen megkerülhetők. Ezért az ügyféloldali módszereket nem tekintik legjobb gyakorlatnak. A keretszorítás helyett a biztonsági szakértők szerveroldali módszereket javasolnak, például az X-Frame-Options (XFO) vagy újabb módszereket, például a tartalom biztonsági irányelveit.

Az X-Frame-Options egy olyan válaszfejléc, amelyet a webszerverek a weboldalakon tartalmaznak annak jelzésére, hogy a böngésző megengedi-e tartalmának a keretben történő megjelenítését..

Az X-Frame-Option fejléc három értéket tesz lehetővé.

  • DENY, amely megtiltja az oldal képkockán belüli megjelenítését
  • SAMEORIGIN, amely lehetővé teszi az oldal megjelenítését keretben, mindaddig, amíg ugyanazon a tartományon marad
  • ALLOW-FROM URI, amely lehetővé teszi az oldal megjelenítését keretben, de csak egy megadott URI-ben (Uniform Resource Identifier), például csak egy adott weboldalon belül.

A legfrissebb kattintásellenes módszerek közé tartozik a tartalombiztonsági politika (CSP) és a keret-ősök irányelvje. Ezt az opciót széles körben használják az XFO pótlására. A CSP egyik fő előnye az XFO-hoz képest, hogy lehetővé teszi egy webszerver számára, hogy több domaint felhatalmazzon a tartalma keretezésére. Ezt azonban nem minden böngésző támogatja.

A CSP keret-ősökről szóló irányelve háromféle értéket fogad el: ‘egyik sem,’ annak megakadályozása, hogy bármely domain megjelenítse a tartalmat; ‘maga,’ hogy csak az aktuális webhely jelenítse meg a tartalmat egy keretben vagy helyettesítő karakterekkel ellátott URL-ek listájában, mint például a * .some site.com,https://www.example.com/index.html,Stb., Hogy csak a listán szereplő elemmel megegyező oldalakon válasszon kereteket.

Hogyan lehet megvédeni magát a kattintással szemben

Kényelmes böngészés közben bejelentkezni egy közösségi hálózatba, de ha ezt megteszi, akkor óvatosnak kell lennie a kattintásokkal. Figyelembe kell vennie a meglátogatott webhelyeket is, mivel nem mindegyik hozza meg a szükséges intézkedéseket a kattintásos út megakadályozására. Ha nem biztos a látogatott webhelyen, ne kattintson a gyanús kattintásokra, bármennyire is csábító lehet..

Egy másik dolog, amelyre figyelni kell a böngésző verziója. Még akkor is, ha egy webhely az összes korábban említett kattintásszabályozási fejlécet használja, nem minden böngésző támogatja mindegyiket, ezért feltétlenül használja a legfrissebb verziót, amelyet kaphat, és hogy támogatja a kattintásgátló funkciókat..

A józan ész egy hatékony önvédelmi eszköz a kattintás ellen. Ha szokatlan tartalmat látsz, beleértve egy barátjának bármely közösségi hálózaton elküldött linkjét, mielőtt bármit megtenne, kérdezze meg saját magától, hogy ezt a tartalmat milyen típusú barátai közzéteszik. Ha nem, figyelmeztesse a barátait, hogy a kattintással való áldozatá válhatott.

Utolsó tanács: ha befolyásoló vagy, vagy csak nagyon sok követője vagy barátja van bármely közösségi hálózaton, akkor duplán kell megtennie az elővigyázatosságot, és online felelősségteljes magatartást kell gyakorolnia. Mert ha kattanásszerű áldozatmá válik, a támadás sok embert érint.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map