Atacuri de clic: Ferește-te de identificarea rețelei sociale

Este greu să rezistați să faceți clic pe un link de ofertă gratuit pentru iPhone. Dar fiți atenți: clicul dvs. poate fi ușor deturnat, iar rezultatele pot fi dezastruoase.


Clickjacking este o metodă de atac, cunoscută și sub denumirea de Redressing User Interface, deoarece este configurată prin deghizare (sau redirecționare) a unei legături cu o suprapunere care păcălește utilizatorul să facă ceva diferit decât crede el.

Cei mai mulți utilizatori ai rețelelor sociale se bucură de confortul de a rămâne conectat în permanență la ei. Atacatorii ar putea profita cu ușurință de acest obicei pentru a obliga utilizatorii să le placă sau să urmeze ceva fără să observe. Pentru a face acest lucru, un cybercriminal ar putea pune un buton ispititor – de exemplu, cu un text atrăgător, cum ar fi „iPhone gratuit – ofertă de timp limitată” – pe propria pagină web și să suprapună un cadru invizibil cu pagina rețelei sociale din ea, în astfel de un mod prin care un buton „Like” sau „Share” se pune peste butonul Free iPhone.

Acest simplu truc de clickjacking îi poate determina pe utilizatorii Facebook să le placă grupuri sau pagini de fan fără să știe.

Scenariul descris este destul de nevinovat, în sensul că singura consecință pentru victimă este adăugarea la un grup de rețele sociale. Însă, cu un efort suplimentar, aceeași tehnică ar putea fi folosită pentru a determina dacă un utilizator este conectat la contul său bancar și, în loc să placă sau să partajeze ceva articol de socializare, el sau ea ar putea fi obligat să facă clic pe un buton care transferă fonduri către contul unui atacator, de exemplu. Partea cea mai grea este că acțiunea rău intenționată nu poate fi urmărită, deoarece utilizatorul a fost autentificat autentificat în contul său bancar și a dat clic voluntar pe butonul de transfer..

Deoarece majoritatea tehnicilor de clickjacking necesită inginerie socială, rețelele sociale devin vectori de atac ideali.

Să vedem cum sunt utilizate.

Clickjacking pe Twitter

În urmă cu aproximativ zece ani, rețeaua de socializare Twitter a suferit un atac masiv care a răspândit rapid un mesaj, ceea ce i-a determinat pe utilizatori să facă clic pe un link, profitând de curiozitatea lor naturală.

Tweeturile cu textul „Nu faceți clic”, urmate de un link, s-au propagat rapid pe mii de conturi Twitter. Când utilizatorii au dat clic pe link și apoi pe un buton aparent inocent din pagina țintă, un tweet a fost trimis din conturile lor. Acest tweet a inclus textul „Nu faceți clic”, urmat de linkul rău intenționat.

Inginerii Twitter au aplicat atacul clickjacking-ului nu după mult timp. Atacul însuși s-a dovedit a fi inofensiv și a funcționat ca o alarmă care spune potențialele riscuri pe care le implică inițiativele de clickjacking Twitter. Linkul rău intenționat a dus utilizatorul la o pagină web cu un iframe ascuns. În cadru se afla un buton invizibil care trimitea un tweet rău intenționat din contul victimei.

Clickjacking pe Facebook

Utilizatorii de aplicații mobile Facebook sunt expuși la o eroare care permite spam-urilor să posteze conținut clic pe calendarul lor, fără acordul lor. Eroarea a fost descoperită de un profesionist în domeniul securității care a analizat o campanie de spam. Expertul a observat că multe dintre contactele sale publicau un link către o pagină cu imagini amuzante. Înainte de a ajunge la imagini, utilizatorii au fost invitați să facă clic pe o declarație de vârstă.

Ceea ce nu știau era că declarația era sub un cadru invizibil.

Când utilizatorii au acceptat declarația, au fost duși pe o pagină cu poze amuzante. Între timp, linkul a fost publicat în cronologia Facebook a utilizatorilor. Acest lucru a fost posibil deoarece componenta browser-ului web din aplicația Facebook pentru Android nu este compatibilă cu anteturile opțiunilor de cadru (mai jos vă explicăm care sunt acestea) și, prin urmare, permite realizarea unei suprapuneri de rau rău.

Facebook nu recunoaște problema ca o eroare, deoarece nu are impact asupra integrității conturilor utilizatorilor. Deci nu este sigur dacă va fi vreodată rezolvat.

Clickjacking pe rețelele sociale mai mici

Nu este doar Twitter și Facebook. Alte rețele sociale mai puțin populare și platforme de bloguri au, de asemenea, vulnerabilități care permit clickjacking. LinkedIn, de exemplu, a avut un defect care a deschis o ușă pentru atacatori să-i păcălească pe utilizatori să partajeze și să posteze link-uri în numele lor, dar fără acordul lor. Înainte de a fi rezolvat, defectul le-a permis atacatorilor să încarce pagina de pe LinkedIn ShareArticle pe un cadru ascuns și să suprapună acest cadru pe pagini cu linkuri sau butoane aparent inocente și atrăgătoare..

Un alt caz este Tumblr, platforma publică de bloguri web. Acest site utilizează cod JavaScript pentru a preveni apariția clicurilor. Dar această metodă de protecție devine ineficientă, deoarece paginile pot fi izolate într-un cadru HTML5 care le împiedică să ruleze cod JavaScript. O tehnică lucrată cu grijă ar putea fi folosită pentru a fura parolele, combinând defectul menționat cu un plugin pentru browserul de asistență de parolă: prin păcălirea utilizatorilor să tasteze un text captcha fals, pot fi trimise din neatenție parolele lor pe site-ul atacatorului..

Falsificarea solicitării în site-uri

O variantă a atacului de clickjacking se numește falsificare a cererilor pe site-uri sau CSRF pe scurt. Cu ajutorul ingineriei sociale, ciberneticii direcționează atacurile CSRF împotriva utilizatorilor finali, forțându-i să execute acțiuni nedorite. Vectorul de atac poate fi un link trimis prin e-mail sau chat.

Atacurile CSRF nu intenționează să fure datele utilizatorului, deoarece atacatorul nu poate vedea răspunsul la solicitarea falsă. În schimb, atacurile vizează solicitări de schimbare a statului, cum ar fi o schimbare de parolă sau un transfer de fonduri. Dacă victima are privilegii administrative, atacul are potențialul de a compromite o întreagă aplicație web.

Un atac CSRF poate fi stocat pe site-uri web vulnerabile, în special pe site-uri web cu așa-numitele „defecte CSRF stocate”. Acest lucru poate fi realizat prin introducerea etichetelor IMG sau IFRAME în câmpurile de introducere care sunt afișate ulterior pe o pagină, cum ar fi comentariile sau pagina de rezultate a căutării..

Prevenirea atacurilor de încadrare

Browser-urile moderne li se poate spune dacă o anumită resursă este permisă sau nu să se încarce într-un cadru. De asemenea, ei pot opta pentru încărcarea unei resurse într-un cadru numai atunci când cererea provine de la același site la care se află utilizatorul. În acest fel, utilizatorii nu pot fi păcăliți să facă clic pe cadrele invizibile cu conținut de pe alte site-uri, iar clicurile lor nu vor fi deturnate.

Tehnicile de atenuare din partea clientului se numesc busting de cadre sau uciderea cadrului. Deși pot fi eficiente în unele cazuri, pot fi, de asemenea, ușor ocolite. De aceea, metodele din partea clientului nu sunt considerate cele mai bune practici. În loc de blocarea cadrelor, experții în securitate recomandă metode din partea serverului, precum X-Frame-Options (XFO) sau mai recente, cum ar fi Politica de securitate a conținutului.

Opțiunile X-Frame este un antet de răspuns pe care serverele web îl includ pe paginile web pentru a indica dacă un browser are voie să-și arate conținutul într-un cadru.

Antetul X-Frame-Option permite trei valori.

  • DENY, care interzice afișarea paginii într-un cadru
  • SAMEORIGIN, care permite afișarea paginii într-un cadru, atât timp cât rămâne în același domeniu
  • ALLOW-FROM URI, care permite afișarea paginii într-un cadru, dar numai într-un URI specificat (Uniform Resource Identifier), de exemplu, doar într-o anumită pagină web specifică.

Metodele mai recente anti-clickjacking includ Politica de securitate a conținutului (CSP) cu directiva frame-ancestors. Această opțiune este utilizată pe scară largă în înlocuirea XFO. Un beneficiu major al CSP în comparație cu XFO este că permite unui server web să autorizeze mai multe domenii pentru a-și încadra conținutul. Cu toate acestea, nu este încă acceptat de toate browserele.

Directiva cadru-strămoși CSP admite trei tipuri de valori: ‘nici unul,’ pentru a împiedica orice domeniu să afișeze conținutul; ‘de sine,’ pentru a permite site-ului curent să afișeze conținutul într-un cadru sau o listă de adrese URL cu wildcarduri, cum ar fi „* .some site.com”, „https://www.example.com/index.html,”Etc., pentru a permite încadrarea numai în orice pagină care se potrivește cu un element din listă.

Cum să vă protejați împotriva accesului la clic

Este convenabil să rămâneți conectat la o rețea socială în timp ce navigați, dar dacă faceți acest lucru, trebuie să fiți prudent cu clicurile dvs. De asemenea, ar trebui să acordați atenție site-urilor pe care le vizitați, deoarece nu toate iau măsurile necesare pentru a preveni apariția clicurilor. În cazul în care nu sunteți sigur de un site web pe care îl vizitați, nu ar trebui să faceți clic pe niciun clic suspect, oricât de tentant ar putea fi.

Un alt lucru la care trebuie să acordați atenție este versiunea browserului dvs. Chiar dacă un site folosește toate anteturile de prevenire a clickjackingului menționate anterior, nu toate browserele acceptă toate, așa că asigurați-vă că utilizați cea mai recentă versiune pe care o puteți obține și că acceptă funcții anti-clickjacking..

Bunul simț este un dispozitiv eficient de autoprotecție împotriva clicului. Când vedeți conținut neobișnuit, inclusiv un link postat de un prieten pe orice rețea de socializare, înainte de a face ceva, ar trebui să vă întrebați dacă acesta este tipul de conținut pe care prietenul dvs. l-ar publica. Dacă nu, ar trebui să-l avertizați pe prietenul dvs. că el sau ea ar fi putut fi o victimă a clickjacking-ului.

Un ultim sfat: dacă ești influencer sau ai doar un număr foarte mare de adepți sau prieteni pe orice rețea socială, ar trebui să îți dublezi măsurile de precauție și să exersezi un comportament responsabil online. Pentru că, dacă deveniți o victimă cu un click, atacul va ajunge să afecteze o mulțime de oameni.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map