Clickjacking-aanvalle: Pasop vir die identifisering van sosiale netwerke

Dit is moeilik om te weerstaan ​​om op ‘n gratis iPhone-aanbiedingskakel te klik. Maar wees versigtig: u klik kan maklik gekaap word, en die resultate kan rampspoedig wees.


Clickjacking is ‘n aanvalmetode, ook bekend as User Interface Redressing, omdat dit opgestel word deur ‘n skakel met ‘n oorleg te verbloem (of om dit reg te maak) wat die gebruiker in staat stel om iets anders te doen as wat hy of sy dink.

Die meeste gebruikers van sosiale netwerke geniet die gemak daarvan om te alle tye by hulle aan te hou. Aanvallers kan maklik gebruik maak van hierdie gewoonte om gebruikers te dwing om iets te hou of te volg sonder om op te let. Om dit te kan doen, kan ‘n kubermisdadiger ‘n aanloklike knoppie plaas – byvoorbeeld, met ‘n aantreklike teks, soos “Gratis iPhone – beperkte tydsaanbod” – op sy eie webblad en ‘n onsigbare raam met die bladsy van die sosiale netwerk daarin, ‘n manier waarop ‘n “Like” of “Share” -knoppie oor die gratis iPhone-knoppie lê.

Hierdie eenvoudige clickjacking-truuk kan Facebook-gebruikers dwing om groepe of fanbladsye te hou sonder om dit te weet.

Die beskrewe scenario is redelik onskuldig, in die sin dat die enigste gevolg vir die slagoffer by ‘n sosiale netwerkgroep gevoeg moet word. Met ‘n bietjie ekstra moeite, kan dieselfde tegniek gebruik word om te bepaal of ‘n gebruiker by sy bankrekening aangemeld is, en in plaas daarvan om ‘n sosiale media-item te hou of te deel, kan hy of sy gedwing word om op ‘n knoppie te klik om geld oor te dra ‘n aanvaller se rekening, byvoorbeeld. Die ergste is dat die kwaadwillige optrede nie opgespoor kan word nie, omdat die gebruiker wettiglik by sy of haar bankrekening aangeteken is en hy of sy vrywilliglik op die oordragknoppie geklik het..

Aangesien die meeste klikkragtegnieke sosiale ingenieurswese benodig, word sosiale netwerke ideale aanvalvektore.

Kom ons kyk hoe dit gebruik word.

Clickjacking op Twitter

Ongeveer tien jaar gelede het die sosiale netwerk Twitter ‘n massiewe aanval gehad wat vinnig ‘n boodskap versprei het, wat daartoe gelei het dat gebruikers op ‘n skakel klik en die natuurlike nuuskierigheid daarvan benut..

Tweets met die teks ‘Don’t click’, gevolg deur ‘n skakel, word vinnig versprei oor duisende Twitter-rekeninge. Toe gebruikers op die skakel klik en dan op ‘n skynbaar onskuldige knoppie op die teikenblad, is ‘n tweet van hul rekeninge gestuur. Die tweet bevat die teks ‘Moenie klik nie’, gevolg deur die kwaadwillige skakel.

Twitter-ingenieurs het die clickjacking-aanval opgelos, nie lank nadat dit begin het nie. Die aanval self het onskadelik geblyk, en dit het as ‘n alarm gewerk wat die moontlike risiko’s verbonde aan Twitter-inisiatiewe op Twitter insluit. Die kwaadwillige skakel het die gebruiker na ‘n webblad met ‘n verborge iframe geneem. Binne die raam was ‘n onsigbare knoppie wat die kwaadwillige tweet uit die rekening van die slagoffer gestuur het.

Clickjacking op Facebook

Gebruikers van mobiele Facebook-app word blootgestel aan ‘n fout waarmee spammers klikbare inhoud op hul tydlyne kan plaas sonder hul toestemming. Die fout is ontdek deur ‘n professionele persoon wat sekuriteit het, wat ‘n strooiposveldtog ontleed het. Die kenner het opgemerk dat baie van sy kontakte ‘n skakel na ‘n bladsy met snaakse foto’s publiseer. Voordat hulle die foto’s bereik het, is gebruikers gevra om op ‘n verklaring van die komende ouderdom te klik.

Wat hulle nie weet nie, was dat die verklaring onder ‘n onsigbare raamwerk was.

Toe gebruikers die verklaring aanvaar, is hulle na ‘n bladsy met snaakse foto’s geneem. Maar intussen is die skakel in die Facebook-tydlyn van die gebruikers gepubliseer. Dit was moontlik omdat die webblaaier-komponent in die Facebook-app vir Android nie versoenbaar is met die raamopsiekopers nie (hieronder verduidelik ons ​​wat dit is), en dit daarom moontlik maak dat kwaadwillige raamwerk oorgedra word.

Facebook erken nie die probleem as ‘n fout nie, omdat dit geen invloed op die integriteit van gebruikers se rekeninge het nie. Dit is dus onseker of dit ooit sal regkom.

Clickjacking op mindere sosiale netwerke

Dit is nie net Twitter en Facebook nie. Ander minder gewilde sosiale netwerke en blogplatforms het ook kwesbaarhede wat dit moontlik maak om te klik. LinkedIn het byvoorbeeld ‘n fout wat die aanvallers ‘n deur oopgemaak het om gebruikers te mislei om skakels namens hulle te deel en te plaas, maar sonder hul toestemming. Voordat dit reggestel is, kon die aanvallers die LinkedIn ShareArticle-bladsy op ‘n versteekte raam laai en hierdie raamwerk op bladsye met skynbaar onskuldige en aantreklike skakels of knoppies bedek..

‘N Ander geval is Tumblr, die openbare webblogplatform. Hierdie webwerf gebruik JavaScript-kode om te verhoed dat dit klik. Maar hierdie beskermingsmetode raak ondoeltreffend, aangesien die bladsye in ‘n HTML5-raam geïsoleer kan word om te voorkom dat hulle JavaScript-kode gebruik. ‘N Noukeurig vervaardigde tegniek kan gebruik word om wagwoorde te steel en die genoemde fout te kombineer met ‘n wagwoord-hulpmiddel-blaaier-inprop: deur gebruikers te mislei om ‘n vals captcha-teks in te voer, kan hulle per ongeluk hul wagwoorde na die aanvaller se webwerf stuur.

Vervalsing op verskillende terreine

‘N Variant van die klikaanslagaanval word vervalsing op die perseel genoem, of kortweg CSRF. Met behulp van maatskaplike ingenieurswese rig kubermisdadigers CSRF-aanvalle teen eindgebruikers en dwing hulle om ongewenste aksies uit te voer. Die aanvalvektor kan ‘n skakel wees wat per e-pos of klets gestuur word.

CSRF-aanvalle is nie van plan om die gebruiker se data te steel nie, omdat die aanvaller nie die reaksie op die valse versoek kan sien nie. In plaas daarvan, rig die aanvalle versoeke wat deur die staat verander word, soos ‘n wagwoordverandering of ‘n geldoordrag. As die slagoffer administratiewe voorregte het, kan die aanval ‘n volledige webtoepassing in die gedrang bring.

‘N CSRF-aanval kan op kwesbare webwerwe gestoor word, veral webwerwe met die sogenaamde “gestoorde CSRF-gebreke.” Dit kan bewerkstellig word deur IMG- of IFRAME-etikette in invoervelde in te voer wat later op ‘n bladsy vertoon word, soos kommentaar of ‘n bladsy met soekresultate.

Voorkom rame-aanvalle

Daar kan aan moderne blaaiers gesê word of ‘n spesifieke bron toegelaat word of nie binne ‘n raamwerk laai nie. Hulle kan ook kies om ‘n bron in ‘n raam te laai as die versoek afkomstig is van dieselfde werf waarop die gebruiker is. Op hierdie manier kan gebruikers nie mislei word om op onsigbare rame met inhoud van ander werwe te klik nie, en hul klik word nie gekaap nie.

Die versagtingstegnieke van die kliënt word die vorming van raampies of die doodmaak van rame genoem. Alhoewel dit in sommige gevalle effektief kan wees, kan hulle ook maklik omseil word. Daarom word metodes van klante nie as beste praktyke beskou nie. In plaas daarvan om raampies te breek, beveel sekuriteitskenners aan metodes aan die kant van die server, soos X-Frame-Options (XFO) of meer onlangse, soos Content Security Policy.

X-Frame-Options is ‘n antwoordkop wat webbedieners op webblaaie insluit om aan te dui of ‘n blaaier toegelaat word om die inhoud binne ‘n raam te wys of nie.

Die X-Frame-Opsie-opskrif laat drie waardes toe.

  • DENY, wat verbied om die bladsy binne ‘n raam te vertoon
  • SAMEORIGIN, wat dit moontlik maak om die bladsy binne ‘n raam te vertoon, solank dit in dieselfde domein bly
  • TOELAAT URI, wat die vertoon van die bladsy binne ‘n raam moontlik maak, maar slegs in ‘n spesifieke URI (Uniform Resource Identifier), byvoorbeeld slegs binne ‘n spesifieke spesifieke webblad.

Meer onlangse anti-clickjacking-metodes sluit in Content Security Policy (CSP) met die raam-voorouers-richtlijn. Hierdie opsie word wyd gebruik in die vervanging van XFO. ‘N Groot voordeel van CSP in vergelyking met XFO is dat dit ‘n webbediener toelaat om verskeie domeine te magtig om die inhoud daarvan te raam. Dit word egter nog nie deur alle blaaiers ondersteun nie.

Die raamvoorouers van CSP erken drie soorte waardes: ‘Geen’ om te voorkom dat enige domein die inhoud vertoon; ‘Self’ om die huidige webwerf slegs toe te laat om die inhoud in ‘n raam te vertoon, of ‘n lys met URL’s met wildkaarte, soos ‘*. sommige webwerf.com,’ ‘https://www.example.com/index.html,’Ensovoorts, om slegs op enige bladsy wat ooreenstem met ‘n element van die lys, op te stel.

Hoe om jouself te beskerm teen clickjacking

Dit is gerieflik om op ‘n sosiale netwerk aan te hou terwyl u rondkyk, maar as u dit doen, moet u versigtig wees met u klik. U moet ook let op die webwerwe wat u besoek, want nie almal neem die nodige maatreëls om te klikkeer nie. As u nie seker is van ‘n webwerf wat u besoek nie, moet u nie op enige verdagte klik klik nie, maak nie saak hoe aanloklik dit kan wees nie.

Nog ‘n ding waaraan u moet let, is u blaaierweergawe. Selfs al gebruik ‘n webwerf al die voorskrifte vir die voorkoming van clickjacking wat ons voorheen genoem het, ondersteun nie alle blaaiers almal nie, so maak seker dat u die nuutste weergawe wat u kan kry, gebruik en dit ondersteun anti-clickjacking-funksies.

Gesonde verstand is ‘n effektiewe selfbeskermingsinstrument teen klikkaak. As u ongewone inhoud sien, insluitend ‘n skakel wat deur ‘n vriend op enige sosiale netwerk geplaas is, voordat u iets doen, moet u uself afvra of dit die tipe inhoud is wat u vriend sou publiseer. As dit nie so is nie, moet u u vriend waarsku dat hy of sy ‘n slagoffer van clickjacking sou kon word.

‘N Laaste advies: as u ‘n influencer is, of net ‘n groot aantal volgelinge of vriende op enige sosiale netwerk het, moet u u voorsorgmaatreëls verdubbel en ‘n verantwoordelike gedrag aanlyn oefen. Want as u ‘n slagoffer van klikkraak word, sal die aanval ‘n hele klomp mense beïnvloed.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map