حملات Clickjacking: از شناسایی شبکه های اجتماعی آگاه باشید

مقاومت در برابر کلیک کردن روی پیوند رایگان پیشنهاد آیفون سخت است. اما مراقب باشید: کلیک شما به راحتی ربوده می شود ، و نتایج می تواند فاجعه بار باشد.


Clickjacking یک روش حمله است ، همچنین به عنوان User Interface Redressing نیز شناخته می شود ، زیرا با جابجایی (یا اصلاح مجدد) پیوندی با یک پوشش ایجاد شده است که کاربر را به انجام کارهایی متفاوت از آنچه فکر می کند ، ترغیب می کند..

اکثر کاربران شبکه های اجتماعی از راحتی برای همیشه در ورود به آنها لذت می برند. مهاجمان می توانند به راحتی از این عادت استفاده کنند و کاربران را وادار کنند که بدون توجه به چیزی دوست دارند یا از چیزی پیروی کنند. برای این کار ، یک مجرمان سایبری می توانند یک دکمه وسوسه‌انگیز – به عنوان مثال ، با متن جذاب مانند “آیفون رایگان – ارائه مدت زمان محدود” – در صفحه وب خود قرار دهند و یک قاب نامرئی را با صفحه شبکه اجتماعی در آن پوشش دهند. راهی که “Like” یا “Share” روی دکمه Free iPhone قرار دارد.

این ترفند کلیک ساده می تواند کاربران فیس بوک را مجبور به دوست داشتن گروه ها یا صفحات فن کند بدون اینکه بدانند.

سناریوی توصیف شده کاملاً بی گناه است ، به این معنا که تنها پیامد قربانی اضافه شدن به یک گروه شبکه های اجتماعی است. اما با کمی تلاش اضافی می توان از همین تکنیک برای تعیین اینکه کاربر در حساب بانکی خود وارد شده است استفاده کرد و به جای دوست داشتن یا اشتراک برخی از موارد رسانه های اجتماعی ، وی را مجبور به کلیک روی دکمه انتقال وجوه به به عنوان مثال حساب مهاجم. بدترین قسمت این است که عملکرد مخرب را نمی توان ردیابی کرد ، زیرا کاربر قانونی به حساب بانکی خود وارد شده بود ، و او به طور داوطلبانه بر روی دکمه انتقال کلیک کرد.

از آنجا که بیشتر تکنیک های clickjacking به مهندسی اجتماعی احتیاج دارند ، شبکه های اجتماعی به وکتورهای حمله ایده آل تبدیل می شوند.

بیایید ببینیم که چگونه از آنها استفاده می شود.

کلیک در توییتر

حدود ده سال پیش ، شبکه اجتماعی توییتر با حمله گسترده ای روبرو شد که به سرعت یک پیام را پخش کرد ، که باعث شد کاربران با استفاده از کنجکاوی طبیعی خود بر روی یک لینک کلیک کنند..

توییت‌هایی با متن “کلیک نکن” ، به دنبال یک پیوند ، به سرعت در هزاران حساب توییتر پخش شد. وقتی کاربران روی پیوند و سپس بر روی یک دکمه به ظاهر بی گناه در صفحه هدف کلیک کردند ، یک صدای جیر جیر از حساب آنها ارسال شد. این صدای جیر جیر شامل متن “کلیک نکنید” ، و به دنبال آن پیوند مخرب است.

مهندسان توییتر چندی پس از شروع حمله ، حمله به کلیک را دنبال نکردند. این حمله بسیار بی ضرر بود و به عنوان زنگ خطر خطرات احتمالی موجود در ابتکارات کلیک در توییتر را نشان می داد. پیوند مخرب کاربر را با یک iframe پنهان به یک صفحه وب برد. درون قاب دکمه ای نامرئی بود که صدای جیر جیر مخرب را از حساب قربانی ارسال کرد.

Clickjacking در فیس بوک

کاربران برنامه موبایل فیس بوک در معرض اشکالی قرار گرفته اند که به اسپم ها اجازه می دهد بدون رضایت خود ، محتوای قابل کلیک را در جدول زمانی خود ارسال کنند. این اشکال توسط یک متخصص امنیتی کشف شده بود که مشغول تحلیل فعالیت های اسپم بود. این کارشناس مشاهده کرد که بسیاری از مخاطبین وی پیوندی را به صفحه ای با تصاویر خنده دار منتشر می کنند. قبل از رسیدن به تصاویر ، از کاربران خواسته شده بود تا روی اعلامیه آمدن سن کلیک کنند.

آنچه آنها نمی دانستند این بود که این بیانیه تحت یک قاب نامرئی بود.

وقتی کاربران اعلامیه را پذیرفتند ، آنها را به صفحه ای با تصاویر خنده دار منتقل کردند. در همین حال ، این لینک در جدول زمانی فیس بوک کاربران منتشر شد. این امر ممکن است به این دلیل است که مؤلفه مرورگر وب در برنامه Facebook برای Android سازگار با هدر گزینه های قاب نیست (در زیر توضیح می دهیم آنها چیست) ، و بنابراین امکان پوشش دهی قاب مخرب را فراهم می کند.

فیس بوک مسئله را به عنوان یک اشکال تشخیص نمی دهد زیرا هیچ تاثیری بر صداقت کاربران ندارد. بنابراین هنوز قطعی نیست یا خیر.

کلیک کردن در شبکه های اجتماعی کمتر

این فقط توییتر و فیس بوک نیستند. سایر شبکه های اجتماعی کمتر محبوب و سیستم عامل های وبلاگ نویسی نیز دارای آسیب پذیری هایی هستند که امکان کلیک مجدد را فراهم می آورد. به عنوان مثال ، LinkedIn نقصی داشت که در را برای مهاجمین باز کرد تا کاربران را برای به اشتراک گذاشتن و ارسال لینک از طرف آنها فریب دهند اما بدون رضایت آنها. قبل از برطرف شدن این نقص ، به مهاجمان اجازه می داد تا صفحه LinkedIn ShareArticle را روی یک قاب مخفی بارگذاری کنند و این قاب را روی صفحات با پیوندها یا دکمه های به ظاهر بی گناه و جذاب به نمایش بگذارند..

مورد دیگر Tumblr ، بستر وبلاگ نویسی عمومی است. این سایت از کد JavaScript برای جلوگیری از کلیک در کلیک استفاده می کند. اما این روش محافظت ناکارآمد می شود زیرا می توان صفحات را در یک قاب HTML5 جدا کرد که مانع از اجرای کد JavaScript می شود. می توان از یک تکنیک با دقت ساخته شده برای دزدیدن رمزهای عبور استفاده کرد ، نقص ذکر شده را با افزونه مرورگر یاور رمز عبور ترکیب کرد: با فریب کاربران برای تایپ کردن متن کپچا کاذب ، آنها می توانند ناخواسته رمزهای عبور خود را به سایت مهاجم ارسال کنند..

جعل درخواست متقابل سایت

یکی از انواع حمله های Clickjacking ، جعل درخواست Cross-site یا کوتاه مدت CSRF نامیده می شود. با کمک مهندسی اجتماعی ، مجرمان سایبری حملات CSRF را علیه کاربران نهایی هدایت می کنند و آنها را وادار به انجام اقدامات ناخواسته می کنند. بردار حمله می تواند پیوندی باشد که از طریق ایمیل یا گپ ارسال می شود.

حملات CSRF قصد سرقت اطلاعات کاربر را ندارند زیرا حمله کننده نمی تواند پاسخی راجع به درخواست واجی مشاهده کند. در عوض ، این حملات درخواست های تغییر حالت ، مانند تغییر رمز عبور یا انتقال وجه را هدف قرار می دهند. اگر قربانی امتیازات اداری داشته باشد ، این حمله می تواند کل برنامه وب را به خطر بیاندازد.

حمله CSRF را می توان در وب سایت های آسیب پذیر ، به خصوص وب سایت هایی با به اصطلاح “نقص ذخیره شده CSRF” ذخیره کرد. این امر می تواند با وارد کردن برچسب های IMG یا IFRAME در قسمت های ورودی که بعداً در صفحه نشان داده می شوند ، مانند نظرات یا صفحه نتایج جستجو.

جلوگیری از حملات قاب بندی

اگر به منبع خاصی اجازه داده شود یا در یک قاب بارگیری نشود ، به مرورگرهای مدرن می توان گفت. آنها همچنین می توانند در صورت بارگیری درخواست از همان سایتی که کاربر در آن قرار دارد ، بارگیری یک منبع را در یک فریم انتخاب کنند. به این ترتیب ، کاربران نمی توانند برای کلیک بر روی فریم های نامرئی با محتوا از سایت های دیگر ، فریب دهند و کلیک های آنها ربوده نشود.

تکنیک های کاهش سمت مشتری را اصطکاک قاب یا قتل فریم می نامند. اگرچه در بعضی موارد می توانند مؤثر باشند ، اما می توان به راحتی از آن گذشت. به همین دلیل است که روش های سمت مشتری به عنوان بهترین روش ها در نظر گرفته نمی شوند. به جای شكاف كردن فریم ، كارشناسان امنیتی روشهای سمت سرور مانند X-Frame-Options (XFO) یا سایر موارد جدید مانند سیاست محتوا را توصیه می كنند..

X-Frame-Options یک هدر پاسخی است که سرورهای وب در صفحات وب درج می کنند تا نشان دهند آیا مرورگر مجاز است محتوای خود را درون یک قاب نشان دهد یا نه..

هدر X-Frame-Option اجازه می دهد تا سه مقدار داشته باشد.

  • DENY ، نمایش صفحه در یک قاب ممنوع است
  • SAMEORIGIN ، اجازه می دهد تا صفحه را در یک قاب نمایش دهید ، تا زمانی که در همان دامنه باقی بماند
  • ALLOW-FROM URI ، که امکان نمایش صفحه در یک قاب را می دهد اما فقط در یک URI مشخص (شناسه منبع یکسان) ، به عنوان مثال ، فقط در یک صفحه وب خاص ،.

روشهای اخیر ضد كلیك كردن شامل سیاست امنیت محتوا (CSP) با بخشنامه قاب اجداد است. این گزینه به طور گسترده ای در جایگزینی XFO مورد استفاده قرار می گیرد. یکی از مهمترین مزایای CSP در مقایسه با XFO این است که به یک سرور وب اجازه می دهد تا چندین دامنه را برای قاب بندی محتوای خود مجاز کند. با این حال ، هنوز توسط همه مرورگرها پشتیبانی نمی شود.

دستورالعمل اجداد CSP سه نوع ارزش را پذیرفته است: ‘هیچ یک،’ برای جلوگیری از نمایش دامنه از محتوا. ‘خود،’ فقط به سایت کنونی اجازه می دهد تا محتوا را در یک قاب یا لیستی از نشانی های اینترنتی با کارت های علامت مانند “. *. site.com” نشان دهد. ‘https://www.example.com/index.html,و غیره ، فقط برای قرار دادن قاب در هر صفحه ای که با یک عنصر از لیست مطابقت داشته باشد ، مجاز است.

چگونه می توان از خود در برابر کلیک استفاده کرد

راحت است که هنگام مرور در یک شبکه اجتماعی وارد شوید ، اما اگر این کار را انجام دهید ، باید با کلیک خود محتاط باشید. همچنین باید به سایتهایی که بازدید می کنید توجه کنید زیرا همه آنها اقدامات لازم را برای جلوگیری از کلیک بر روی کاغذ انجام نمی دهند. در صورتی که در مورد وب سایتی که بازدید می کنید مطمئن نیستید ، مهم نیست که چقدر وسوسه کننده باشد.

نکته دیگری که باید به آن توجه کنید نسخه مرورگر شما است. حتی اگر سایتی از تمامی هدرهای پیشگیری از کلیک در بازی استفاده می کند که قبلاً به آنها اشاره کردیم ، همه مرورگرها از همه آنها پشتیبانی نمی کنند ، بنابراین حتماً از آخرین نسخه ای که می توانید استفاده کنید و از ویژگی های ضد کلیک استفاده می کند..

عقل سلیم وسیله ای برای محافظت از خود در برابر کلیک است. هنگامی که می بینید مطالب غیرمعمول ، از جمله پیوند ارسال شده توسط یک دوست در هر شبکه اجتماعی ، قبل از انجام هر کاری ، باید از خود بپرسید که آیا این نوع محتوایی است که دوست شما منتشر می کند یا خیر. در غیر این صورت ، باید به دوست خود هشدار دهید که او می تواند قربانی کلیک کردن شود.

یکی از آخرین توصیه ها: اگر شما یک تأثیرگذار هستید ، یا اینکه در هر شبکه اجتماعی فقط تعداد زیادی دنبال کننده یا دوست دارید ، باید اقدامات احتیاطی خود را دو برابر کرده و یک رفتار مسئولانه را بصورت آنلاین انجام دهید. زیرا اگر قربانی کلیک کردن شوید ، این حمله در نهایت روی تعداد زیادی از مردم تأثیر خواهد گذاشت.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map