Clickjacking атаки: Внимавайте за идентификация на социалните мрежи

Трудно е да устоите да кликнете върху връзка за безплатна iPhone. Но внимавайте: щракването ви може лесно да бъде отвлечено и резултатите могат да бъдат катастрофални.


Clickjacking е метод за атака, известен още като преправяне на потребителски интерфейс, тъй като той се настройва чрез прикриване (или поправяне) на връзка с наслагване, което подмамва потребителя да направи нещо различно, отколкото той или тя мисли.

Повечето потребители на социалните мрежи се радват на удобството да останат влезли в тях по всяко време. Нападателите лесно биха могли да се възползват от този навик, за да принудят потребителите да харесват или следват нещо, без да забелязват. За целта киберпрестъпникът може да постави примамлив бутон – например с привлекателен текст, като например „Безплатен iPhone – оферта с ограничено време“ – върху собствената си уеб страница и да наслагва невидима рамка със страницата на социалната мрежа в нея, начин, по който бутонът „Харесвам“ или „Сподели“ лежи над бутона Безплатен iPhone.

Този прост трик за щракване може да принуди потребителите на Facebook да харесват групи или фен страници, без да знаят.

Описаният сценарий е доста невинен, в смисъл, че единственото последствие за жертвата е добавянето към група в социалните мрежи. Но с някои допълнителни усилия същата техника би могла да се използва, за да се определи дали потребителят е влязъл в своята банкова сметка и вместо да хареса или да сподели някакъв елемент в социалните медии, той или тя може да бъде принуден да натисне бутон, който прехвърля средства на акаунт на нападател, например. Най-лошото е, че злонамереното действие не може да бъде проследено, тъй като потребителят е легитимно влязъл в своята банкова сметка и доброволно е натиснал бутона за прехвърляне.

Тъй като повечето техники за щракане изискват социално инженерство, социалните мрежи се превръщат в идеални вектори за атака.

Нека да видим как се използват.

Clickjacking в Twitter

Преди около десет години социалната мрежа Twitter претърпя масирана атака, която бързо разпространи съобщение, което накара потребителите да кликнат върху връзка, възползвайки се от естественото им любопитство..

Туитове с текст „Не кликвайте“, последван от връзка, разпространявана бързо в хиляди акаунти в Twitter. Когато потребителите щракнаха върху връзката и след това върху на пръв поглед невинен бутон на целевата страница, от профилите им беше изпратен туит. Този туит включваше текста „Не щраквай“, последван от злонамерената връзка.

Инженерите от Twitter закърниха атаката с щракване, не след като тя започна. Атаката сама по себе си се оказа безобидна и работи като аларма, показваща потенциалните рискове, свързани с инициативите за щракване в Twitter. Зловредният линк отведе потребителя до уеб страница със скрита рамка. Вътре в рамката имаше невидим бутон, който изпращаше злонамерения туит от акаунта на жертвата.

Clickjacking във Facebook

Потребителите на мобилни приложения на Facebook са изложени на грешка, която позволява на спамерите да публикуват съдържание с възможност за кликване в техните срокове, без тяхното съгласие. Грешката бе открита от специалист по сигурността, който анализираше спам кампания. Експертът забеляза, че много от контактите му публикуват линк към страница със забавни снимки. Преди да стигнат до снимките, потребителите бяха помолени да кликнат върху декларация за възрастта.

Това, което те не знаеха, е, че декларацията е под невидима рамка.

Когато потребителите приеха декларацията, те бяха отведени на страница със забавни снимки. Междувременно връзката беше публикувана във времевата линия на потребителите във Facebook. Това беше възможно, тъй като компонентът на уеб браузъра в приложението Facebook за Android не е съвместим с заглавките на рамкови опции (по-долу обясняваме какво представляват) и следователно позволява злонамерено наслагване на рамка.

Facebook не разпознава проблема като грешка, тъй като не оказва влияние върху целостта на профилите на потребителите. Така че не е сигурно дали някога ще се оправи.

Clickjacking в по-малко социални мрежи

Това не е само Twitter и Facebook. Другите по-малко популярни социални мрежи и платформи за блогове също имат уязвимости, които позволяват кликване. LinkedIn например имаше недостатък, който отвори врата за нападателите да измамят потребителите да споделят и публикуват връзки от тяхно име, но без тяхното съгласие. Преди да се отстрани, недостатъкът позволи на атакуващите да заредят страницата LinkedIn ShareArticle на скрит кадър и да ги наслагват върху страници с на пръв поглед невинни и привлекателни връзки или бутони.

Друг случай е Tumblr, публичната платформа за уеб блогове. Този сайт използва JavaScript код, за да предотврати кликването. Но този метод на защита става неефективен, тъй като страниците могат да бъдат изолирани в HTML5 рамка, която не им позволява да изпълняват JavaScript код. Внимателно изработената техника би могла да се използва за кражба на пароли, комбинирайки споменатия недостатък с плъгин за помощник на парола: като измамят потребителите да въведат фалшив текст на captcha, те могат по невнимание да изпратят паролите си на сайта на нападателя.

Подправяне на заявка на място

Един вариант на атака с клик-джакинг се нарича фалшифициране на заявката за кръстосан сайт или кратко за CSRF. С помощта на социалното инженерство киберпрестъпниците насочват CSRF атаки срещу крайните потребители, принуждавайки ги да извършват нежелани действия. Векторът за атака може да бъде връзка, изпратена по имейл или чат.

CSRF атаките нямат намерение да откраднат данните на потребителя, тъй като нападателят не може да види отговора на фалшивата заявка. Вместо това атаките са насочени към заявки за промяна на състоянието, като промяна на парола или трансфер на средства. Ако жертвата има административни привилегии, атаката има потенциал да компрометира цялостно уеб приложение.

CSRF атака може да се съхранява на уязвими уебсайтове, особено на уебсайтове с така наречените „съхранени CSRF недостатъци“. Това може да се постигне чрез въвеждане на IMG или IFRAME маркери в полета за въвеждане, които по-късно се показват на страница, като коментари или страница с резултати от търсенето.

Предотвратяване на атаки за рамкиране

На съвременните браузъри може да се каже дали даден ресурс е разрешен или не се зарежда в рамките на кадър. Те могат също така да изберат да заредят ресурс в кадър само когато заявката произхожда от същия сайт, на който е потребителят. По този начин потребителите не могат да бъдат подмамени да кликнат върху невидими рамки със съдържание от други сайтове и кликванията им не са отвлечени.

Техники за смекчаване от страна на клиента се наричат ​​счупване на рамка или убиване на рамка. Въпреки че могат да бъдат ефективни в някои случаи, те също могат да бъдат лесно заобиколени. Ето защо методите от страна на клиента не се считат за най-добри практики. Вместо разрушаване на кадрите, експертите по сигурността препоръчват методи от страна на сървъра като X-Frame-Options (XFO) или по-нови, като Политиката за сигурност на съдържанието.

X-Frame-Options е заглавка на отговорите, която уеб сървърите включват в уеб страниците, за да посочат дали на браузъра е разрешено да показва съдържанието му в рамките.

Заглавката на X-Frame-Option позволява три стойности.

  • DENY, което забранява показването на страницата в рамките на кадър
  • SAMEORIGIN, който позволява показването на страницата в рамките на рамката, стига да остане в същия домейн
  • ALLOW-FROM URI, който позволява показването на страницата в рамките на рамка, но само в определен URI (Uniform Resource Identifier), например само в рамките на конкретна, конкретна уеб страница.

По-новите методи за щракване с кликване включват Политика за защита на съдържанието (CSP) с директивата за предци на рамката. Тази опция се използва широко при замяната на XFO. Едно от основните предимства на CSP в сравнение с XFO е, че той позволява на уеб сървъра да упълномощава множество домейни за рамкиране на съдържанието му. Все още обаче не се поддържа от всички браузъри.

Директивата на CDP за предци на CSP допуска три типа стойности: ‘нито един,’ за да се предотврати показването на съдържанието на всеки домейн; “Самостоятелно” за да разрешите само на текущия сайт да показва съдържанието в кадър или списък с URL адреси с подметки, например „* .some site.com“https://www.example.com/index.html,И т.н., за да разрешите кадриране само на всяка страница, която съответства на елемент от списъка.

Как да се предпазите от щракване

Удобно е да сте влезли в социална мрежа, докато разглеждате, но ако го направите, трябва да бъдете предпазливи с кликванията си. Трябва също така да обърнете внимание на сайтовете, които посещавате, защото не всички от тях предприемат необходимите мерки, за да предотвратят кликването. В случай, че не сте сигурни в уебсайта, който посещавате, не трябва да щракнете върху всяко подозрително щракване, независимо колко изкушаващо би могло да бъде.

Друго нещо, на което трябва да обърнете внимание, е версията на вашия браузър. Дори и даден сайт използва всички заглавки за предотвратяване на щракване, които споменахме преди, не всички браузъри поддържат всички тях, така че не забравяйте да използвате най-новата версия, която можете да получите, и че той поддържа функции срещу кликване.

Здравият разум е ефективно устройство за самозащита срещу щракване. Когато видите необичайно съдържание, включително връзка, публикувана от приятел в която и да е социална мрежа, преди да направите каквото и да било, трябва да се запитате дали това е типът съдържание, което вашият приятел ще публикува. Ако не, трябва да предупредите приятеля си, че той или тя биха могли да станат жертва на щракване.

Последен съвет: ако сте влиятелен или просто имате наистина голям брой последователи или приятели в която и да е социална мрежа, трябва да удвоите предпазните мерки и да практикувате отговорно поведение онлайн. Защото ако станете жертва на щракане, атаката ще се отрази на много хора.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map