Este dificil să reziști tentației de a da clic pe un link care promite un iPhone gratuit. Cu toate acestea, prudența este esențială, deoarece un singur clic te poate redirecționa către o pagină malițioasă, cu consecințe grave.
Clickjacking, cunoscut și sub denumirea de „redresare a interfeței utilizator”, este o tehnică de atac care constă în camuflarea unui link printr-o suprapunere. Aceasta induce în eroare utilizatorul, determinându-l să execute o acțiune diferită de cea pe care o anticipa.
Mulți utilizatori ai platformelor sociale preferă să rămână conectați permanent, iar infractorii cibernetici exploatează acest obicei pentru a-i forța pe utilizatori să aprecieze sau să urmărească pagini fără cunoștința lor. Un atacator poate plasa un buton atrăgător, de exemplu cu textul „iPhone gratuit – ofertă limitată”, pe propria sa pagină web. Apoi, va suprapune un cadru invizibil care conține o pagină de rețea socială, astfel încât un buton „Like” sau „Share” să se afle deasupra butonului „iPhone gratuit”.
Acest truc simplu de clickjacking poate convinge utilizatorii Facebook să aprecieze pagini sau grupuri fără ca ei să realizeze acest lucru.
Scenariul prezentat mai sus pare inofensiv, consecința fiind doar adăugarea victimei la un grup. Însă, cu efort suplimentar, aceeași tehnică poate fi folosită pentru a verifica dacă un utilizator este conectat la contul bancar. În loc să aprecieze un articol, utilizatorul ar putea fi forțat să dea clic pe un buton care transferă bani într-un cont controlat de atacator. Cel mai grav este că acțiunea frauduloasă este greu de urmărit, deoarece utilizatorul era conectat legitim la contul său și a efectuat clicurile în mod voluntar.
Având în vedere că majoritatea atacurilor clickjacking se bazează pe inginerie socială, rețelele sociale devin un teren ideal pentru astfel de operațiuni.
Să vedem cum funcționează aceste atacuri.
Atacuri Clickjacking pe Twitter
Cu aproximativ un deceniu în urmă, Twitter a fost ținta unui atac masiv care a propagat rapid un mesaj menit să atragă utilizatorii să dea clic pe un link, speculând curiozitatea lor naturală.
Mesaje care conțineau textul „Nu dați clic”, urmate de un link, au fost distribuite rapid prin mii de conturi Twitter. Când utilizatorii dădeau clic pe link, și apoi pe un buton aparent inofensiv, contul lor trimitea automat un tweet care conținea textul „Nu dați clic” urmat de același link malițios.
Inginerii Twitter au remediat problema la scurt timp după ce atacul a început. Atacul a fost în final inofensiv, dar a servit ca un semnal de alarmă asupra riscurilor potențiale ale atacurilor clickjacking pe Twitter. Linkul rău intenționat ducea la o pagină web cu un iframe ascuns, în interiorul căruia se afla un buton invizibil care trimitea tweet-ul malițios din contul victimei.
Atacuri Clickjacking pe Facebook
Utilizatorii aplicației mobile Facebook sunt vulnerabili la o eroare care permite spamerilor să posteze conținut pe profilul lor, fără acordul lor. Bug-ul a fost descoperit de un specialist în securitate care analiza o campanie de spam. Acesta a observat că multe dintre contactele sale distribuiau un link către o pagină cu imagini amuzante. Înainte de a vedea imaginile, utilizatorii erau rugați să dea clic pe o declarație de acceptare.
Fără să știe, declarația era plasată sub un cadru invizibil.
După ce acceptau declarația, utilizatorii ajungeau la pagina cu poze amuzante. Între timp, linkul era distribuit pe profilul lor de Facebook. Acest lucru era posibil deoarece componenta de browser web din aplicația Facebook pentru Android nu respectă antetele opțiunilor de cadre (detalii mai jos), permițând astfel suprapunerea de cadre malițioase.
Facebook nu consideră această problemă o eroare, deoarece nu afectează integritatea conturilor utilizatorilor. Prin urmare, nu este sigur dacă problema va fi rezolvată vreodată.
Clickjacking pe Alte Rețele Sociale
Nu doar Twitter și Facebook sunt vulnerabile. Și alte rețele sociale și platforme de blogging mai puțin populare prezintă vulnerabilități ce permit atacurile clickjacking. De exemplu, LinkedIn a avut o problemă care permitea atacatorilor să păcălească utilizatorii să distribuie și să posteze link-uri în numele lor, fără consimțământul lor. Defectul permitea atacatorilor să încarce pagina „ShareArticle” de pe LinkedIn într-un cadru ascuns și să suprapună acest cadru peste pagini cu link-uri sau butoane aparent inofensive.
Un alt exemplu este platforma Tumblr. Acest site folosește cod JavaScript pentru a se proteja împotriva clickjacking-ului. Totuși, această metodă de protecție poate fi ocolită prin izolarea paginilor într-un cadru HTML5 care le împiedică să ruleze cod JavaScript. O tehnică bine elaborată poate fi folosită pentru a fura parolele, combinând acest defect cu un plugin de browser care ajută la gestionarea parolelor: prin păcălirea utilizatorilor să introducă un text captcha fals, aceștia pot trimite, fără să-și dea seama, parolele către site-ul atacatorului.
Falsificarea Cererii Încrucișate
O variantă a atacului clickjacking este falsificarea cererii pe site-uri, sau CSRF. Prin inginerie socială, atacatorii CSRF forțează utilizatorii să execute acțiuni nedorite. Atacul poate fi inițiat printr-un link trimis prin e-mail sau chat.
Atacurile CSRF nu fură datele utilizatorului, deoarece atacatorul nu poate vedea răspunsul la cererea falsă. În schimb, aceste atacuri vizează solicitările de schimbare a stării, cum ar fi schimbarea parolei sau transferul de fonduri. Dacă victima are privilegii administrative, atacul poate compromite o întreagă aplicație web.
Un atac CSRF poate fi stocat pe site-uri web vulnerabile, în special pe site-urile cu așa-numitele „deficiențe CSRF stocate”. Acest lucru se poate realiza prin introducerea etichetelor IMG sau IFRAME în câmpuri de introducere care sunt afișate ulterior pe o pagină, cum ar fi comentariile sau rezultatele căutării.
Prevenirea Atacurilor de Încadrare
Browserele moderne pot fi instruite să permită sau să interzică încărcarea unei resurse într-un cadru. De asemenea, pot fi configurate să încarce o resursă într-un cadru doar dacă solicitarea provine de pe același site cu utilizatorul. Astfel, utilizatorii nu mai pot fi păcăliți să dea clic pe cadre invizibile cu conținut de pe alte site-uri, iar clicurile lor nu mai sunt deturnate.
Tehnicile de atenuare la nivel de client se numesc frame busting sau frame killing. Deși pot fi eficiente în anumite situații, pot fi ocolite cu ușurință. De aceea, metodele la nivel de client nu sunt considerate cele mai bune practici. În locul acestor tehnici, experții recomandă metode de pe partea serverului, cum ar fi X-Frame-Options (XFO) sau altele mai recente, precum Politica de securitate a conținutului (CSP).
X-Frame-Options este un antet de răspuns pe care serverele web îl includ în pagini pentru a indica dacă un browser are sau nu permisiunea de a afișa conținutul într-un cadru.
Antetul X-Frame-Option permite trei valori:
- DENY: interzice afișarea paginii într-un cadru.
- SAMEORIGIN: permite afișarea paginii într-un cadru, doar dacă acesta este în același domeniu.
- ALLOW-FROM URI: permite afișarea paginii într-un cadru, dar numai într-un URI (Uniform Resource Identifier) specific, de exemplu, într-o anumită pagină web.
Metodele mai recente de protecție anti-clickjacking includ Politica de securitate a conținutului (CSP) cu directiva frame-ancestors. Această opțiune este din ce în ce mai folosită ca înlocuitor pentru XFO. Un avantaj important al CSP comparativ cu XFO este că permite unui server web să autorizeze mai multe domenii pentru a-și încadra conținutul. Cu toate acestea, nu este încă acceptat de toate browserele.
Directiva CSP „frame-ancestors” permite trei tipuri de valori: „none”, pentru a interzice oricărui domeniu să afișeze conținutul; „self”, pentru a permite doar site-ului curent să afișeze conținutul într-un cadru; sau o listă de adrese URL cu metacaractere, cum ar fi „*.somesite.com”, „https://www.example.com/index.html„, etc., pentru a permite încadrarea doar pe paginile care se potrivesc unui element din listă.
Cum să te Protejezi Împotriva Clickjacking-ului
Este comod să rămâi conectat la rețelele sociale în timpul navigării, dar acest lucru necesită mai multă precauție. De asemenea, este important să acorzi atenție site-urilor pe care le vizitezi, deoarece nu toate iau măsurile necesare pentru a preveni atacurile clickjacking. Dacă nu ești sigur în legătură cu un site, evită să dai clic pe link-uri suspecte, indiferent cât de atrăgătoare ar fi.
Un alt aspect important este versiunea browserului tău. Chiar dacă un site folosește toate antetele de prevenire a clickjacking-ului, nu toate browserele le suportă. De aceea, asigură-te că folosești cea mai recentă versiune, care acceptă funcțiile anti-clickjacking.
Bunul simț este o armă eficientă împotriva clickjacking-ului. Când întâlnești conținut neobișnuit, inclusiv un link distribuit de un prieten pe o rețea socială, întreabă-te dacă acel conținut este în stilul prietenului tău. Dacă nu, avertizează-l că ar putea fi victima unui atac clickjacking.
Un ultim sfat: dacă ești un influencer sau ai mulți prieteni și urmăritori pe rețelele sociale, ar trebui să fii și mai atent și să ai un comportament online responsabil. Dacă devii victima unui atac clickjacking, mulți oameni vor fi afectați.