Este greu să rezistați să faceți clic pe un link gratuit pentru oferta iPhone. Dar ai grijă: clicul tău poate fi ușor deturnat, iar rezultatele pot fi dezastruoase.
Clickjacking-ul este o metodă de atac, cunoscută și sub numele de User Interface Redressing, deoarece este configurată prin deghizarea (sau redresarea) unui link cu o suprapunere care păcălește utilizatorul să facă ceva diferit decât crede el sau ea.
Majoritatea utilizatorilor rețelelor sociale se bucură de confortul de a rămâne conectați la ei în orice moment. Atacatorii ar putea profita cu ușurință de acest obicei pentru a forța utilizatorii să aprecieze sau să urmărească ceva fără să observe. Pentru a face acest lucru, un criminal cibernetic ar putea pune un buton tentant – de exemplu, cu un text atrăgător, cum ar fi „iPhone gratuit – ofertă de timp limitată” – pe propria pagină web și să suprapună un cadru invizibil cu pagina rețelei de socializare în ea, într-un astfel de un mod în care un buton „Like” sau „Partajare” se află deasupra butonului iPhone gratuit.
Acest simplu truc de clickjacking îi poate forța pe utilizatorii Facebook să aprecieze grupuri sau pagini de fani fără să știe.
Scenariul descris este destul de nevinovat, în sensul că singura consecință pentru victimă este să fie adăugată la un grup de rețea de socializare. Dar, cu un efort suplimentar, aceeași tehnică ar putea fi folosită pentru a determina dacă un utilizator este conectat la contul său bancar și, în loc să aprecieze sau să partajeze un articol din rețelele sociale, el sau ea ar putea fi forțat să facă clic pe un buton care transferă fonduri către contul unui atacator, de exemplu. Partea cea mai gravă este că acțiunea rău intenționată nu poate fi urmărită, deoarece utilizatorul a fost conectat în mod legitim la contul său bancar și a făcut clic voluntar pe butonul de transfer.
Deoarece majoritatea tehnicilor de clickjacking necesită inginerie socială, rețelele sociale devin vectori ideali de atac.
Să vedem cum sunt folosite.
Cuprins
Clickjacking pe Twitter
În urmă cu aproximativ zece ani, rețeaua de socializare Twitter a suferit un atac masiv care a răspândit rapid un mesaj, care i-a determinat pe utilizatori să facă clic pe un link, profitând de curiozitatea lor naturală.
Tweeturile cu textul „Nu faceți clic”, urmate de un link, s-au propagat rapid în mii de conturi Twitter. Când utilizatorii au făcut clic pe link și apoi pe un buton aparent inocent de pe pagina țintă, a fost trimis un tweet din conturile lor. Acest tweet include textul „Nu faceți clic”, urmat de linkul rău intenționat.
Inginerii Twitter au remediat atacul de clickjacking la scurt timp după ce a început. Atacul în sine s-a dovedit a fi inofensiv și a funcționat ca o alarmă care spunea potențialele riscuri implicate în inițiativele de clickjacking pe Twitter. Linkul rău intenționat a condus utilizatorul la o pagină web cu un iframe ascuns. În interiorul cadrului era un buton invizibil care trimitea tweetul rău intenționat din contul victimei.
Clickjacking pe Facebook
Utilizatorii aplicației mobile Facebook sunt expuși unei erori care le permite spammerilor să posteze conținut pe care se poate face clic pe cronologia lor, fără consimțământul lor. Bug-ul a fost descoperit de un profesionist în securitate care analiza o campanie de spam. Expertul a observat că multe dintre contactele sale publicau un link către o pagină cu imagini amuzante. Înainte de a ajunge la imagini, utilizatorii au fost rugați să facă clic pe o declarație de majorat.
Ceea ce nu știau ei era că declarația era sub un cadru invizibil.
Când utilizatorii au acceptat declarația, au fost duși la o pagină cu poze amuzante. Dar, între timp, linkul a fost publicat în cronologia utilizatorilor de pe Facebook. Acest lucru a fost posibil deoarece componenta browser web din aplicația Facebook pentru Android nu este compatibilă cu antetele opțiunilor de cadre (mai jos explicăm ce sunt acestea) și, prin urmare, permite suprapunerea de cadre rău intenționate.
Facebook nu recunoaște problema ca fiind o eroare, deoarece nu are niciun impact asupra integrității conturilor utilizatorilor. Deci, nu este sigur dacă va fi reparat vreodată.
Clickjacking pe rețele sociale mai mici
Nu este vorba doar de Twitter și Facebook. Alte rețele sociale și platforme de blogging mai puțin populare au, de asemenea, vulnerabilități care permit clickjacking-ul. LinkedIn, de exemplu, a avut o defecțiune care a deschis atacatorilor o ușă pentru a păcăli utilizatorii să partajeze și să posteze linkuri în numele lor, dar fără acordul lor. Înainte de a fi remediat, defectul a permis atacatorilor să încarce pagina LinkedIn ShareArticle într-un cadru ascuns și să suprapună acest cadru pe pagini cu link-uri sau butoane aparent inocente și atrăgătoare.
Un alt caz este Tumblr, platforma publică de bloguri web. Acest site folosește cod JavaScript pentru a preveni clickjacking-ul. Dar această metodă de protecție devine ineficientă, deoarece paginile pot fi izolate într-un cadru HTML5 care le împiedică să ruleze cod JavaScript. O tehnică atent elaborată ar putea fi folosită pentru a fura parolele, combinând defectul menționat cu un plugin de browser de ajutor de parolă: prin păcălirea utilizatorilor să introducă un text captcha fals, aceștia pot trimite din neatenție parolele lor către site-ul atacatorului.
Cerere de fals încrucișată
O variantă a atacului de tip clickjacking se numește falsificarea cererii pe site-uri sau, pe scurt, CSRF. Cu ajutorul ingineriei sociale, infractorii cibernetici dirijează atacurile CSRF împotriva utilizatorilor finali, forțându-i să execute acțiuni nedorite. Vectorul de atac poate fi un link trimis prin e-mail sau chat.
Atacurile CSRF nu intenționează să fure datele utilizatorului, deoarece atacatorul nu poate vedea răspunsul la cererea falsă. În schimb, atacurile vizează solicitări de schimbare a stării, cum ar fi o schimbare a parolei sau un transfer de fonduri. Dacă victima are privilegii administrative, atacul are potențialul de a compromite o întreagă aplicație web.
Un atac CSRF poate fi stocat pe site-uri web vulnerabile, în special pe site-uri web cu așa-numitele „defecte CSRF stocate”. Acest lucru poate fi realizat prin introducerea etichetelor IMG sau IFRAME în câmpurile de introducere care sunt afișate ulterior pe o pagină, cum ar fi comentariile sau o pagină cu rezultatele căutării.
Prevenirea atacurilor de încadrare
Browserelor moderne li se poate spune dacă o anumită resursă este permisă sau nu să se încarce într-un cadru. De asemenea, pot opta pentru a încărca o resursă într-un cadru numai atunci când solicitarea provine de pe același site pe care se află utilizatorul. În acest fel, utilizatorii nu pot fi păcăliți să facă clic pe cadre invizibile cu conținut de pe alte site-uri, iar clicurile lor nu sunt deturnate.
Tehnicile de atenuare la nivelul clientului se numesc frame busting sau frame killing. Deși pot fi eficiente în unele cazuri, ele pot fi, de asemenea, ocolite cu ușurință. De aceea, metodele la nivelul clientului nu sunt considerate cele mai bune practici. În loc de deplasarea cadrelor, experții în securitate recomandă metode de pe partea serverului, cum ar fi X-Frame-Options (XFO) sau altele mai recente, cum ar fi Politica de securitate a conținutului.
X-Frame-Options este un antet de răspuns pe care serverele web îl includ pe paginile web pentru a indica dacă unui browser îi este sau nu permis să-și arate conținutul într-un cadru.
Antetul X-Frame-Option permite trei valori.
- DENY, care interzice afișarea paginii într-un cadru
- SAMEORIGIN, care permite afișarea paginii într-un cadru, atâta timp cât rămâne în același domeniu
- URI ALLOW-FROM, care permite afișarea paginii într-un cadru, dar numai într-un anumit URI (Uniform Resource Identifier), de exemplu, numai într-o anumită pagină web specifică.
Metodele mai recente anti-clickjacking includ Politica de securitate a conținutului (CSP) cu directiva frame-ancestors. Această opțiune este utilizată pe scară largă în înlocuirea XFO. Un avantaj major al CSP în comparație cu XFO este că permite unui server web să autorizeze mai multe domenii să-și încadreze conținutul. Cu toate acestea, nu este încă acceptat de toate browserele.
Directiva CSP privind strămoșii cadru admite trei tipuri de valori: „niciunul”, pentru a împiedica orice domeniu să afișeze conținutul; „self”, pentru a permite numai site-ului curent să afișeze conținutul într-un cadru sau o listă de adrese URL cu metacaractere, cum ar fi „*.some site.com”, „https://www.example.com/index.html,’ etc., pentru a permite încadrarea numai pe orice pagină care se potrivește cu un element din listă.
Cum să te protejezi împotriva clickjacking-ului
Este convenabil să rămâneți conectat la o rețea socială în timp ce navigați, dar dacă faceți acest lucru, trebuie să fiți precaut cu clicurile. De asemenea, ar trebui să acordați atenție site-urilor pe care le vizitați, deoarece nu toate iau măsurile necesare pentru a preveni clickjacking-ul. În cazul în care nu sunteți sigur despre un site web pe care îl vizitați, nu ar trebui să faceți clic pe niciun clic suspect, oricât de tentant ar fi acesta.
Un alt lucru la care trebuie să acordați atenție este versiunea browserului dvs. Chiar dacă un site folosește toate anteturile de prevenire a clicurilor pe care le-am menționat anterior, nu toate browserele le acceptă pe toate, așa că asigurați-vă că utilizați cea mai recentă versiune pe care o puteți obține și că acceptă funcțiile anti-clickjacking.
Bunul simț este un dispozitiv eficient de autoprotecție împotriva clickjacking-ului. Când vezi conținut neobișnuit, inclusiv un link postat de un prieten pe orice rețea de socializare, înainte de a face ceva, ar trebui să te întrebi dacă acesta este tipul de conținut pe care îl publică prietenul tău. Dacă nu, ar trebui să-i avertizați prietenul că ar fi putut deveni o victimă a clickjacking-ului.
Un ultim sfat: dacă ești un influencer, sau doar ai un număr foarte mare de urmăritori sau prieteni pe orice rețea de socializare, ar trebui să-ți dublezi măsurile de precauție și să practici un comportament responsabil online. Pentru că dacă devii o victimă clickjacking, atacul va ajunge să afecteze o mulțime de oameni.