Трудно е да устоите на щракването върху линк за безплатна оферта за iPhone. Но бъдете внимателни: кликването ви може лесно да бъде отвлечено и резултатите могат да бъдат катастрофални.
Clickjacking е метод за атака, известен също като Redressing на потребителския интерфейс, тъй като се създава чрез маскиране (или преобличане) на връзка с наслагване, което подмамва потребителя да направи нещо различно от това, което той или тя си мисли.
Повечето потребители на социалните мрежи се радват на удобството да останат влезли в тях по всяко време. Нападателите могат лесно да се възползват от този навик, за да принудят потребителите да харесат или следват нещо, без да забележат. За да направи това, киберпрестъпникът може да постави примамлив бутон – например с привлекателен текст, като „Безплатен iPhone – оферта за ограничено време“ – на собствената си уеб страница и да насложи невидима рамка със страницата на социалната мрежа в нея, като начин, по който бутон „Харесва ми“ или „Споделяне“ лежи над бутона за безплатен iPhone.
Този прост трик за кликване може да принуди потребителите на Facebook да харесват групи или фен страници, без да знаят.
Описаният сценарий е доста невинен, в смисъл че единствената последица за жертвата е да бъде добавена в група в социалната мрежа. Но с допълнителни усилия същата техника може да се използва, за да се определи дали даден потребител е влязъл в банковата си сметка и вместо да хареса или сподели някакъв елемент в социалните медии, той или тя може да бъде принуден да щракне върху бутон, който прехвърля средства към акаунт на нападател, например. Най-лошото е, че злонамереното действие не може да бъде проследено, тъй като потребителят е бил законно влязъл в своята банкова сметка и той или тя доброволно е щракнал върху бутона за превод.
Тъй като повечето техники за кликване изискват социално инженерство, социалните мрежи се превръщат в идеални вектори за атака.
Да видим как се използват.
Съдържание
Clickjacking в Twitter
Преди около десет години социалната мрежа Twitter претърпя масивна атака, която бързо разпространи съобщение, което накара потребителите да кликнат върху връзка, възползвайки се от естественото си любопитство.
Туитове с текст „Не кликайте“, последвани от връзка, разпространявани бързо в хиляди акаунти в Twitter. Когато потребителите щракнат върху връзката и след това върху привидно невинен бутон на целевата страница, от акаунтите им се изпраща туит. Този туит включваше текста „Не кликайте“, последван от злонамерената връзка.
Инженерите на Twitter коригираха атаката за кликване малко след началото й. Самата атака се оказа безобидна и подейства като аларма, показваща потенциалните рискове, свързани с инициативите за кражба на кликове в Twitter. Злонамерената връзка отведе потребителя до уеб страница със скрит iframe. В рамката имаше невидим бутон, който изпращаше злонамерения туит от акаунта на жертвата.
Clickjacking във Facebook
Потребителите на мобилни приложения на Facebook са изложени на бъг, който позволява на спамърите да публикуват съдържание, върху което може да се кликне, в техните времеви линии без тяхното съгласие. Грешката е открита от специалист по сигурността, който анализира спам кампания. Експертът забеляза, че много от неговите контакти публикуват линк към страница със забавни снимки. Преди да стигнат до снимките, потребителите бяха помолени да кликнат върху декларация за навършване на пълнолетие.
Не знаеха, че декларацията е под невидима рамка.
Когато потребителите приеха декларацията, те бяха отведени до страница със забавни снимки. Но междувременно връзката беше публикувана във времевата линия на потребителите във Facebook. Това беше възможно, тъй като компонентът на уеб браузъра в приложението Facebook за Android не е съвместим със заглавките на опциите на рамката (по-долу обясняваме какви са те) и следователно позволява злонамерено наслагване на рамка.
Facebook не разпознава проблема като грешка, тъй като не оказва влияние върху целостта на акаунтите на потребителите. Така че не е сигурно дали някога ще бъде поправено.
Clickjacking в по-малки социални мрежи
Това не е само Twitter и Facebook. Други по-малко популярни социални мрежи и платформи за блогове също имат уязвимости, които позволяват щракване. LinkedIn например имаше пропуск, който отвори врата за нападателите да подмамят потребителите да споделят и публикуват връзки от тяхно име, но без тяхното съгласие. Преди да бъде коригиран, пропускът позволи на нападателите да заредят страницата ShareArticle на LinkedIn в скрита рамка и да наслагват тази рамка върху страници с привидно невинни и привлекателни връзки или бутони.
Друг случай е Tumblr, публичната платформа за уеб блогове. Този сайт използва JavaScript код, за да предотврати кликовия крак. Но този метод на защита става неефективен, тъй като страниците могат да бъдат изолирани в HTML5 рамка, която им пречи да изпълняват JavaScript код. Внимателно изработена техника може да се използва за кражба на пароли, комбинирайки споменатия недостатък с плъгин за браузър за помощник на пароли: като подмамват потребителите да въведат фалшив текст на captcha, те могат по невнимание да изпратят своите пароли до сайта на нападателя.
Фалшифициране на заявка между сайтове
Един вариант на clickjacking атака се нарича Cross-site request forgery или накратко CSRF. С помощта на социалното инженерство киберпрестъпниците насочват CSRF атаки срещу крайните потребители, принуждавайки ги да извършват нежелани действия. Векторът на атака може да бъде връзка, изпратена по имейл или чат.
CSRF атаките нямат за цел да откраднат данните на потребителя, защото атакуващият не може да види отговора на фалшивата заявка. Вместо това атаките са насочени към искания за промяна на състоянието, като промяна на парола или превод на средства. Ако жертвата има административни привилегии, атаката има потенциала да компрометира цяло уеб приложение.
CSRF атака може да се съхранява на уязвими уебсайтове, особено уебсайтове с така наречените „съхранени CSRF недостатъци“. Това може да се постигне чрез въвеждане на тагове IMG или IFRAME в полетата за въвеждане, които по-късно се показват на страница, като коментари или страница с резултати от търсенето.
Предотвратяване на рамкиращи атаки
На съвременните браузъри може да се каже дали определен ресурс е разрешен или не за зареждане в рамка. Те също така могат да изберат да заредят ресурс в рамка само когато заявката произхожда от същия сайт, на който се намира потребителят. По този начин потребителите не могат да бъдат подмамени да кликнат върху невидими рамки със съдържание от други сайтове и кликванията им не се присвояват.
Техниките за смекчаване от страна на клиента се наричат разбиване на рамка или унищожаване на рамка. Въпреки че могат да бъдат ефективни в някои случаи, те също могат лесно да бъдат заобиколени. Ето защо методите от страна на клиента не се считат за най-добри практики. Вместо разбиване на кадри, експертите по сигурността препоръчват методи от страна на сървъра, като X-Frame-Options (XFO) или по-нови, като Content Security Policy.
X-Frame-Options е заглавка на отговор, която уеб сървърите включват в уеб страниците, за да покажат дали на браузъра е разрешено да показва съдържанието си в рамка.
Заглавката X-Frame-Option позволява три стойности.
- DENY, който забранява показването на страницата в рамка
- SAMEORIGIN, което позволява показване на страницата в рамка, стига да остане в същия домейн
- ALLOW-FROM URI, който позволява показването на страницата в рамка, но само в определен URI (Uniform Resource Identifier), напр. само в рамките на определена, конкретна уеб страница.
По-новите методи за борба с щракането включват Политика за сигурност на съдържанието (CSP) с директивата за предшественици на кадри. Тази опция се използва широко при замяната на XFO. Едно основно предимство на CSP в сравнение с XFO е, че позволява на уеб сървър да упълномощи множество домейни, за да рамкира своето съдържание. Все още обаче не се поддържа от всички браузъри.
Директивата за рамкови предшественици на CSP допуска три типа стойности: „няма“, за да се предотврати показването на съдържанието от който и да е домейн; ‘self’, за да позволи само на текущия сайт да показва съдържанието в рамка, или списък с URL адреси със заместващи знаци, като например ‘*.some site.com,’ ‘https://www.example.com/index.html,’ и т.н., за да разрешите рамкиране само на всяка страница, която съответства на елемент от списъка.
Как да се предпазите от щракване
Удобно е да останете влезли в социална мрежа, докато сърфирате, но ако го направите, трябва да внимавате с кликванията си. Трябва също така да обърнете внимание на сайтовете, които посещавате, защото не всички от тях предприемат необходимите мерки за предотвратяване на кликджакване. В случай, че не сте сигурни за уебсайт, който посещавате, не трябва да кликвате върху подозрително кликване, колкото и изкушаващо да е то.
Друго нещо, на което трябва да обърнете внимание, е версията на вашия браузър. Дори ако даден сайт използва всички заглавки за предотвратяване на щракане, които споменахме преди, не всички браузъри поддържат всички от тях, така че не забравяйте да използвате най-новата версия, която можете да получите и че поддържа функции против кликнене.
Здравият разум е ефективно средство за самозащита срещу щракване. Когато видите необичайно съдържание, включително връзка, публикувана от приятел в която и да е социална мрежа, преди да направите нещо, трябва да се запитате дали това е типът съдържание, което вашият приятел би публикувал. Ако не, трябва да предупредите приятеля си, че той или тя може да е станал жертва на щракване.
Последен съвет: ако сте инфлуенсър или просто имате наистина голям брой последователи или приятели в която и да е социална мрежа, трябва да удвоите предпазните си мерки и да практикувате отговорно поведение онлайн. Защото, ако станете жертва на щракване, атаката ще засегне много хора.