Clickjacking Attacks: Beware of Social Network Identification

Det er vanskelig å motstå å klikke på en gratis tilbud på iPhone. Men vær forsiktig: klikket ditt kan enkelt kapres, og resultatene kan være katastrofale.


Clickjacking er en angrepsmetode, også kjent som User Interface Redressing, fordi den er satt opp ved å skjule (eller opprette) en lenke med et overlegg som lurer brukeren til å gjøre noe annerledes enn han eller hun tror.

De fleste brukere av sosiale nettverk gleder seg over å være logget på dem til enhver tid. Angripere kan lett dra nytte av denne vanen for å tvinge brukere til å like eller følge noe uten å legge merke til det. For å gjøre dette kan en nettkriminell sette en fristende knapp – for eksempel med en tiltalende tekst, for eksempel “Gratis iPhone – begrenset tidstilbud” – på sin egen webside og legge en usynlig ramme med det sosiale nettverkets side deri, i slikt en måte som en “Like” eller “Del” -knapp legger over gratis iPhone-knappen.

Dette enkle clickjacking-trikset kan tvinge Facebook-brukere til å like grupper eller fan-sider uten å vite det.

Det beskrevne scenariet er ganske uskyldig, i den forstand at den eneste konsekvensen for offeret er å bli lagt til en sosial nettverksgruppe. Men med litt ekstra krefter, kan den samme teknikken brukes til å bestemme om en bruker er logget på bankkontoen sin, og i stedet for å like eller dele noen sosiale medier, kan han eller hun bli tvunget til å klikke på en knapp som overfører midler til en angriperes konto, for eksempel. Det verste er at den ondsinnede handlingen ikke kan spores, fordi brukeren var legitim logget til bankkontoen sin, og vedkommende klikket frivillig på overføringsknappen.

Fordi de fleste clickjacking-teknikker krever sosial prosjektering, blir sosiale nettverk ideelle angrepsvektorer.

La oss se hvordan de brukes.

Clickjacking på Twitter

For omtrent ti år siden fikk det sosiale nettverket Twitter et enormt angrep som raskt spredte en melding, noe som førte til at brukerne klikket på en lenke, og utnyttet sin naturlige nysgjerrighet.

Tweets med teksten “Ikke klikk”, etterfulgt av en kobling, forplantet seg raskt på flere tusen Twitter-kontoer. Da brukere klikket på lenken og deretter på en tilsynelatende uskyldig knapp på målsiden, ble det sendt en tweet fra kontoene deres. Den tweeten inkluderte teksten “Ikke klikk,” etterfulgt av den ondsinnede lenken.

Twitter-ingeniører lappet clickjacking-angrepet ikke lenge etter at det startet. Angrepet i seg selv viste seg å være ufarlig, og det fungerte som en alarm som fortalte de potensielle risikoene forbundet med Twitter-klikkjacking-initiativer. Den ondsinnede lenken tok brukeren til en webside med en skjult iframe. Inne i rammen var en usynlig knapp som sendte den ondsinnede tweeten fra offerets konto.

Clickjacking på Facebook

Brukere av mobil Facebook-apper blir utsatt for en feil som lar spammere legge inn klikkbart innhold på tidslinjene sine uten deres samtykke. Feilen ble oppdaget av en sikkerhetsperson som analyserte en spamkampanje. Eksperten observerte at mange av kontaktene hans publiserte en lenke til en side med morsomme bilder. Før de kom til bildene, ble brukerne bedt om å klikke på en erklæring om alder av alder.

Det de ikke visste, var at erklæringen var under en usynlig ramme.

Da brukere godtok erklæringen, ble de ført til en side med morsomme bilder. Men i mellomtiden ble lenken publisert på brukernes Facebook-tidslinje. Det var mulig fordi nettleserkomponenten i Facebook-appen for Android ikke er kompatibel med rammealternativets overskrifter (nedenfor forklarer vi hva de er), og derfor åpner for ondsinnet rammeoverlegg.

Facebook anerkjenner ikke problemet som en feil fordi det ikke har noen innvirkning på brukernes kontointegritet. Så det er usikkert om det noen gang kommer til å ordnes.

Clickjacking på mindre sosiale nettverk

Det er ikke bare Twitter og Facebook. Andre mindre populære sosiale nettverk og bloggplattformer har også sårbarheter som gir mulighet for clickjacking. LinkedIn hadde for eksempel en feil som åpnet en dør for angripere for å lure brukere til å dele og legge ut lenker på deres vegne, men uten deres samtykke. Før den ble ordnet, tillot feilen angripere å laste inn LinkedIn ShareArticle-siden på en skjult ramme, og legge denne rammen på sider med tilsynelatende uskyldige og tiltalende lenker eller knapper..

En annen sak er Tumblr, den offentlige bloggplattformen. Dette nettstedet bruker JavaScript-kode for å forhindre clickjacking. Men denne beskyttelsesmetoden blir ineffektiv siden sidene kan isoleres i en HTML5-ramme som forhindrer dem i å kjøre JavaScript-kode. En nøye utformet teknikk kan brukes til å stjele passord, ved å kombinere den nevnte feilen med en nettleser-plugin for passordhjelp: ved å lure brukere til å skrive inn en falsk captcha-tekst, kan de utilsiktet sende passordene sine til angriperens nettsted.

Forfalskning på tvers av nettstedet

En variant av clickjacking-angrep kalles forfalskning på tvers av nettsteder, eller CSRF for kort. Ved hjelp av sosialteknikk dirigerer nettkriminelle CSRF-angrep mot sluttbrukere, og tvinger dem til å utføre uønskede handlinger. Angrepsvektoren kan være en lenke sendt via e-post eller chat.

CSRF-angrep har ikke til hensikt å stjele brukerens data fordi angriperen ikke kan se svaret på den falske forespørselen. I stedet er angrepene rettet mot statlige endringsforespørsler, som passordendring eller pengeoverføring. Hvis offeret har administrative rettigheter, har angrepet potensial til å kompromittere en hel webapplikasjon.

Et CSRF-angrep kan lagres på utsatte nettsteder, spesielt nettsteder med såkalte “lagrede CSRF-feil.” Dette kan oppnås ved å legge inn IMG- eller IFRAME-tagger i inndatafelt som senere vises på en side, for eksempel kommentarer eller en søkeresultatside..

Forhindrer innramming

Moderne nettlesere kan bli fortalt om en bestemt ressurs er tillatt eller ikke å laste innenfor en ramme. De kan også velge å laste inn en ressurs i en ramme bare når forespørselen stammer fra det samme nettstedet brukeren er på. På denne måten kan brukere ikke lure å klikke på usynlige rammer med innhold fra andre nettsteder, og klikkene deres blir ikke kapret.

Tekniske avbøtende teknikker kalles rammebusting eller rammedrap. Selv om de i noen tilfeller kan være effektive, kan de også lett omgås. Derfor anses ikke metodene på klientsiden som beste praksis. I stedet for å raste ut rammen, anbefaler sikkerhetseksperter metodesider som X-Frame-Options (XFO) eller nyere, for eksempel Content Security Policy.

X-Frame-Options er en responsoverskrift som webservere inkluderer på websider for å indikere om nettleseren har lov til å vise innholdet i en ramme eller ikke.

X-Frame-Option-overskriften tillater tre verdier.

  • DENY, som forbyr å vise siden innenfor en ramme
  • SAMEORIGIN, som lar visning av siden innenfor en ramme, så lenge den forblir i samme domene
  • ALLOW-FRA URI, som tillater visning av siden i en ramme, men bare i en spesifikk URI (Uniform Resource Identifier), for eksempel bare på en bestemt, spesifikk webside.

Nyere anti-clickjacking-metoder inkluderer CSP (Content Security Policy) med ramme-forfedres direktivet. Dette alternativet blir mye brukt i erstatningen av XFO. En stor fordel med CSP sammenlignet med XFO er at den tillater en webserver å autorisere flere domener til å ramme innholdet. Imidlertid støttes det ennå ikke av alle nettlesere.

CSPs ramme-forfedringsdirektiv innrømmer tre typer verdier: ‘ingen,’ for å forhindre at noe domene viser innholdet; ‘selv,’ for bare å la det gjeldende nettstedet vise innholdet i en ramme, eller en liste over nettadresser med jokertegn, for eksempel ‘* .noen side.com,’ ‘https://www.example.com/index.html,, Etc., for bare å tillate innramming på en hvilken som helst side som samsvarer med et element fra listen.

Slik beskytter du deg mot klikking

Det er praktisk å være logget på et sosialt nettverk mens du surfer rundt, men hvis du gjør det, må du være forsiktig med klikkene dine. Du bør også ta hensyn til nettstedene du besøker, fordi ikke alle av dem tar de nødvendige tiltak for å forhindre klikking. I tilfelle du ikke er sikker på et nettsted du besøker, bør du ikke klikke på noe mistenkelig klikk, uansett hvor fristende det kan være.

En annen ting å ta hensyn til er nettleserversjonen din. Selv om et nettsted bruker alle oversiktene for forhindring av clickjacking vi nevnte før, støtter ikke alle nettlesere dem alle, så husk å bruke den nyeste versjonen du kan få, og at den støtter anti-clickjacking-funksjoner.

Sunn fornuft er et effektivt selvbeskyttelsesapparat mot klikking. Når du ser uvanlig innhold, inkludert en lenke som er lagt ut av en venn på et hvilket som helst sosialt nettverk, før du gjør noe, bør du spørre deg selv om det er den typen innhold din venn vil publisere. Hvis ikke, bør du advare vennen din om at han eller hun kunne ha blitt et offer for clickjacking.

Et siste råd: Hvis du er en influencer, eller du bare har et stort antall følgere eller venner på et hvilket som helst sosialt nettverk, bør du doble forholdsreglene dine og praktisere en ansvarlig oppførsel på nettet. For hvis du blir et klikkende offer, vil angrepet ende opp med å påvirke en hel masse mennesker.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map