Clickjacking Attacks: Varist að bera kennsl á félagslegur net

Það er erfitt að standast það að smella á ókeypis iPhone tilboðartengil. En vertu varkár: auðvelt er að ræsa smellinn þinn og niðurstöðurnar geta verið hörmulegar.


Clickjacking er árásaraðferð, einnig þekkt sem User Interface Redressing, vegna þess að hún er sett upp með því að dylja (eða bæta úr) hlekk með yfirlagi sem bragðar á notandann til að gera eitthvað annað en hann eða hún heldur.

Flestir notendur félagslegra neta njóta þægindanna við að vera skráðir til þeirra alltaf. Árásarmenn gætu auðveldlega nýtt sér þennan vana til að neyða notendur til að hafa gaman af eða fylgja einhverju án þess að taka eftir því. Til að gera þetta gæti netbrotamaður sett freistandi hnapp – til dæmis með aðlaðandi texta, svo sem „Ókeypis iPhone – tilboð í takmarkaðan tíma“ – á eigin vefsíðu og lagt yfir ósýnilegan ramma með síðu félagslega netsins í því, í slíku leið sem „Like“ eða „Share“ hnappur leggur yfir ókeypis iPhone hnappinn.

Þetta einfalda clickjacking bragð getur neytt Facebook notendur að eins og hópa eða aðdáendasíður án þess að vita það.

Sú atburðarás sem er lýst er nokkuð saklaus, í þeim skilningi að eina afleiðingin fyrir fórnarlambið er að bæta við félagslega nethópinn. En með smá áreynslu væri hægt að nota sömu tækni til að ákvarða hvort notandi sé skráður inn á bankareikning sinn og í stað þess að þykja vænt um eða deila einhverjum hlut á samfélagsmiðlum gæti hann eða hún neyðst til að smella á hnapp sem flytur fé til reikningur árásarmanns, til dæmis. Það versta er að ekki er hægt að rekja skaðlegu aðgerðina, þar sem notandinn var lögmætur skráður inn á bankareikninginn sinn og hann eða hún smellti sjálfviljugur á flutningshnappinn.

Vegna þess að flestir smellajakkatækni þurfa félagslega verkfræði verða félagsleg net kjörin árásarvektor.

Við skulum sjá hvernig þau eru notuð.

Clickjacking á Twitter

Fyrir um það bil tíu árum hlaut samfélagsnetið Twitter stórfellda árás sem breiddi fljótt út skilaboð sem leiddu til þess að notendur smelltu á tengil og nýttu náttúrulega forvitni sína.

Kvak með textanum „Ekki smella,“ og síðan hlekkur, breiddist hratt út á þúsundir Twitter-reikninga. Þegar notendur smelltu á hlekkinn og síðan á virðist saklausan hnapp á miðasíðunni var kvak sent frá reikningum þeirra. Þetta kvak innihélt textann „Ekki smella“ og síðan illgjarn hlekkur.

Verkfræðingar á Twitter plástraði smelluárásina ekki löngu eftir að hún byrjaði. Árásin sjálf reyndist skaðlaus og hún virkaði sem viðvörun þar sem sagt var frá hugsanlegri áhættu sem fylgir frumkvæði Twitter-smellihliða. The illgjarn hlekkur flutti notandann á vefsíðu með falinn iframe. Inni í rammanum var ósýnilegur hnappur sem sendi skaðlega kvak frá reikningi fórnarlambsins.

Clickjacking á Facebook

Notendur farsímaforrits á Facebook verða fyrir villu sem gerir ruslpósturum kleift að setja inn smellanlegt efni á tímalínur sínar án samþykkis þeirra. Villan uppgötvaði af öryggissérfræðingi sem var að greina ruslpóstsókn. Sérfræðingurinn tók eftir því að margir af tengiliðum hans voru að birta tengil á síðu með fyndnum myndum. Áður en þeir náðu til myndanna voru notendur beðnir um að smella á yfirlýsingu um komandi aldur.

Það sem þeir vissu ekki var að yfirlýsingin var undir ósýnilegum ramma.

Þegar notendur samþykktu yfirlýsinguna voru þeir færðir á síðu með fyndnum myndum. En í millitíðinni var hlekkurinn birtur á Facebook tímalínu notenda. Það var mögulegt vegna þess að vafri hluti í Facebook forritinu fyrir Android er ekki samhæfur við rammavalkosti hausana (hér að neðan útskýrum við hvað þeir eru) og gerir því ráð fyrir illgjarn rammaálagningu.

Facebook kannast ekki við málið sem villu vegna þess að það hefur engin áhrif á heiðarleika reikninga notenda. Svo það er óvíst hvort það verður nokkurn tíma lagað.

Clickjacking á minni samfélagsnetum

Það er ekki bara Twitter og Facebook. Önnur minna vinsæl samfélagsnet og bloggpallur eru einnig með varnarleysi sem gera kleift að smella á sig. LinkedIn hafði til dæmis galla sem opnaði dyr fyrir árásarmenn til að plata notendur til að deila og senda hlekki fyrir þeirra hönd en án þeirra samþykkis. Áður en lagað var upp leyfði gallinn árásarmönnum að hlaða LinkedIn ShareArticle síðu á falinn ramma og leggja þennan ramma yfir á síðum með virðist saklausum og aðlaðandi tenglum eða hnöppum.

Annað mál er Tumblr, opinberi bloggvettvangurinn. Þessi síða notar JavaScript kóða til að koma í veg fyrir smellajakka. En þessi verndunaraðferð verður árangurslaus þar sem hægt er að einangra síðurnar í HTML5 ramma sem kemur í veg fyrir að þær keyri JavaScript kóða. Nota má vandaða tækni til að stela lykilorðum og sameina umræddan galla við hjálparforrit vafraforritsins: með því að plata notendur að slá inn rangan captcha texta geta þeir óvart sent lykilorð sín á vefsíðu árásarmannsins.

Falsanir yfir beiðni á milli staða

Eitt afbrigði af smellisóknarárás kallast fölsun beiðni á milli staða eða CSRF í stuttu máli. Með aðstoð félagsverkfræðinga beina netbrotamenn CSRF árásum á notendur og neyða þá til að framkvæma óæskilegar aðgerðir. Árásarvektorinn getur verið hlekkur sendur með tölvupósti eða spjalli.

CSRF árásir ætla ekki að stela gögnum notandans vegna þess að árásarmaðurinn getur ekki séð svar við sviknum beiðnum. Í staðinn miða árásirnar á breytinga á ríki, eins og lykilorðabreytingu eða millifærslu. Ef fórnarlambið hefur stjórnunarréttindi hefur árásin möguleika á að skerða heilt vefforrit.

Hægt er að geyma CSRF árás á viðkvæmum vefsíðum, sérstaklega vefsíðum með svokallaða „geymda CSRF galla.“ Þetta er hægt að ná með því að slá inn IMG eða IFRAME merki í innsláttarsvæðum sem birtast síðar á síðu, svo sem athugasemdum eða leitarniðurstöðusíðu.

Að koma í veg fyrir rammaárásir

Segja má nútíma vöfrum hvort tiltekin auðlind sé leyfð eða ekki að hlaða innan ramma. Þeir geta einnig valið að hlaða auðlind í ramma aðeins þegar beiðnin er upprunnin frá sama vef og notandinn er á. Þannig er ekki hægt að plata notendur að smella á ósýnilega ramma með efni frá öðrum vefsvæðum og smellir þeirra verða ekki rænt.

Aðlögunaraðferðir viðskiptavinarins kallast grindbrjóstmynd eða grindadrep. Þrátt fyrir að þau geti verið áhrifarík í sumum tilvikum er einnig auðvelt að komast framhjá þeim. Þess vegna eru aðferðir viðskiptavinarins ekki taldar bestu leiðir. Í staðinn fyrir að brjótast út í römmum mælum öryggissérfræðingar með aðferðum við hlið þjónustunnar eins og X-Frame-Options (XFO) eða nýlegri, eins og öryggisstefna efnis.

X-Frame-Options er svörunarhaus sem vefþjónar innihalda vefsíður til að gefa til kynna hvort vafri hafi leyfi til að sýna innihald sitt innan ramma eða ekki.

X-Frame-Option hausinn leyfir þrjú gildi.

  • VEGNA, sem bannar að birta síðuna innan ramma
  • SAMEORIGIN, sem gerir kleift að birta síðuna innan ramma, svo framarlega sem hún er innan sama léns
  • ALLOW-FRA URI, sem gerir kleift að birta síðuna innan ramma en aðeins í tilteknu URI (Uniform Resource Identifier), t.d. aðeins innan tiltekins, sértækrar vefsíðu..

Nýlegri aðferðir gegn smellt er á innihaldsöryggisstefnu (CSP) með tilskipun ramma-forfeðra. Þessi möguleiki er mikið notaður til að skipta um XFO. Einn helsti ávinningur af CSP í samanburði við XFO er að það gerir vefþjóninum kleift að heimila mörgum lénum að ramma inn efni þess. Samt sem áður, það er ekki enn stutt af öllum vöfrum.

Rammatilskipun CSP viðurkennir þrenns konar gildi: ‘enginn,’ til að koma í veg fyrir að lén sýni innihaldið; „Sjálf,“ til að leyfa aðeins núverandi síðu að sýna innihaldið í ramma, eða lista yfir slóðir með villikortum, svo sem ‘* .some site.com,’ ‘https://www.example.com/index.html,’Osfrv., Til að leyfa aðeins ramma á hvaða síðu sem passar við frumefni af listanum.

Hvernig á að verja þig gegn smellajökkum

Það er þægilegt að vera skráður á félagslegt net meðan þú vafrar um þig, en ef þú gerir það þarftu að fara varlega með smelli. Þú ættir einnig að taka eftir vefsíðunum sem þú heimsækir vegna þess að ekki allir gera nauðsynlegar ráðstafanir til að koma í veg fyrir smellajakka. Ef þú ert ekki viss um vefsíðu sem þú ert að heimsækja ættirðu ekki að smella á neinn grunsamlegan smell, sama hversu freistandi það gæti verið.

Annar hlutur sem þarf að taka eftir er vafraútgáfan þín. Jafnvel þó að vefsvæði noti alla forvarnarheiti fyrir clickjacking sem við nefndum áður, styðja ekki allir vafrar þá alla, svo vertu viss um að nota nýjustu útgáfuna sem þú getur fengið og að hún styðji möguleika gegn smellajacking.

Heilbrigð skynsemi er áhrifaríkt sjálfsverndartæki gegn smellajökkum. Þegar þú sérð óvenjulegt efni, þar með talið tengil sem vinur hefur sett á eitthvað samfélagsnet, áður en þú gerir eitthvað, ættir þú að spyrja sjálfan þig hvort það sé sú tegund efnis sem vinur þinn myndi birta. Ef ekki, ættir þú að vara vin þinn við því að hann eða hún gæti hafa orðið fórnarlamb smellajakka.

Eitt síðasta ráðið: Ef þú ert áhrifamaður, eða hefur bara virkilega mikinn fjölda fylgjenda eða vina á einhverju samfélagsneti, þá ættir þú að tvöfalda varúðarráðstafanir þínar og æfa ábyrga hegðun á netinu. Vegna þess að ef þú verður fórnarlamb klikkunar mun árásin hafa áhrif á fullt af fólki.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map