Clickjacking Attack: ფრთხილად იყავით სოციალური ქსელის იდენტიფიკაციიდან

ძნელია წინააღმდეგობა გაუწიოთ უფასო iPhone შეთავაზების ბმულზე დაჭრას. მაგრამ ფრთხილად იყავით: თქვენი დაჭერით მარტივად შეიძლება გაიტაცოთ და შედეგები შეიძლება დამანგრეველი იყოს.


Clickjacking არის თავდასხმის მეთოდი, ასევე ცნობილია როგორც User Interface Redressing, რადგან იგი შეიქმნა შენიღბვას (ან გამოსწორებას) კავშირს გადახურვასთან, რომელიც მომხმარებელს ხატავს სხვა რამის გაკეთებაში, ვიდრე მას თვლის..

სოციალური ქსელების მომხმარებელთა უმეტესობა სარგებლობს მათთვის, ვინც მუდმივად დარეგისტრირდება. თავდამსხმელებს მარტივად შეეძლოთ ამ ჩვევისგან ისარგებლათ, აიძულონ მომხმარებლებს მოსწონთ ან მიბაძონ რაღაცის გარეშე. ამისათვის, კიბერდანაშაულემ შეიძლება დააყენოს მაცდური ღილაკი – მაგალითად, მიმზიდველი ტექსტით, მაგალითად, “უფასო iPhone – შეზღუდული დროით შეთავაზება” – საკუთარ ვებ – გვერდზე და გადააფორმოს უხილავი ჩარჩო, მასში არსებული სოციალური ქსელის გვერდით. გზა, რომლითაც “Like” ან “გაზიარება” ღილაკზე დევს უფასო iPhone ღილაკი.

ეს მარტივი დაჭერის ხრიკი შეიძლება აიძულოს Facebook მომხმარებლებს მოსწონონ ჯგუფები ან გულშემატკივართა გვერდები.

აღწერილი სცენარი საკმაოდ უდანაშაულოა, იმ თვალსაზრისით, რომ დაზარალებულის ერთადერთი შედეგია სოციალური ქსელის ჯგუფში დამატება. მაგრამ გარკვეული დამატებითი ძალისხმევით, იგივე ტექნიკა შეიძლება გამოყენებულ იქნას იმის დასადგენად, თუ მომხმარებელი შესულია მის საბანკო ანგარიშზე და, იმის ნაცვლად, რომ ისურვოს ან გააზიაროს გარკვეული სოციალური მედია, შეიძლება მას აიძულოს დააჭიროს ღილაკს, რომელიც გადარიცხავს სახსრებს მაგალითად, თავდამსხმელის ანგარიშზე. ყველაზე უარესი ის არის, რომ მავნე მოქმედება ვერ ხერხდება, რადგან მომხმარებელი ლეგიტიმურად იყო შესული მის საბანკო ანგარიშზე და იგი ნებაყოფლობით დააჭირა გადარიცხვის ღილაკს.

იმის გამო, რომ clickjacking ტექნიკის უმეტესობას სჭირდება სოციალური ინჟინერია, სოციალური ქსელები ხდება იდეალური შეტევის ვექტორები.

ვნახოთ, როგორ იყენებენ ისინი.

Clickjacking Twitter- ზე

დაახლოებით ათი წლის წინ, ტვიტერის სოციალურმა ქსელმა განიცადა მასიური შეტევა, რამაც სწრაფად გაავრცელა მესიჯი, რამაც მომხმარებლებმა დააჭირეს ბმულზე დაჭერა, მათი ბუნებრივი ცნობისმოყვარეობით ისარგებლეს.

ტვიპები ტექსტით “არ დააჭირე”, რასაც მოჰყვა ბმული, სწრაფად გავრცელდა ათასობით Twitter- ის ანგარიშებში. როდესაც მომხმარებლებმა დააჭირეს ბმულს და შემდეგ სამიზნე გვერდზე ერთი შეხედვით უდანაშაულო ღილაკზე, მათ ანგარიშიდან გაიგზავნა ტვიტი. ამ ტვიტერში შედის ტექსტი “არ დააჭირე”, რასაც მოჰყვა მავნე ბმული.

Twitter– ის ინჟინრებმა დააწესეს clickjacking– ის შეტევა, მას შემდეგ რაც არ გასულა. თავდასხმა თავისთავად უვნებელი აღმოჩნდა და იგი განგაშის სახით იმუშავა, თუ რა პოტენციურ რისკებს უკავშირდება Twitter clickjacking ინიციატივები. მავნე ბმულმა მომხმარებელმა ვებგვერდზე გადაიტანა დამალული iframe. ჩარჩოს შიგნით იყო უხილავი ღილაკი, რომელიც მავნე ტვიტს აგზავნიდა მსხვერპლის ანგარიშზე.

Clickjacking on Facebook

მობილური Facebook- ის აპლიკაციების მომხმარებლები ექვემდებარებიან შეცდომას, რომლის საშუალებითაც სპამერებს შეუძლია დააწკაპუნონ შინაარსზე მითითებულ ვადებზე, მათი თანხმობის გარეშე. შეცდომამ აღმოაჩინა უსაფრთხოების სპეციალისტი, რომელიც აანალიზებდა სპამ – კამპანიას. ექსპერტმა შენიშნა, რომ მისი მრავალი კონტაქტი გამოსცემდა ბმულს გვერდზე მხიარული სურათებით. სურათების მიღებამდე, მომხმარებლებს სთხოვეს, დააჭირეთ ასაკის მოსალოდნელ დეკლარაციას.

მათ არ იცოდნენ, რომ დეკლარაცია უხილავი ჩარჩოებით ხდებოდა.

როდესაც მომხმარებლებმა მიიღეს დეკლარაცია, მათ სასაცილო სურათებით წაიყვანეს გვერდზე. იმავდროულად, ბმული გამოქვეყნდა მომხმარებლების Facebook- ის ვადებში. ეს შესაძლებელი გახდა იმის გამო, რომ Android- ის Facebook- ის აპლიკაციაში ვებ – ბრაუზერის კომპონენტი არ არის ჩარჩოს ვარიანტების თავსართები (ქვემოთ მოცემულია მათი განმარტება) და, შესაბამისად, მავნე ჩარჩოს გადაფარვა საშუალებას იძლევა.

Facebook არ აღიარებს ამ პრობლემას შეცდომად, რადგან ის გავლენას არ ახდენს მომხმარებლების ანგარიშების მთლიანობაზე. ასე რომ, ჯერჯერობით გაურკვეველია, მოხდება თუ არა მისი გამოსწორება.

Clickjacking ნაკლებად სოციალურ ქსელებში

ეს არ არის მხოლოდ Twitter და Facebook. სხვა ნაკლებად პოპულარულ სოციალურ ქსელებსა და ბლოგინგ პლატფორმებს ასევე აქვთ დაუცველობა, რაც საშუალებას აძლევს დააჭიროთ clickjacking. მაგალითად, LinkedIn- ს ჰქონდა ხარვეზი, რომლებმაც შეუშვეს ხელი თავდამსხმელებისთვის, რომ მომხმარებლები შეეტყუებინათ თავიანთი სახელით ბმულების გაზიარებასა და განთავსებაში, მაგრამ მათი თანხმობის გარეშე. გამოსწორებამდე, ხარვეზმა მისცა თავდამსხმელებს, რომ ჩატვირთულიყვნენ LinkedIn ShareArticle გვერდის დაფარულ ჩარჩოზე და ამ ჩარჩოს გადახურვა გვერდებზე, ერთი შეხედვით, უდანაშაულო და მიმზიდველი ბმულების ან ღილაკების საშუალებით..

კიდევ ერთი შემთხვევაა Tumblr, საჯარო ვებ ბლოგერირების პლატფორმა. ეს საიტი იყენებს JavaScript- ს კოდის დაჭერის თავიდან ასაცილებლად. მაგრამ დაცვის ეს მეთოდი არაეფექტური ხდება, რადგან გვერდები შეიძლება იზოლირებულ იქნას HTML5 ჩარჩოში, რაც ხელს უშლის მათ JavaScript კოდის გაშვებას. საგულდაგულოდ გამოყენებული ტექნიკა შეიძლება გამოყენებულ იქნას პაროლების მოპარვაში, აღნიშნულ ხარვეზთან პაროლი დამხმარე ბრაუზერის მოდულით აერთიანებს: მომხმარებლებს აძაგებენ ცრუ captcha ტექსტის ჩასაწერად, მათ შეუძლიათ უნებურად გაგზავნონ თავიანთი პაროლები თავდამსხმელის საიტზე..

საიტის მოთხოვნის გაყალბება

Clickjacking შეტევის ერთ ვარიანტს უწოდებენ Cross-site თაღლითობას, ან მოკლედ CSRF. სოციალური ინჟინერიის დახმარებით კიბერდანაშაულები მიმართავენ CSRF- ს თავდასხმებს საბოლოო მომხმარებლების მიმართ, აიძულებენ მათ არასასურველი მოქმედებების შესრულება. შეტევის ვექტორი შეიძლება იყოს ელექტრონული ფოსტით ან ჩატის საშუალებით გაგზავნილი ბმული.

CSRF შეტევები არ აპირებს მომხმარებლის მონაცემების მოპარვას, რადგან თავდამსხმელი ვერ ხედავს პასუხს ტექსტის მოთხოვნაზე. ამის ნაცვლად, თავდასხმები მიზნად ისახავს სახელმწიფო შეცვლის მოთხოვნებს, როგორიცაა პაროლის შეცვლა ან სახსრების გადაცემა. თუ დაზარალებულს ადმინისტრაციული შეღავათები აქვს, შეტევას აქვს მთელი ვებ – პროგრამის კომპრომისის შესაძლებლობა.

CSRF შეტევა შეიძლება ინახებოდეს დაუცველ ვებსაიტებზე, განსაკუთრებით ვებსაიტებზე ე.წ. “შენახული CSRF ხარვეზებით”. ეს შეიძლება განხორციელდეს IMG ან IFRAME ტეგების შეყვანის ველებში, რომლებიც მოგვიანებით ნაჩვენებია გვერდზე, მაგალითად კომენტარები ან ძიების შედეგების გვერდი..

ჩარჩოების შეტევების თავიდან აცილება

თანამედროვე ბრაუზერებს შეიძლება ვუთხრათ, თუ კონკრეტულ რესურსს უშვებენ ან არ იტვირთება ჩარჩოში. მათ ასევე შეუძლიათ აირჩიონ რესურსი დატვირთონ ჩარჩოში მხოლოდ მაშინ, როდესაც მოთხოვნა წარმოიშვა იმავე საიტიდან, რომელზეც იმყოფება მომხმარებელი. ამ გზით, მომხმარებლებს არ შეუძლიათ მოატყუონ, რომ დააჭიროთ უხილავი ჩარჩოები სხვა საიტების შინაარსით, ხოლო მათი დაწკაპუნებები არ ხდება გატაცებული.

კლიენტის მხრიდან შემსუბუქების ტექნიკას უწოდებენ ჩარჩოს გაჯანსაღებას ან ჩარჩოს მკვლელობას. მიუხედავად იმისა, რომ ისინი შეიძლება ეფექტური იყოს ზოგიერთ შემთხვევაში, მათი თავიდან აცილებაც მარტივად შეიძლება. სწორედ ამიტომ, კლიენტთან დაკავშირებული მეთოდები არ განიხილება, როგორც საუკეთესო პრაქტიკა. ჩარჩოს გატეხვის ნაცვლად, უსაფრთხოების ექსპერტები რეკომენდაციას უწევენ სერვერის მხარის მეთოდებს, როგორიცაა X-Frame- პარამეტრები (XFO) ან უფრო უახლესი, მაგალითად, შინაარსის უსაფრთხოების პოლიტიკა.

X-Frame- ოფციები არის საპასუხო სათაური, რომელსაც ვებ – სერვერები შეიცავს ვებ – გვერდებზე იმის დასადგენად, ბრაუზერს უფლება აქვს მის შინაარსს აჩვენოს ჩარჩოში..

X-Frame-Option header საშუალებას აძლევს სამ მნიშვნელობას.

  • DENY, რომელიც კრძალავს გვერდის ჩარჩოების ჩვენებას
  • SAMEORIGIN, რომელიც საშუალებას აძლევს გვერდის ჩვენებას ჩარჩოში, სანამ ის დარჩება იმავე დომენში
  • ნებადართულია URI- სგან, რომელიც საშუალებას აძლევს გვერდის ჩვენებას ჩარჩოში, მაგრამ მხოლოდ მითითებულ URI- ში (ერთიანი რესურსების იდენტიფიკატორი), მაგ., მხოლოდ კონკრეტულ, კონკრეტულ ვებ – გვერდზე.

ანტი-დაწკაპუნების საწინააღმდეგო უახლესი მეთოდები შეიცავს შინაარსის უსაფრთხოების პოლიტიკას (CSP) ჩარჩო-წინაპრების დირექტივით. ეს ვარიანტი ფართოდ გამოიყენება XFO– ს ჩანაცვლების დროს. CSP– ის ერთ – ერთი მთავარი უპირატესობა ის არის, რომ იგი საშუალებას აძლევს ვებ სერვერს, მისცეს მრავალ დომენი, მის შინაარსზე ჩარჩო. თუმცა, ეს ჯერ კიდევ არ არის მხარდაჭერილი ყველა ბრაუზერის მიერ.

CSP– ის ჩარჩო-წინაპრების დირექტივა აღიარებს სამი სახის მნიშვნელობას: “არცერთი” ნებისმიერი დომენის შინაარსის თავიდან ასაცილებლად; “საკუთარი თავი” მხოლოდ მიმდინარე საიტს მივცეთ აჩვენოს შინაარსი ჩარჩოში, ან URL- ების სია, რომელზეც არის ველები, მაგალითად, ‘* .ეს საიტზე.com,https://www.example.com/index.html,და ა.შ., მხოლოდ იმ გვერდის ჩარჩოების დასაშვებად, რომელიც შეესაბამება სიიდან ელემენტს.

როგორ დავიცვათ თავი clickjacking– ისგან

მოსახერხებელია, რომ დაათვალიეროთ გვერდის განმავლობაში შეხვიდეთ სოციალურ ქსელში, მაგრამ თუ ასე მოიქცევით, საჭიროა ფრთხილად იყოთ თქვენი დაწკაპუნებით. ასევე ყურადღება უნდა მიაქციოთ თქვენს მიერ ჩამოსულ საიტებს, რადგან ყველა მათგანი არ იღებს საჭირო ზომებს, რომ არ მოხდეს clickjacking. თუ არ ხართ დარწმუნებული ვებ – გვერდზე, რომელსაც სტუმრობთ, არ უნდა დააჭიროთ რაიმე საეჭვო დაწკაპუნებას, არ აქვს მნიშვნელობა რამდენად მაცდური შეიძლება იყოს ეს.

კიდევ ერთი რამ, რასაც უნდა მიაქციოთ ყურადღება, თქვენი ბრაუზერის ვერსიაა. იმ შემთხვევაშიც კი, თუ საიტი იყენებს ზემოთ ჩამოთვლილ ყველა პროფილაქტიკური პროფილის თავსატეხებს, ყველა ბრაუზერი არ უჭერს მხარს ყველა მათგანს, ასე რომ, დარწმუნებული უნდა იყოს, გამოიყენეთ უახლესი ვერსია, რომელიც შეგიძლიათ მიიღოთ და რომ იგი მხარს უჭერს ანტი-დაწკაპუნების მახასიათებლებს.

საღი აზრი არის ეფექტური თვითმმართველობის დამცავი მოწყობილობა clickjacking– ისგან. როდესაც ხედავთ უჩვეულო შინაარსს, მათ შორის მეგობრის ნებისმიერ სოციალურ ქსელში განთავსებულ ბმულს, სანამ რამეს გააკეთებთ, უნდა ჰკითხეთ საკუთარ თავს, არის თუ არა ეს თქვენი შინაარსის ტიპი. თუ არა, თქვენ უნდა გააფრთხილოთ თქვენი მეგობარი, რომ ის შეიძლება გახდეს clickjacking- ის მსხვერპლი.

ერთი ბოლო რჩევა: თუ თქვენ ხართ გავლენიანი ან ნამდვილად გაქვთ უამრავი მიმდევარი ან მეგობარი რომელიმე სოციალურ ქსელში, უნდა გაორმაგდეს თქვენი სიფრთხილის ზომები და შეასრულოთ პასუხისმგებელი ქცევა ინტერნეტით. იმის გამო, რომ თუკი თქვენ გახდებით clickjacking მსხვერპლი, შეტევა დასრულდება, რომელიც იმოქმედებს უამრავ ხალხზე.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map