Clickjacking hücumları: Sosial Şəbəkə identifikasiyasından çəkinin

Pulsuz bir iPhone təklif bağlantısını tıklamağa qarşı çıxmaq çətindir. Ancaq ehtiyatlı olun: klikiniz asanlıqla qaçırıla bilər və nəticələr fəlakətli ola bilər.


Tıklatma, istifadəçi interfeysini azaltma adı ilə də tanınan bir hücum metodudur, çünki istifadəçini düşündüyündən fərqli bir şey etməyə həvəsləndirən bir üst-üstə düşən bir bağlama bağlayır və ya düzəldir..

Sosial şəbəkələrin əksər istifadəçiləri hər zaman onlara daxil olmaq rahatlığından zövq alırlar. Təcavüzkarlar, istifadəçiləri fərq etmədən bir şeyi bəyənməyə və ya izləməyə məcbur etmək üçün bu vərdişdən asanlıqla yararlana bilər. Bunu etmək üçün bir kiber cinayətkar öz veb səhifəsində “Pulsuz iPhone – məhdud vaxt təklifi” kimi cəlbedici bir mətn ilə cazibədar bir düyməni qoya bilər və sosial şəbəkənin səhifəsindəki görünməz bir çərçivəni bu kimi şəkildə yerləşdirə bilər. Bir “Bəyən” və ya “Paylaş” düyməsinin Pulsuz iPhone düyməsini üstələməsi.

Bu sadə klik oyunu Facebook istifadəçilərini bilmədən qrupları və ya fan səhifələrini bəyənməyə məcbur edə bilər.

Təsvir edilən ssenari kifayət qədər günahsızdır, bu mənada qurban üçün yeganə nəticənin sosial şəbəkə qrupuna əlavə edilməsi lazımdır. Ancaq bəzi əlavə səylərlə istifadəçinin bank hesabına daxil olub-olmadığını müəyyən etmək üçün eyni üsuldan istifadə edilə bilər və bəzi sosial media elementlərini bəyənmək və ya paylaşmaq əvəzinə, o, vəsait köçürən düyməni basmaq məcburiyyətində qala bilər. məsələn bir təcavüzkarın hesabı. Ən pis tərəfi, zərərli əməllərin izlənilməməsidir, çünki istifadəçi öz bank hesabına qanuni daxil olmuşdur və o könüllü olaraq köçürmə düyməsini basdı.

Tıklama üsullarının əksəriyyəti sosial mühəndisliyi tələb etdiyi üçün sosial şəbəkələr ideal hücum vektorlarına çevrilir.

Görün necə istifadə olunur.

Twitter-də klikləmə

Təxminən on il əvvəl, Twitter sosial şəbəkəsi sürətli bir mesaj yayan kütləvi bir hücuma məruz qaldı ki, bu da istifadəçilərin təbii maraqlarından faydalanaraq bir linki vurmasına səbəb oldu..

“Tutmayın” mətni olan tvitlər, bir keçid ardınca minlərlə Twitter hesabında sürətlə yayıldı. İstifadəçilər linki tıkladığında və sonra hədəf səhifədəki günahsız görünən bir düyməyə vurduqda, hesablarından bir tweet göndərildi. Həmin tvitdə zərərli linkin ardınca “Bilmirəm” yazısı var.

Twitter mühəndisləri klik hücumuna başladıqdan bir müddət sonra yamaq etdilər. Hücumun özü zərərsiz olduğunu sübut etdi və Twitter tıklatma təşəbbüsləri ilə əlaqəli potensial riskləri izah edən bir həyəcan kimi işlədi. Zərərli link istifadəçini gizli iframe ilə bir veb səhifəsinə apardı. Çərçivənin içərisindəki zərərli tvit göndərən görünməz bir düymə idi.

Facebook-da klikləmə

Mobil Facebook tətbiqetmələri, spamerlərə, razılaşdırılmadan, vaxtlarında tıklanabilir məzmun göndərmələrini təmin edən bir səhvə məruz qalırlar. Səhv spam kampaniyasını təhlil edən bir təhlükəsizlik mütəxəssisi tərəfindən aşkar edilmişdir. Mütəxəssis, bir çox əlaqəsinin gülməli şəkilləri olan bir səhifəyə bir link yayımladığını müşahidə etdi. Şəkillərə çatmazdan əvvəl istifadəçilərdən yaşın gəldiyini elan etməyi xahiş etdilər.

Bilmədikləri, bəyannamənin görünməz bir çərçivə altında olması idi.

İstifadəçilər bəyannaməni qəbul edərkən, məzəli şəkillər olan bir səhifəyə çəkildilər. Ancaq bu vaxt, link istifadəçilərin Facebook qrafikində yayımlandı. Bu mümkün idi, çünki Android üçün Facebook tətbiqindəki veb brauzer komponenti çərçivə seçimlərinin başlıqlarına uyğun deyildir (aşağıda onların nə olduğunu izah edirik) və buna görə də zərərli çərçivə örtülməsinə imkan verir..

Facebook istifadəçilərin hesablarının bütövlüyünə təsir göstərmədiyi üçün problemi səhv kimi tanımır. Beləliklə, nə vaxtsa düzəldilməyəcəyi qeyri-müəyyəndir.

Daha az sosial şəbəkələrdə klikləmə

Bu təkcə Twitter və Facebook deyil. Digər az populyar sosial şəbəkələr və blog platformaları da klik oyunlarına imkan verən zəifliklərə malikdir. Məsələn, LinkedIn, təcavüzkarların istifadəçilərini onların adından, lakin onların razılığı olmadan əlaqələri paylaşmasına və göndərməsinə aldatmaq üçün bir qapı açan bir qüsur vardı. Düzəlməmişdən əvvəl, qüsur təcavüzkarlara LinkedIn ShareArticle səhifəsini gizli bir çərçivəyə yükləməyə və bu çərçivəni günahsız və cazibədar görünən bağlantılar və ya düymələri olan səhifələrə örtməyə imkan verdi..

Digər bir hal, ictimai veb blog platforması olan Tumblr. Bu sayt tıqqıltı qarşısını almaq üçün JavaScript kodu istifadə edir. Səhifələr JavaScript kodunu işə salmağına mane olan HTML5 çərçivəsində təcrid oluna biləcəyi üçün bu qorunma metodu təsirsiz olur. Şifrələri oğurlamaq üçün diqqətlə hazırlanmış bir texnikadan istifadə etmək olar. Qeyd olunan qüsuru parol köməkçi brauzer plaginləri ilə birləşdirmək olar: istifadəçiləri səhv saxta mətn yazmaq üçün aldatmaqla təsadüfən şifrələrini təcavüzkarın saytına göndərə bilərlər..

Xaç saytı saxtalaşdırma tələbi

Tıklatma hücumunun bir variantına Xaç saytı tələb etmə, ya da CSRF qısa adlanır. Sosial mühəndisliyin köməyi ilə kibercinayətkarlar istənməyən hərəkətləri etməyə məcbur edən son istifadəçilərə qarşı CSRF hücumlarını istiqamətləndirirlər. Hücum vektoru e-poçt və ya söhbət vasitəsilə göndərilən bir əlaqə ola bilər.

CSRF hücumları istifadəçinin məlumatlarını oğurlamaq niyyətində deyil, çünki təcavüzkar phony sorğusuna cavabı görə bilmir. Bunun əvəzinə hücumlar şifrənin dəyişdirilməsi və ya bir vəsait köçürülməsi kimi dövləti dəyişdirən tələbləri hədəf alır. Qurbanın inzibati imtiyazları varsa, hücum bütün bir veb tətbiqini güzəşt etmək potensialına malikdir.

Bir CSRF hücumu həssas veb saytlarda, xüsusilə də “saxlanılan CSRF qüsurları” adlanan veb saytlarda saxlanıla bilər. Bu, şərhlər və ya axtarış nəticələri səhifəsi kimi bir səhifədə sonradan göstərilən giriş sahələrinə IMG və ya IFRAME etiketlərini daxil etməklə edilə bilər..

Çərçivə hücumlarının qarşısını alır

Müasir brauzerlərə müəyyən bir qaynağın icazə verildiyi və ya bir çərçivə içərisində yüklənməməsi barədə məlumat verilə bilər. Ayrıca, bir istifadəçi olduğu saytdan tələb olduqda bir çərçivəyə bir resurs yükləməyi də istəyə bilərlər. Bu yolla, istifadəçilər digər saytların məzmunu ilə görünməyən çərçivələrə vurmaq üçün aldadıla bilməzlər və klikləri qaçırılmır.

Müştəri tərəfinin təsirini azaltma üsullarına çərçivə vurma və ya çərçivə öldürmə deyilir. Bəzi hallarda təsirli ola bilsələr də, asanlıqla keçilə bilər. Buna görə müştəri tərəfi metodları ən yaxşı təcrübə hesab edilmir. Çəkiliş yerinə, təhlükəsizlik mütəxəssisləri X-Çərçivə-Seçimlər (XFO) və ya Məzmun Təhlükəsizliyi Siyasəti kimi daha yeni olan metodları təklif edir..

X-Çərçivə Seçimləri veb serverlərin veb səhifələrə daxil etdiyi bir brauzerin bir çərçivə içərisində məzmununu göstərməsinə icazə verilmədiyini göstərən bir cavab başlığıdır..

X-Çərçivə-Variant başlığı üç dəyər verməyə imkan verir.

  • Səhifəni bir çərçivə içərisində göstərməyi qadağan edən DENY
  • Eyni domendə qaldıqca səhifəni bir çərçivə içərisində göstərməyə imkan verən SAMEORIGIN
  • Bir səhifə içərisində səhifəni göstərməyə imkan verən ALLOW-FROM URI, yalnız müəyyən bir URI (Uniform Resource Identifier), məsələn, yalnız müəyyən bir xüsusi veb səhifədə.

Ən son klik əleyhinə metodlara çərçivə əcdadlarının göstərişi ilə Məzmun Təhlükəsizliyi Siyasəti (CSP) daxildir. Bu seçim XFO-nun dəyişdirilməsində geniş istifadə olunur. XFO ilə müqayisədə CSP’nin ən böyük bir faydası, bir veb serverə məzmununu çərçivələndirmək üçün çoxsaylı domenlərə icazə verməkdir. Ancaq hələ də bütün brauzerlər tərəfindən dəstəklənmir.

CSP’nin ata-baba direktivi üç növ dəyərləri qəbul edir: ‘Heç biri’ hər hansı bir domenin məzmunu göstərməsinin qarşısını almaq; ‘Özü’ yalnız cari saytın bir çərçivədə məzmunu göstərməsinə və ya ‘* .some site.com,’ ‘kimi işaret nişanları olan URL-lərin siyahısını göstərməsinə icazə verməkhttps://www.example.com/index.html,’Və s., Yalnız siyahıdakı bir elementə uyğun gələn hər hansı bir səhifədə çərçivələməyə icazə verin.

Özünüzü tıqqıltıdan necə qorumaq olar

Ətrafı gəzərkən sosial şəbəkəyə daxil olmaq rahatdır, ancaq bunu etsəniz, kliklərinizlə ehtiyatlı olmaq lazımdır. Ziyarət etdiyiniz saytlara da diqqət yetirməlisiniz, çünki hamısı klik tökülməsinin qarşısını almaq üçün lazımi tədbirlər görmür. Ziyarət etdiyiniz bir veb saytdan əmin deyilsinizsə, nə qədər cazibədar ola biləcəyinizdən asılı olmayaraq heç bir şübhəli klik vurmamalısınız..

Diqqət etməli başqa bir şey brauzerinizin versiyasıdır. Bir sayt əvvəl qeyd etdiyimiz bütün tıklayan qarışdırma qarşısının alınması başlıqlarını istifadə etsə də, bütün brauzerlər hamısını dəstəkləmir, buna görə əldə edə biləcəyiniz ən son versiyanı istifadə etdiyinizə və tıklanmaya qarşı mübarizə xüsusiyyətlərini dəstəklədiyinə əmin olun..

Ümumi mənada tıklanmaya qarşı təsirli bir özünü müdafiə cihazıdır. Qeyri-adi məzmunu, o cümlədən hər hansı bir sosial şəbəkədə bir dostunuzun göndərdiyi bir əlaqəni görəndə özünüzdən soruşmalısınız ki, dostunuzun yayımladığı məzmun növüdür. Yoxdursa, dostunuza tıqqıltı qurbanı ola biləcəyi barədə xəbərdar etməlisiniz.

Son bir məsləhət parçası: əgər siz təsir bağışlayırsınızsa və ya hər hansı bir sosial şəbəkədə həqiqətən çox sayda izləyiciniz və ya dostunuz varsa, ehtiyat tədbirlərini iki dəfə artırmalı və onlayn olaraq məsuliyyətli davranmalısınız. Çünki bir tıqqıltı qurbanı olsanız, hücum bir çox insana təsir edəcəkdir.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map