Трудно удержаться, чтобы не щелкнуть ссылку на бесплатное предложение iPhone. Но будьте осторожны: ваш клик может быть легко перехвачен, а результаты могут быть катастрофическими.
Clickjacking — это метод атаки, также известный как UI Redressing, потому что он настраивается путем сокрытия (или исправления) ссылки с наложением, которое обманом заставляет пользователя делать что-то другое, чем он или она думает.
Большинству пользователей социальных сетей нравится удобство постоянного входа в систему. Злоумышленники могут легко использовать эту привычку, чтобы заставить пользователей ставить лайки или подписываться на что-то незаметно для них. Для этого киберпреступник может разместить заманчивую кнопку, например, с броским текстом, таким как «Бесплатный iPhone — предложение с ограниченным сроком действия», на своем сайте и наложить на невидимый блок со страницей социальной сети внутри таким образом, чтобы он помещает кнопку «Мне нравится» или «Поделиться» над кнопкой бесплатного iPhone.
Этот простой трюк с кликом может заставить пользователей Facebook лайкать группы или фан-страницы без их ведома.
Описанный сценарий вполне невинен, в том смысле, что единственным последствием для жертвы является добавление в группу в социальной сети. Но с дополнительными усилиями тот же метод можно использовать для определения того, вошел ли пользователь в свой банковский счет, и вместо того, чтобы поставить лайк или поделиться элементом в социальных сетях, его или ее можно заставить нажать кнопку, которая переводит средства на счет. аккаунт злоумышленника, например. Хуже всего то, что злонамеренное действие невозможно отследить, потому что пользователь законно вошел в свой банковский счет и добровольно нажал кнопку перевода.
Поскольку большинство методов кликбейта требуют социальной инженерии, социальные сети становятся идеальным вектором атаки.
Давайте посмотрим, как они используются.
Содержание
Кликджекинг в Твиттере
Десять лет назад социальная сеть Twitter подверглась массированной атаке, которая быстро распространила сообщение, побуждая пользователей переходить по ссылке, используя их естественное любопытство.
Твиты с текстом «Не нажимайте», за которым следует ссылка, быстро распространились по тысячам учетных записей Twitter. Когда пользователи нажимали на ссылку, а затем на кажущуюся невинной кнопку на целевой странице, из их аккаунтов отправлялся твит. Этот твит содержал текст «Не нажимайте», за которым следовала вредоносная ссылка.
Инженеры Twitter исправили атаку кликджекинга вскоре после ее начала. Сама атака оказалась безобидной и послужила тревожным сигналом о потенциальных рисках, связанных с инициативами Twitter по кликам. Вредоносная ссылка вела пользователя на веб-страницу со скрытым iframe. Внутри рамки находилась невидимая кнопка, которая отправляла вредоносный твит с аккаунта жертвы.
Кликджекинг на Facebook
Пользователи мобильного приложения Facebook сталкиваются с ошибкой, которая позволяет спамерам публиковать кликабельный контент в своей хронике без их согласия. Уязвимость обнаружил эксперт по безопасности, который анализировал спам-кампанию. Эксперт заметил, что многие из его контактов размещали ссылку на страницу с забавными картинками. Перед доступом к изображениям пользователей просили нажать на заявление для взрослых.
Чего они не знали, так это того, что декларация находилась под невидимой рамкой.
Когда пользователи приняли декларацию, они попали на страницу с забавными картинками. Но тем временем ссылка была размещена на временной шкале пользователя Facebook. Это стало возможным, потому что компонент веб-браузера приложения Facebook для Android не совместим с заголовками опций фрейма (ниже мы объясним, что это такое) и, следовательно, допускает наложение вредоносных фреймов.
Facebook не считает проблему ошибкой, поскольку она не влияет на целостность учетной записи пользователя. Так что неясно, будет ли это когда-нибудь исправлено.
Clickjacking в небольших социальных сетях
Это не только Твиттер и Фейсбук. Другие менее популярные социальные сети и платформы для ведения блогов также имеют уязвимости, связанные с кликами. В LinkedIn, например, была уязвимость, которая позволяла злоумышленникам обманом заставлять пользователей делиться ссылками и публиковать их от их имени, но без их согласия. До исправления ошибка позволяла злоумышленникам загружать страницу LinkedIn ShareArticle в скрытом фрейме и накладывать этот фрейм на страницы с, казалось бы, невинными и привлекательными ссылками или кнопками.
Другой пример — Tumblr, общедоступная платформа для ведения веб-блогов. Этот сайт использует код JavaScript для предотвращения кликов. Но этот метод защиты становится неэффективным, потому что страницы могут быть изолированы во фреймворке HTML5, что не позволяет им запускать код JavaScript. Для кражи паролей может быть использован тщательно продуманный метод, сочетающий вышеупомянутую ошибку с надстройкой браузера для помощи с паролями: обманом заставляя пользователей вводить поддельный текст капчи, они могут непреднамеренно отправить свои пароли на сайт злоумышленника.
Подделка претензий в нескольких местах
Один из вариантов атаки кликджекинга называется подделкой межсайтовых запросов или сокращенно CSRF. С помощью социальной инженерии киберпреступники направляют CSRF-атаки на конечных пользователей, заставляя их выполнять нежелательные действия. Вектор атаки может быть ссылкой, отправленной по электронной почте или в чате.
Атаки CSRF не предназначены для кражи пользовательских данных, поскольку злоумышленник не может увидеть ответ на поддельный запрос. Вместо этого атаки нацелены на запросы на изменение состояния, такие как смена паролей или перевод средств. Если у жертвы есть административные привилегии, атака может скомпрометировать все веб-приложение.
Атака CSRF может храниться на уязвимых веб-сайтах, особенно на веб-сайтах с так называемыми «сохраненными недостатками CSRF». Этого можно добиться, вставив теги IMG или IFRAME в поля ввода, которые впоследствии отображаются на странице, например в комментариях или на странице результатов поиска.
Предотвращение фрейм-атак
Современные браузеры могут сообщить, разрешено ли загружать конкретный ресурс во фрейме. Они также могут выбрать загрузку ресурса во фрейм только в том случае, если запрос исходит из того же места, что и пользователь. Таким образом, пользователи не могут быть обмануты, заставляя их нажимать на невидимые блоки контента с других сайтов, и их клики не перехватываются.
Методы смягчения последствий на стороне клиента называются разрушением или уничтожением кадров. Хотя в некоторых случаях они могут быть эффективными, их также можно легко обойти. Таким образом, методы на стороне клиента не считаются лучшей практикой. Вместо того, чтобы разбивать кадры, эксперты по безопасности рекомендуют методы на стороне сервера, такие как X-Frame-Options (XFO), или более новые, такие как политики безопасности содержимого.
X-Frame-Options — это заголовок ответа, который веб-серверы включают в веб-страницы, чтобы указать, разрешено ли браузеру отображать свое содержимое во фрейме.
Заголовок X-Frame-Option допускает три значения.
- DENI, который запрещает отображение страницы во фрейме
- SAMEORIGIN, который позволяет отображать страницу во фрейме, пока она остается на том же домене.
- ALOV-FROM URI, который позволяет отображать страницу внутри фрейма, но только в определенном URI (Uniform Resource Identifier), например. только в пределах определенного, определенного веб-сайта.
Более поздние методы защиты от щелчков включают политику безопасности содержимого (CSP) с директивой предков платформы. Этот вариант широко используется для замены XFO. Одним из основных преимуществ CSP по сравнению с XFO является то, что он позволяет веб-серверу авторизовать несколько доменов для кадрирования своего контента. Однако пока не все браузеры его поддерживают.
Директива предка платформы CSP допускает три типа значений: «нет», чтобы запретить отображение контента в любом домене; «self», чтобы разрешить текущему сайту отображать контент только во фрейме, или список URL-адресов с подстановочными знаками, например «*.some site.com», https://vvv.ekample.com/indek.html , ” и т. д., чтобы разрешить кадрирование только на любой странице, которая соответствует элементу списка.
Как защитить себя от кликов
Удобно оставаться в социальной сети во время просмотра, но если вы это сделаете, вам нужно быть осторожным со своими кликами. Вам также следует обратить внимание на сайты, которые вы посещаете, поскольку они не принимают всех необходимых мер для предотвращения кликов. Если вы не уверены в посещаемом веб-сайте, вам не следует нажимать на любой подозрительный клик, каким бы заманчивым он ни был.
Еще одна вещь, на которую следует обратить внимание, — это версия вашего браузера. Даже если на сайте используются все заголовки защиты от щелчков, о которых мы упоминали ранее, не все браузеры поддерживают их все, поэтому убедитесь, что вы используете последнюю доступную версию, которая поддерживает функции защиты от щелчков.
Здравый смысл — эффективное средство самозащиты от кликбейта. Когда вы видите необычный контент, в том числе ссылку, размещенную другом в какой-либо социальной сети, прежде чем что-либо делать, спросите себя, является ли этот тип контента вашим другом. Если нет, вы должны предупредить своего друга, что он может стать жертвой кликбейта.
И последний совет: если вы являетесь влиятельным лицом или просто имеете действительно большое количество подписчиков или друзей в какой-либо социальной сети, вам следует удвоить меры предосторожности и практиковать ответственное поведение в Интернете. Потому что, если вы станете жертвой кликбейта, атака затронет многих людей.
