Важко втриматися від натискання посилання на безкоштовну пропозицію iPhone. Але будьте обережні: ваш клік можуть легко викрасти, і результати можуть бути катастрофічними.
Клікджекінг — це метод атаки, також відомий як зміна користувацького інтерфейсу, оскільки вона встановлюється шляхом маскування (або зміни форми) посилання за допомогою накладення, яке обманом змушує користувача зробити щось інше, ніж він або вона думає.
Більшість користувачів соціальних мереж насолоджуються зручністю залишатися в них постійно. Зловмисники можуть легко скористатися цією звичкою, щоб змусити користувачів поставити лайк або підписатися на щось непомітно. Для цього кіберзлочинець може розмістити спокусливу кнопку – наприклад, із привабливим текстом, таким як «Безкоштовний iPhone – обмежена пропозиція» – на своїй веб-сторінці та накласти на невидиму рамку сторінку соціальної мережі, таким чином, що кнопка «Подобається» або «Поділитися» лежить поверх кнопки «Безкоштовний iPhone».
Цей простий трюк може змусити користувачів Facebook лайкати групи або фан-сторінки, не знаючи про це.
Описаний сценарій є досить невинним у тому сенсі, що єдиним наслідком для жертви є додавання до групи в соціальній мережі. Але доклавши додаткових зусиль, цю ж техніку можна використати, щоб визначити, чи користувач увійшов до свого банківського рахунку, і замість того, щоб поставити лайк або поділитися певним елементом у соціальних мережах, його чи її можна змусити натиснути кнопку, яка переказує кошти на обліковий запис зловмисника, наприклад. Найгірше те, що зловмисну дію неможливо відстежити, тому що користувач законно ввійшов до свого банківського рахунку, і він або вона добровільно натиснув кнопку переказу.
Оскільки більшість методів клікджекінгу вимагають соціальної інженерії, соціальні мережі стають ідеальними векторами атак.
Давайте подивимося, як вони використовуються.
Клікджекінг у Twitter
Близько десяти років тому соціальна мережа Twitter зазнала масштабної атаки, яка швидко розповсюдила повідомлення, яке спонукало користувачів натискати посилання, користуючись своєю природною цікавістю.
Твіти з текстом «Не натискайте», за яким слідує посилання, швидко поширювалися тисячами облікових записів Twitter. Коли користувачі натискали посилання, а потім, здавалося б, невинну кнопку на цільовій сторінці, з їхніх акаунтів надсилався твіт. Цей твіт містив текст «Не клацайте», а потім шкідливе посилання.
Інженери Twitter виправили атаку клікджекінга незабаром після її початку. Сама атака виявилася нешкідливою, і вона спрацювала як сигнал тривоги, який повідомляв про потенційні ризики, пов’язані з ініціативами Twitter clickjacking. Шкідливе посилання перевело користувача на веб-сторінку з прихованим iframe. У кадрі була невидима кнопка, яка надсилала зловмисний твіт з облікового запису жертви.
Клікджекінг на Facebook
Користувачі мобільних додатків Facebook стикаються з помилкою, яка дозволяє спамерам публікувати інтерактивний вміст у своїх часових шкалах без їхньої згоди. Помилку виявив спеціаліст із безпеки, який аналізував спам-кампанію. Експерт зауважив, що багато хто з його контактів публікують посилання на сторінку зі смішними картинками. Перш ніж дістатися до фотографій, користувачів попросили натиснути на декларацію про досягнення повноліття.
Не знали, що декларація була в невидимій рамці.
Коли користувачі погоджувалися з декларацією, вони потрапляли на сторінку з кумедними картинками. Але тим часом посилання було опубліковано в хронології користувачів Facebook. Це стало можливим через те, що компонент веб-браузера в додатку Facebook для Android несумісний із заголовками параметрів фрейму (нижче ми пояснюємо, що це таке), і тому допускає зловмисне накладення фрейму.
Facebook не визнає проблему помилкою, оскільки вона не впливає на цілісність облікових записів користувачів. Тож невідомо, чи це колись буде виправлено.
Клікджекінг у менших соціальних мережах
Це не тільки Twitter і Facebook. Інші менш популярні соціальні мережі та платформи блогів також мають уразливості, які дозволяють клікджекінг. LinkedIn, наприклад, мав недолік, який відкрив двері для зловмисників, щоб обманом змусити користувачів ділитися та публікувати посилання від їх імені, але без їхньої згоди. До того як її було виправлено, ця вада дозволяла зловмисникам завантажувати сторінку LinkedIn ShareArticle у прихований фрейм і накладати цей фрейм на сторінки з, здавалося б, невинними та привабливими посиланнями чи кнопками.
Інший випадок – Tumblr, публічна платформа веб-блогів. Цей сайт використовує код JavaScript, щоб запобігти клікджекінгу. Але цей метод захисту стає неефективним, оскільки сторінки можуть бути ізольовані у фреймі HTML5, який перешкоджає запуску коду JavaScript. Для викрадення паролів можна використати ретельно розроблену техніку, яка поєднує згаданий недолік із допоміжним плагіном браузера для паролів: обманом змушуючи користувачів вводити помилковий текст captcha, вони можуть ненавмисно надсилати свої паролі на сайт зловмисника.
Підробка міжсайтового запиту
Один із варіантів атаки клікджекінгу називається міжсайтовою підробкою запитів, або скорочено CSRF. За допомогою соціальної інженерії кіберзлочинці спрямовують атаки CSRF на кінцевих користувачів, змушуючи їх виконувати небажані дії. Вектором атаки може бути посилання, надіслане електронною поштою чи чатом.
Атаки CSRF не мають на меті викрасти дані користувача, оскільки зловмисник не може побачити відповідь на фальшивий запит. Натомість атаки націлені на запити, що змінюють стан, як-от зміна пароля або переказ коштів. Якщо жертва має адміністративні привілеї, атака може скомпрометувати всю веб-програму.
CSRF-атака може зберігатися на вразливих веб-сайтах, зокрема на веб-сайтах із так званими «збереженими дефектами CSRF». Це можна зробити, ввівши теги IMG або IFRAME у поля введення, які згодом відображатимуться на сторінці, наприклад у коментарях або на сторінці результатів пошуку.
Запобігання атакам кадрування
Сучасним браузерам можна повідомити, чи дозволено певний ресурс завантажуватись у фреймі. Вони також можуть вибрати завантаження ресурсу у фреймі лише тоді, коли запит надходить із того самого сайту, на якому перебуває користувач. Таким чином, користувачів неможливо обманним шляхом змусити натиснути невидимі фрейми з вмістом з інших сайтів, і їхні клацання не будуть перехоплені.
Методи пом’якшення на стороні клієнта називаються блокуванням кадрів або знищенням кадрів. Хоча в деяких випадках вони можуть бути ефективними, їх також можна легко обійти. Ось чому методи на стороні клієнта не вважаються найкращими практиками. Замість блокування фреймів експерти з безпеки рекомендують серверні методи, такі як X-Frame-Options (XFO) або новіші, як-от Content Security Policy.
X-Frame-Options — це заголовок відповіді, який веб-сервери включають на веб-сторінки, щоб вказати, чи дозволено браузеру показувати свій вміст у фреймі.
Заголовок X-Frame-Option допускає три значення.
- DENY, що забороняє відображати сторінку у фреймі
- SAMEORIGIN, що дозволяє відображати сторінку у фреймі, якщо вона залишається в тому самому домені
- ALLOW-FROM URI, який дозволяє відображати сторінку в межах фрейму, але лише у визначеному URI (уніфікований ідентифікатор ресурсу), наприклад, лише в межах конкретної веб-сторінки.
До новітніх методів боротьби з клікджекінгом відноситься політика безпеки вмісту (CSP) із директивою frame-ancestors. Ця опція широко використовується при заміні XFO. Однією з головних переваг CSP порівняно з XFO є те, що він дозволяє веб-серверу авторизувати кілька доменів для формування свого вмісту. Однак він ще не підтримується всіма браузерами.
Директива frame-ancestors CSP допускає три типи значень: «none», щоб запобігти відображенню вмісту будь-яким доменом; ‘self’, щоб дозволити лише поточному сайту відображати вміст у фреймі, або список URL-адрес із символами підстановки, наприклад ‘*.some site.com,’ ‘https://www.example.com/index.html,’ і т.д., щоб дозволити створення рамок лише на будь-якій сторінці, яка відповідає елементу зі списку.
Як захиститися від клікджекінгу
Зручно залишатися в соціальній мережі під час перегляду, але якщо ви це робите, вам потрібно бути обережними з клацаннями. Вам також слід звернути увагу на сайти, які ви відвідуєте, оскільки не всі вони вживають необхідних заходів для запобігання клікджекінгу. Якщо ви не впевнені щодо веб-сайту, який відвідуєте, не слід натискати будь-який підозрілий клік, яким би спокусливим він не був.
Ще одна річ, на яку варто звернути увагу, це версія вашого браузера. Навіть якщо на сайті використовуються всі заголовки запобігання клікджекінгу, про які ми згадували раніше, не всі браузери підтримують їх усі, тому переконайтеся, що ви використовуєте останню версію, яку можете отримати, і що вона підтримує функції захисту від клікджекінгу.
Здоровий глузд є ефективним засобом самозахисту від клікджекінгу. Коли ви бачите незвичайний вміст, зокрема посилання, опубліковане другом у будь-якій соціальній мережі, перш ніж щось робити, ви повинні запитати себе, чи це той тип вмісту, який ваш друг опублікував би. Якщо ні, попередьте свого друга, що він чи вона могли стати жертвою клікджекінгу.
Остання порада: якщо ви маєте вплив або просто маєте справді велику кількість підписників чи друзів у будь-якій соціальній мережі, вам слід подвоїти свої заходи обережності та практикувати відповідальну поведінку в Інтернеті. Тому що, якщо ви станете жертвою клікджекінга, атака в кінцевому підсумку вплине на багатьох людей.