Uzmanieties no sociālā tīkla identifikācijas

Ir grūti pretoties noklikšķināšanai uz bezmaksas iPhone piedāvājuma saites. Taču esiet piesardzīgs: jūsu klikšķi var viegli nolaupīt, un rezultāti var būt postoši.

Klikšķu uzlaupīšana ir uzbrukuma metode, kas pazīstama arī kā lietotāja interfeisa labošana, jo tā tiek iestatīta, maskējot (vai pārveidojot) saiti ar pārklājumu, kas mudina lietotāju izdarīt kaut ko citu, nekā viņš domā.

Lielākajai daļai sociālo tīklu lietotāju vienmēr ir ērti piekļūt tiem. Uzbrucēji varētu viegli izmantot šo ieradumu, lai piespiestu lietotājus kaut kam patīk vai tam sekot, nemanot. Lai to izdarītu, kibernoziedznieks savā tīmekļa lapā var ievietot kārdinošu pogu, piemēram, ar pievilcīgu tekstu, piemēram, “Bezmaksas iPhone – ierobežota laika piedāvājums” un tajā ievietot neredzamu rāmi ar sociālā tīkla lapu. veids, kā poga “Patīk” vai “Kopīgot” atrodas virs pogas Bezmaksas iPhone.

Šis vienkāršais klikšķu uzlaušanas triks var piespiest Facebook lietotājus, nezinot, patīk grupām vai fanu lapām.

Aprakstītais scenārijs ir diezgan nevainīgs tādā ziņā, ka vienīgās sekas cietušajam ir pievienošanās kādai sociālā tīkla grupai. Taču, pieliekot papildu pūles, to pašu paņēmienu varētu izmantot, lai noteiktu, vai lietotājs ir pieteicies savā bankas kontā, un tā vietā, lai atzīmētu ar Patīk vai kopīgotu kādu sociālo mediju vienumu, viņš vai viņa varētu būt spiests noklikšķināt uz pogas, kas pārskaita līdzekļus uz piemēram, uzbrucēja konts. Sliktākais ir tas, ka ļaunprātīgo darbību nevar izsekot, jo lietotājs bija likumīgi pieteicies savā bankas kontā un brīvprātīgi noklikšķināja uz pārskaitījuma pogas.

Tā kā lielākajai daļai klikšķu uzlaušanas paņēmienu ir nepieciešama sociālā inženierija, sociālie tīkli kļūst par ideāliem uzbrukuma vektoriem.

Apskatīsim, kā tie tiek izmantoti.

Klikšķu uzlaupīšana pakalpojumā Twitter

Pirms aptuveni desmit gadiem sociālais tīkls Twitter cieta masveida uzbrukumu, kas ātri izplatīja ziņojumu, kura rezultātā lietotāji, izmantojot savu dabisko zinātkāri, noklikšķināja uz saites.

Tvīti ar tekstu “Neklikšķiniet”, kam seko saite, ātri izplatījās tūkstošiem Twitter kontu. Kad lietotāji noklikšķināja uz saites un pēc tam uz šķietami nevainīgas pogas mērķa lapā, no viņu kontiem tika nosūtīts tvīts. Šajā tvītā bija teksts “Neklikšķiniet”, kam sekoja ļaunprātīga saite.

  Apgūstiet jaunas prasmes 2022. gadā, izmantojot šīs lietotnes

Twitter inženieri aizlāpa klikšķu uzlaušanas uzbrukumu neilgi pēc tā sākuma. Pats uzbrukums izrādījās nekaitīgs, un tas darbojās kā trauksmes signāls, informējot par iespējamiem riskiem, kas saistīti ar Twitter klikšķu uzlaušanas iniciatīvām. Ļaunprātīgā saite novirzīja lietotāju uz tīmekļa lapu ar slēptu iframe. Rāmja iekšpusē bija neredzama poga, kas nosūtīja ļaunprātīgu tvītu no upura konta.

Klikšķu uzlaupīšana pakalpojumā Facebook

Mobilās Facebook lietotnes lietotāji ir pakļauti kļūdai, kas ļauj surogātpasta izplatītājiem bez viņu piekrišanas publicēt noklikšķināmu saturu savās laika skalās. Kļūdu atklāja drošības speciālists, kurš analizēja surogātpasta kampaņu. Eksperts novēroja, ka daudzi viņa kontakti publicēja saiti uz lapu ar smieklīgiem attēliem. Pirms bildēm lietotājiem tika lūgts noklikšķināt uz deklarācijas par pilngadību.

Viņi nezināja, ka deklarācija bija zem neredzama rāmja.

Kad lietotāji pieņēma deklarāciju, viņi tika novirzīti uz lapu ar smieklīgiem attēliem. Bet tikmēr saite tika publicēta lietotāju Facebook laika skalā. Tas bija iespējams, jo tīmekļa pārlūkprogrammas komponents Facebook lietotnē Android ierīcēm nav saderīgs ar rāmja opciju galvenēm (tālāk mēs izskaidrojam, kas tās ir), un tāpēc tas pieļauj ļaunprātīgu kadru pārklājumu.

Facebook neatzīst šo problēmu kā kļūdu, jo tā neietekmē lietotāju kontu integritāti. Tāpēc nav skaidrs, vai tas kādreiz tiks labots.

Clickjacking mazākajos sociālajos tīklos

Tas nav tikai Twitter un Facebook. Arī citos mazāk populāros sociālajos tīklos un emuāru rakstīšanas platformās ir ievainojamības, kas ļauj veikt klikšķu uzlaupīšanu. Piemēram, LinkedIn bija trūkums, kas pavēra durvis uzbrucējiem, lai viņi varētu krāpt lietotājus kopīgot un publicēt saites viņu vārdā, bet bez viņu piekrišanas. Pirms kļūda tika novērsta, uzbrucēji varēja ielādēt LinkedIn ShareArticle lapu slēptā rāmī un pārklāt šo rāmi lapās ar šķietami nevainīgām un pievilcīgām saitēm vai pogām.

Vēl viens gadījums ir Tumblr, publiskā tīmekļa emuāru veidošanas platforma. Šī vietne izmanto JavaScript kodu, lai novērstu klikšķu uzlaupīšanu. Taču šī aizsardzības metode kļūst neefektīva, jo lapas var izolēt HTML5 rāmī, kas neļauj tām palaist JavaScript kodu. Paroļu nozagšanai var izmantot rūpīgi izstrādātu paņēmienu, apvienojot minēto trūkumu ar paroļu palīga pārlūkprogrammas spraudni: mānoties lietotājiem ievadīt nepatiesu captcha tekstu, viņi var netīšām nosūtīt savas paroles uzbrucēja vietnei.

  CI/CD mērogošana un optimizēšana

Pārrobežu pieprasījuma viltošana

Viens klikšķu uzlaušanas uzbrukuma variants tiek saukts par starpvietņu pieprasījumu viltošanu vai saīsināti CSRF. Ar sociālās inženierijas palīdzību kibernoziedznieki vērš CSRF uzbrukumus galalietotājiem, liekot tiem veikt nevēlamas darbības. Uzbrukuma vektors var būt saite, kas nosūtīta pa e-pastu vai tērzēšanu.

CSRF uzbrukumu mērķis nav nozagt lietotāja datus, jo uzbrucējs nevar redzēt atbildi uz viltus pieprasījumu. Tā vietā uzbrukumi ir vērsti uz stāvokļa maiņas pieprasījumiem, piemēram, paroles maiņu vai līdzekļu pārskaitījumu. Ja upurim ir administratīvās tiesības, uzbrukums var apdraudēt visu tīmekļa lietojumprogrammu.

CSRF uzbrukumu var saglabāt neaizsargātās vietnēs, jo īpaši vietnēs ar tā sauktajiem “saglabātajiem CSRF trūkumiem”. To var paveikt, ievadot IMG vai IFRAME tagus ievades laukos, kas vēlāk tiek parādīti lapā, piemēram, komentāros vai meklēšanas rezultātu lapā.

Kadrēšanas uzbrukumu novēršana

Mūsdienu pārlūkprogrammas var pateikt, vai konkrēts resurss ir atļauts vai nav ielādēts kadrā. Viņi arī var izvēlēties ielādēt resursu rāmī tikai tad, ja pieprasījums nāk no tās pašas vietnes, kurā atrodas lietotājs. Tādā veidā lietotājus nevar pievilt, lai viņi noklikšķinātu uz neredzamiem rāmjiem ar citu vietņu saturu, un viņu klikšķi netiek nolaupīti.

Klienta puses ietekmes mazināšanas paņēmienus sauc par kadru sadalīšanu vai kadru nogalināšanu. Lai gan dažos gadījumos tie var būt efektīvi, tos var arī viegli apiet. Tāpēc klienta puses metodes netiek uzskatītas par labāko praksi. Kadru izjaukšanas vietā drošības eksperti iesaka servera puses metodes, piemēram, X-Frame-Options (XFO) vai jaunākas metodes, piemēram, satura drošības politiku.

X-Frame-Options ir atbildes galvene, ko tīmekļa serveri iekļauj tīmekļa lapās, lai norādītu, vai pārlūkprogrammai ir vai nav atļauts rādīt tā saturu rāmī.

X-Frame-Option galvene pieļauj trīs vērtības.

  • DENY, kas aizliedz parādīt lapu rāmī
  • SAMEORIGIN, kas ļauj parādīt lapu rāmī, ja vien tā paliek tajā pašā domēnā
  • ALLOW-FROM URI, kas ļauj parādīt lapu rāmī, bet tikai noteiktā URI (vienotā resursu identifikatorā), piemēram, tikai noteiktā, konkrētā tīmekļa lapā.
  12 virtuālā biroja risinājumi, ko izmantot jūsu uzņēmumam

Jaunākās pretklikšķu uzlaušanas metodes ietver satura drošības politiku (CSP) ar kadru priekšteču direktīvu. Šī opcija tiek plaši izmantota XFO aizstāšanai. Viens no galvenajiem CSP ieguvumiem salīdzinājumā ar XFO ir tas, ka tas ļauj tīmekļa serverim autorizēt vairākus domēnus tā satura ierāmēšanai. Tomēr tas vēl netiek atbalstīts visās pārlūkprogrammās.

CSP ietvaru priekšteču direktīva pieļauj trīs veidu vērtības: ‘none’, lai neļautu nevienam domēnam rādīt saturu; „self”, lai ļautu pašreizējai vietnei rādīt saturu tikai rāmī vai URL sarakstā ar aizstājējzīmēm, piemēram, „*.some site.com”, „https://www.example.com/index.html,” utt., lai atļautu ierāmēšanu tikai jebkurā lapā, kas atbilst elementam no saraksta.

Kā pasargāt sevi no klikšķu uzlaušanas

Pārlūkošanas laikā ir ērti palikt reģistrētam sociālajā tīklā, taču, ja to darāt, jums jābūt uzmanīgiem ar klikšķiem. Jums vajadzētu pievērst uzmanību arī apmeklētajām vietnēm, jo ​​ne visas no tām veic nepieciešamos pasākumus, lai novērstu klikšķu uzlaupīšanu. Ja neesat pārliecināts par kādu vietni, kuru apmeklējat, jums nevajadzētu klikšķināt uz aizdomīga klikšķa, lai cik vilinoši tas arī būtu.

Vēl viena lieta, kurai jāpievērš uzmanība, ir jūsu pārlūkprogrammas versija. Pat ja vietne izmanto visas iepriekš minētās klikšķu uzlaušanas novēršanas galvenes, ne visas pārlūkprogrammas atbalsta tās visas, tāpēc noteikti izmantojiet jaunāko versiju, ko varat iegūt un ka tā atbalsta klikšķu uzlaušanas novēršanas funkcijas.

Veselais saprāts ir efektīva pašaizsardzības ierīce pret klikšķiem. Kad redzat neparastu saturu, tostarp saiti, ko draugs ievietojis jebkurā sociālajā tīklā, pirms kaut ko darāt, pajautājiet sev, vai jūsu draugs publicētu šāda veida saturu. Ja nē, jums vajadzētu brīdināt savu draugu, ka viņš vai viņa varētu kļūt par klikšķu uzlaušanas upuri.

Pēdējais padoms: ja esat ietekmētājs vai jums vienkārši ir ļoti daudz sekotāju vai draugu jebkurā sociālajā tīklā, jums vajadzētu dubultot savus piesardzības pasākumus un praktizēt atbildīgu uzvedību tiešsaistē. Jo, ja jūs kļūstat par klikšķu laupīšanas upuri, uzbrukums ietekmēs daudzus cilvēkus.