Тешко је одолети кликању на везу бесплатне понуде за иПхоне. Али будите опрезни: ваш клик може бити лако отети, а резултати могу бити катастрофални.
Цлицкјацкинг је метода напада, позната и као Редрессинг корисничког интерфејса, јер се поставља тако што се прикрива (или преправља) линк са преклапањем који обмањује корисника да уради нешто другачије него што он или она мисли.
Већина корисника друштвених мрежа ужива у погодностима да остану пријављени у сваком тренутку. Нападачи би лако могли да искористе ову навику да приморају кориснике да лајкују или прате нешто а да то не примете. Да би то урадио, сајбер криминалац би могао да стави примамљиво дугме – на пример, са привлачним текстом, као што је „Бесплатан иПхоне – ограничена временска понуда“ – на сопствену веб страницу и преклопи невидљиви оквир са страницом друштвене мреже у њему, у таквој начин на који дугме „Свиђа ми се“ или „Дели“ поставља преко дугмета за бесплатни иПхоне.
Овај једноставан трик за кликћење може натерати кориснике Фацебоок-а да лајкују групе или фан странице без знања.
Описани сценарио је прилично невин, у смислу да је једина последица за жртву додавање у групу на друштвеној мрежи. Али уз додатни напор, иста техника би се могла користити да се утврди да ли је корисник пријављен на свој банковни рачун и, уместо да му се свиђа или дели неку ставку на друштвеним мрежама, он или она би могли бити приморани да кликну на дугме које преноси средства на налог нападача, на пример. Најгоре је што се злонамерна радња не може ући у траг, јер је корисник легитимно пријављен на свој банковни рачун и добровољно је кликнуо на дугме за пренос.
Пошто већина техника кликања захтева друштвени инжењеринг, друштвене мреже постају идеални вектори напада.
Да видимо како се користе.
Преглед садржаја
Цлицкјацкинг на Твитеру
Пре десетак година, друштвена мрежа Твитер претрпела је масиван напад који је брзо проширио поруку, што је навело кориснике да кликну на линк, користећи своју природну радозналост.
Твитови са текстом „Не кликни“, праћен везом, брзо су се ширили на хиљаде Твиттер налога. Када су корисници кликнули на везу, а затим на наизглед невино дугме на циљној страници, са њихових налога је послат твит. Тај твит је укључивао текст „Не кликни“, праћен злонамерном везом.
Твитер инжињери су закрпили напад цлицкјацкинг недуго након што је почео. Сам напад се показао безопасним и функционисао је као аларм који говори о потенцијалним ризицима укљученим у иницијативе кликања на Твиттер-у. Злонамерна веза одвела је корисника на веб страницу са скривеним ифраме-ом. Унутар оквира је било невидљиво дугме које је слало злонамерни твит са налога жртве.
Цлицкјацкинг на Фејсбуку
Корисници мобилне Фацебоок апликације изложени су грешци која омогућава пошиљаоцима нежељене поште да постављају садржај на који се може кликнути на својим временским линијама, без њиховог пристанка. Грешку је открио стручњак за безбедност који је анализирао спам кампању. Експерт је приметио да многи од његових контаката објављују везу ка страници са смешним сликама. Пре него што су дошли до слика, од корисника је затражено да кликну на изјаву о пунолетству.
Оно што нису знали је да је декларација била под невидљивим оквиром.
Када су корисници прихватили декларацију, одведени су на страницу са смешним сликама. Али у међувремену је веза објављена у временској линији корисника на Фејсбуку. То је било могуће јер компонента веб претраживача у апликацији Фацебоок за Андроид није компатибилна са заглављима опција оквира (у наставку објашњавамо шта су), и стога омогућава злонамерно преклапање оквира.
Фацебоок не препознаје проблем као грешку јер нема утицаја на интегритет налога корисника. Тако да је неизвесно да ли ће то икада бити поправљено.
Цлицкјацкинг на мањим друштвеним мрежама
Нису само Твитер и Фејсбук. Друге мање популарне друштвене мреже и платформе за блоговање такође имају рањивости које омогућавају кликање. ЛинкедИн је, на пример, имао ману која је отворила врата нападачима да преваре кориснике да деле и постављају везе у њихово име, али без њиховог пристанка. Пре него што је исправљена, грешка је омогућила нападачима да учитају страницу ЛинкедИн СхареАртицле на скривени оквир и преложе овај оквир на странице са наизглед невиним и привлачним везама или дугмадима.
Други случај је Тумблр, јавна платформа за веб блоговање. Овај сајт користи ЈаваСцрипт код за спречавање кликања. Али овај метод заштите постаје неефикасан јер се странице могу изоловати у ХТМЛ5 оквиру који их спречава да покрећу ЈаваСцрипт код. Пажљиво израђена техника могла би да се користи за крађу лозинки, комбинујући поменуту грешку са додатком претраживача за помоћ при лозинки: преваром корисника да укуцају лажни цаптцха текст, они могу нехотице послати своје лозинке на локацију нападача.
Фалсификовање захтева на више локација
Једна варијанта цлицкјацкинг напада се зове фалсификовање захтева на више локација, или скраћено ЦСРФ. Уз помоћ друштвеног инжењеринга, сајбер криминалци усмеравају ЦСРФ нападе на крајње кориснике, приморавајући их да изврше нежељене радње. Вектор напада може бити веза послата путем е-поште или ћаскања.
ЦСРФ напади немају намеру да украду податке корисника јер нападач не може да види одговор на лажни захтев. Уместо тога, напади циљају захтеве за промену стања, попут промене лозинке или трансфера средстава. Ако жртва има административне привилегије, напад има потенцијал да компромитује целу веб апликацију.
ЦСРФ напад се може ускладиштити на рањивим веб локацијама, посебно на веб локацијама са такозваним „сачуваним ЦСРФ недостацима“. Ово се може постићи уношењем ИМГ или ИФРАМЕ ознака у поља за унос која се касније приказују на страници, као што су коментари или страница са резултатима претраге.
Спречавање напада оквира
Савременим претраживачима се може рећи да ли је одређеном ресурсу дозвољено или не да се учитава у оквиру. Они такође могу да одлуче да учитају ресурс у оквир само када захтев потиче са исте локације на којој се корисник налази. На овај начин, корисници не могу бити преварени да кликну на невидљиве оквире са садржајем са других сајтова, а њихови кликови не бивају отети.
Технике ублажавања на страни клијента називају се разбијање оквира или убијање оквира. Иако могу бити ефикасни у неким случајевима, такође се могу лако заобићи. Због тога се методе на страни клијента не сматрају најбољом праксом. Уместо разбијања оквира, стручњаци за безбедност препоручују методе на страни сервера као што су Кс-Фраме-Оптионс (КСФО) или новије, као што је Цонтент Сецурити Полици.
Кс-Фраме-Оптионс је заглавље одговора које веб сервери укључују на веб странице како би назначили да ли је претраживачу дозвољено да прикаже свој садржај унутар оквира.
Заглавље Кс-Фраме-Оптион дозвољава три вредности.
- ДЕНИ, који забрањује приказивање странице у оквиру
- САМЕОРИГИН, који омогућава приказивање странице у оквиру, све док остаје у истом домену
- АЛОВ-ФРОМ УРИ, који дозвољава приказ странице унутар оквира, али само у одређеном УРИ-ју (Униформ Ресоурце Идентифиер), нпр. само унутар одређене, специфичне веб странице.
Новије методе против кликања укључују Политику безбедности садржаја (ЦСП) са директивом о прецима оквира. Ова опција се широко користи у замени КСФО. Једна од главних предности ЦСП-а у поређењу са КСФО је то што омогућава веб серверу да овласти више домена да уоквирују свој садржај. Међутим, још увек га не подржавају сви претраживачи.
ЦСП-ова директива о прецима оквира дозвољава три типа вредности: ‘ноне’, да спречи било који домен да приказује садржај; „селф“, да би се дозволило тренутном сајту да приказује садржај само у оквиру, или листу УРЛ адреса са џокер знаковима, као што је „*.соме сите.цом,“хттпс://ввв.екампле.цом/индек.хтмл,“ итд., да бисте дозволили уоквиривање само на било којој страници која одговара елементу са листе.
Како да се заштитите од кликања
Згодно је остати пријављен на друштвену мрежу док претражујете, али ако то учините, морате бити опрезни са својим кликовима. Такође би требало да обратите пажњу на сајтове које посећујете јер не предузимају све неопходне мере да спрече кликћење. У случају да нисте сигурни у вези са веб-сајтом који посећујете, не би требало да кликнете на било који сумњив клик, без обзира колико примамљив био.
Још једна ствар на коју треба обратити пажњу је верзија вашег претраживача. Чак и ако сајт користи сва заглавља за превенцију кликања која смо раније споменули, не подржавају их сви прегледачи све, па се уверите да користите најновију верзију коју можете да набавите и да подржава функције против кликања.
Здрав разум је ефикасан уређај за самозаштиту од кликања. Када видите необичан садржај, укључујући везу коју је пријатељ објавио на било којој друштвеној мрежи, пре него што било шта урадите, запитајте се да ли је то врста садржаја коју би ваш пријатељ објавио. Ако није, требало би да упозорите свог пријатеља да би он или она могли постати жртва кликања.
Последњи савет: ако сте инфлуенсер или једноставно имате заиста велики број пратилаца или пријатеља на било којој друштвеној мрежи, требало би да удвостручите мере предострожности и практикујете одговорно понашање на мрежи. Јер ако постанете жртва кликања, напад ће на крају утицати на много људи.