Je těžké odolat kliknutí na bezplatný odkaz s nabídkou iPhone. Ale buďte opatrní: vaše kliknutí může být snadno uneseno a výsledky mohou být katastrofální.
Clickjacking je metoda útoku, známá také jako User Interface Redressing, protože je nastavena zamaskováním (nebo opravou) odkazu překryvnou vrstvou, která uživatele přiměje udělat něco jiného, než si myslí.
Většina uživatelů sociálních sítí si užívá toho pohodlí, že jsou k nim neustále přihlášeni. Útočníci by tohoto zvyku mohli snadno využít a donutit uživatele, aby něco lajkovali nebo sledovali, aniž by si toho všimli. Za tímto účelem by kyberzločinec mohl na svou vlastní webovou stránku umístit lákavé tlačítko – například s lákavým textem, jako je „iPhone zdarma – časově omezená nabídka“, a překrýt v něm neviditelný rám stránkou sociální sítě, např. způsob, jakým se tlačítko „To se mi líbí“ nebo „Sdílet“ nachází nad tlačítkem iPhone zdarma.
Tento jednoduchý clickjacking trik může donutit uživatele Facebooku, aby lajkovali skupiny nebo fanouškovské stránky, aniž by o tom věděli.
Popsaný scénář je docela nevinný v tom smyslu, že jediným důsledkem pro oběť je přidání do skupiny na sociální síti. S trochou většího úsilí by však stejnou techniku bylo možné použít k určení, zda je uživatel přihlášen ke svému bankovnímu účtu, a místo toho, aby označil nějakou položku na sociálních sítích nebo ji sdílel, mohl by být nucen kliknout na tlačítko, které převede prostředky na například účet útočníka. Nejhorší na tom je, že škodlivou akci nelze vysledovat, protože uživatel byl legitimně přihlášen ke svému bankovnímu účtu a dobrovolně klikl na tlačítko převodu.
Protože většina technik clickjackingu vyžaduje sociální inženýrství, sociální sítě se stávají ideálními vektory útoků.
Podívejme se, jak se používají.
Table of Contents
Clickjacking na Twitteru
Zhruba před deseti lety utrpěla sociální síť Twitter masivní útok, který rychle rozšířil zprávu, která přiměla uživatele kliknout na odkaz a využít tak své přirozené zvědavosti.
Tweety s textem „Neklikat“ následovaným odkazem se rychle rozšířily na tisíce účtů na Twitteru. Když uživatelé klikli na odkaz a poté na zdánlivě nevinné tlačítko na cílové stránce, byl z jejich účtů odeslán tweet. Tento tweet obsahoval text „Neklikat“ následovaný škodlivým odkazem.
Inženýři Twitteru opravili útok clickjacking krátce poté, co začal. Samotný útok se ukázal jako neškodný a fungoval jako alarm informující o potenciálních rizicích spojených s iniciativami Twitter clickjacking. Škodlivý odkaz přesměroval uživatele na webovou stránku se skrytým rámcem iframe. Uvnitř rámu bylo neviditelné tlačítko, které odeslalo škodlivý tweet z účtu oběti.
Clickjacking na Facebooku
Uživatelé mobilní aplikace Facebook jsou vystaveni chybě, která umožňuje odesílatelům spamu zveřejňovat na jejich časové ose obsah, na který lze kliknout, bez jejich souhlasu. Chybu objevil bezpečnostní profesionál, který analyzoval spamovou kampaň. Expert si všiml, že mnoho z jeho kontaktů publikovalo odkaz na stránku s vtipnými obrázky. Než se uživatelé dostali k obrázkům, byli požádáni, aby klikli na prohlášení o plnoletosti.
Co nevěděli, bylo, že prohlášení bylo pod neviditelným rámem.
Když uživatelé prohlášení přijali, byli přesměrováni na stránku s vtipnými obrázky. Ale mezitím byl odkaz zveřejněn na časové ose uživatelů Facebooku. Bylo to možné, protože komponenta webového prohlížeče v aplikaci Facebook pro Android není kompatibilní s hlavičkami možností rámce (níže vysvětlíme, co to je), a proto umožňuje škodlivé překrývání rámců.
Facebook nerozpozná problém jako chybu, protože nemá žádný dopad na integritu účtů uživatelů. Není tedy jisté, zda se to někdy opraví.
Clickjacking na menších sociálních sítích
Není to jen Twitter a Facebook. Další méně oblíbené sociální sítě a blogovací platformy mají také zranitelnosti, které umožňují clickjacking. LinkedIn například měl chybu, která útočníkům otevřela dveře k tomu, aby přiměli uživatele ke sdílení a zveřejňování odkazů jejich jménem, ale bez jejich souhlasu. Než byla chyba opravena, umožnila útočníkům načíst stránku LinkedIn ShareArticle do skrytého rámce a překrýt tento rámec na stránky se zdánlivě nevinnými a přitažlivými odkazy nebo tlačítky.
Dalším případem je Tumblr, veřejná platforma pro webové blogy. Tato stránka používá kód JavaScript, aby se zabránilo clickjackingu. Tato metoda ochrany se však stává neúčinnou, protože stránky lze izolovat v rámci HTML5, který jim brání spouštět kód JavaScript. Ke krádeži hesel by se dala použít pečlivě vytvořená technika, která kombinuje zmíněnou chybu s pluginem prohlížeče pomocníka s heslem: oklamáním uživatelů, aby zadali falešný text captcha, mohou nechtěně poslat svá hesla na stránky útočníka.
Falšování požadavků napříč weby
Jedna varianta clickjackingového útoku se nazývá Cross-site request forgery, zkráceně CSRF. S pomocí sociálního inženýrství kyberzločinci zaměřují CSRF útoky proti koncovým uživatelům a nutí je provádět nechtěné akce. Vektor útoku může být odkaz zaslaný prostřednictvím e-mailu nebo chatu.
Útoky CSRF nemají v úmyslu ukrást data uživatele, protože útočník nevidí odpověď na falešný požadavek. Místo toho se útoky zaměřují na požadavky na změnu stavu, jako je změna hesla nebo převod prostředků. Pokud má oběť oprávnění správce, má útok potenciál ohrozit celou webovou aplikaci.
Útok CSRF může být uložen na zranitelných webech, zejména na webech s takzvanými „uloženými chybami CSRF“. Toho lze dosáhnout zadáním značek IMG nebo IFRAME do vstupních polí, která se později zobrazí na stránce, jako jsou komentáře nebo stránka s výsledky vyhledávání.
Předcházení útokům rámování
Moderním prohlížečům lze říci, zda je určitý zdroj v rámci rámce povolen nebo nikoli. Mohou se také rozhodnout načíst zdroj do rámce pouze v případě, že požadavek pochází ze stejného webu, na kterém se uživatel nachází. Tímto způsobem nelze uživatele oklamat, aby klikali na neviditelné rámečky s obsahem z jiných stránek, a jejich kliknutí nebudou unesena.
Techniky zmírnění na straně klienta se nazývají frame busting nebo frame killing. I když mohou být v některých případech účinné, lze je také snadno obejít. To je důvod, proč metody na straně klienta nejsou považovány za osvědčené postupy. Namísto vylučování rámců doporučují bezpečnostní experti metody na straně serveru, jako je X-Frame-Options (XFO) nebo novější, jako je Content Security Policy.
X-Frame-Options je hlavička odezvy, kterou webové servery vkládají na webové stránky, aby indikovala, zda prohlížeč smí či nemá zobrazovat svůj obsah uvnitř rámce.
Záhlaví X-Frame-Option umožňuje tři hodnoty.
- DENY, který zakazuje zobrazit stránku v rámci
- SAMEORIGIN, který umožňuje zobrazení stránky v rámci, pokud zůstane ve stejné doméně
- ALLOW-FROM URI, který umožňuje zobrazení stránky v rámci, ale pouze v určeném URI (Uniform Resource Identifier), např. pouze v rámci určité konkrétní webové stránky.
Mezi novější metody ochrany proti clickjackingu patří Content Security Policy (CSP) s direktivou frame-ancestors. Tato možnost je široce používána při náhradě XFO. Jednou z hlavních výhod CSP ve srovnání s XFO je to, že umožňuje webovému serveru autorizovat více domén k rámování jeho obsahu. Zatím však není podporován všemi prohlížeči.
Direktiva frame-ancestors CSP připouští tři typy hodnot: ‚none‘, aby se zabránilo jakékoli doméně zobrazovat obsah; ‚self‘, chcete-li aktuálnímu webu povolit pouze zobrazení obsahu v rámci nebo seznamu adres URL se zástupnými znaky, například ‚*.some site.com,‘ ‚https://www.example.com/index.html,‘ atd., abyste povolili rámování pouze na jakékoli stránce, která odpovídá prvku ze seznamu.
Jak se chránit proti clickjackingu
Při procházení webu je pohodlné zůstat přihlášeni k sociální síti, ale pokud tak učiníte, musíte být opatrní při kliknutí. Měli byste také věnovat pozornost webům, které navštěvujete, protože ne všechny přijímají nezbytná opatření, aby zabránily clickjackingu. V případě, že si nejste jisti webovou stránkou, kterou navštěvujete, neměli byste klikat na žádné podezřelé kliknutí, bez ohledu na to, jak lákavé by mohlo být.
Další věc, které je třeba věnovat pozornost, je verze vašeho prohlížeče. I když web používá všechny hlavičky prevence clickjackingu, které jsme zmínili dříve, ne všechny prohlížeče je všechny podporují, takže se ujistěte, že používáte nejnovější verzi, kterou můžete získat, a že podporuje funkce proti clickjackingu.
Zdravý rozum je účinný prostředek sebeobrany proti clickjackingu. Když uvidíte neobvyklý obsah, včetně odkazu zveřejněného přítelem na jakékoli sociální síti, než cokoli uděláte, měli byste se sami sebe zeptat, zda je to typ obsahu, který by váš přítel zveřejnil. Pokud ne, měli byste svého přítele upozornit, že se mohl stát obětí clickjackingu.
Jedna rada na závěr: pokud jste influencer nebo máte na jakékoli sociální síti opravdu velký počet sledujících či přátel, měli byste zdvojnásobit svá preventivní opatření a praktikovat zodpovědné chování online. Protože pokud se stanete obětí clickjackingu, útok nakonec ovlivní spoustu lidí.