Det er vanskelig å motstå å klikke på en gratis iPhone-tilbudslenke. Men vær forsiktig: klikket ditt kan enkelt kapres, og resultatene kan være katastrofale.
Clickjacking er en angrepsmetode, også kjent som User Interface Redressing, fordi den settes opp ved å skjule (eller rette opp) en kobling med et overlegg som lurer brukeren til å gjøre noe annerledes enn han eller hun tror.
De fleste brukere av sosiale nettverk nyter fordelen av å være logget på dem til enhver tid. Angripere kan lett utnytte denne vanen til å tvinge brukere til å like eller følge noe uten å merke det. For å gjøre dette kan en nettkriminell sette en fristende knapp – for eksempel med en tiltalende tekst, som «Gratis iPhone – tidsbegrenset tilbud» – på sin egen nettside og legge over en usynlig ramme med det sosiale nettverkets side i den, i slike en måte som en «Liker»- eller «Del»-knapp legger over Gratis iPhone-knappen.
Dette enkle clickjacking-trikset kan tvinge Facebook-brukere til å like grupper eller fansider uten å vite det.
Det beskrevne scenariet er ganske uskyldig, i den forstand at den eneste konsekvensen for offeret er å bli lagt til en sosial nettverksgruppe. Men med litt ekstra innsats, kan den samme teknikken brukes til å finne ut om en bruker er logget på bankkontoen sin, og i stedet for å like eller dele et element i sosiale medier, kan han eller hun bli tvunget til å klikke på en knapp som overfører penger til en angripers konto, for eksempel. Det verste er at den ondsinnede handlingen ikke kan spores, fordi brukeren var legitimt logget på sin bankkonto, og han eller hun klikket frivillig på overføringsknappen.
Fordi de fleste clickjacking-teknikker krever sosial ingeniørkunst, blir sosiale nettverk ideelle angrepsvektorer.
La oss se hvordan de brukes.
Innholdsfortegnelse
Clickjacking på Twitter
For omtrent ti år siden ble det sosiale nettverket Twitter utsatt for et massivt angrep som raskt spredte en melding, som førte til at brukere klikket på en lenke og utnyttet deres naturlige nysgjerrighet.
Tweets med teksten «Ikke klikk», etterfulgt av en lenke, spredte seg raskt over tusenvis av Twitter-kontoer. Når brukere klikket på lenken og deretter på en tilsynelatende uskyldig knapp på målsiden, ble det sendt en tweet fra kontoene deres. Den tweeten inkluderte teksten «Ikke klikk», etterfulgt av den ondsinnede lenken.
Twitter-ingeniører lappet clickjacking-angrepet ikke lenge etter at det startet. Selve angrepet viste seg å være ufarlig, og det fungerte som en alarm som fortalte de potensielle risikoene involvert i Twitter-klikkjacking-initiativer. Den ondsinnede koblingen tok brukeren til en nettside med en skjult iframe. Inne i rammen var det en usynlig knapp som sendte den ondsinnede tweeten fra offerets konto.
Clickjacking på Facebook
Mobile Facebook-appbrukere blir utsatt for en feil som lar spammere legge ut klikkbart innhold på tidslinjene deres, uten deres samtykke. Feilen ble oppdaget av en sikkerhetsekspert som analyserte en spamkampanje. Eksperten observerte at mange av kontaktene hans publiserte en lenke til en side med morsomme bilder. Før de kom til bildene, ble brukerne bedt om å klikke på en myndighetserklæring.
Det de ikke visste var at erklæringen var under en usynlig ramme.
Når brukere godtok erklæringen, ble de ført til en side med morsomme bilder. Men i mellomtiden ble lenken publisert i brukernes Facebook-tidslinje. Det var mulig fordi nettleserkomponenten i Facebook-appen for Android ikke er kompatibel med overskriftene for rammealternativer (nedenfor forklarer vi hva de er), og tillater derfor ondsinnet rammeoverlegg.
Facebook gjenkjenner ikke problemet som en feil fordi det ikke har noen innvirkning på brukernes kontointegritet. Så det er usikkert om det noen gang vil bli fikset.
Clickjacking på mindre sosiale nettverk
Det er ikke bare Twitter og Facebook. Andre mindre populære sosiale nettverk og bloggeplattformer har også sårbarheter som tillater clickjacking. LinkedIn, for eksempel, hadde en feil som åpnet en dør for angripere til å lure brukere til å dele og legge ut linker på deres vegne, men uten deres samtykke. Før det ble fikset, tillot feilen angripere å laste LinkedIn ShareArticle-siden på en skjult ramme, og overlappe denne rammen på sider med tilsynelatende uskyldige og tiltalende lenker eller knapper.
En annen sak er Tumblr, den offentlige nettbloggingsplattformen. Denne siden bruker JavaScript-kode for å forhindre clickjacking. Men denne beskyttelsesmetoden blir ineffektiv siden sidene kan isoleres i en HTML5-ramme som hindrer dem i å kjøre JavaScript-kode. En nøye utformet teknikk kan brukes til å stjele passord, ved å kombinere den nevnte feilen med en nettleserplugin for passordhjelp: ved å lure brukere til å skrive inn en falsk captcha-tekst, kan de utilsiktet sende passordene sine til angriperens nettsted.
Forfalskning av forespørsler på tvers av nettsteder
En variant av clickjacking-angrep kalles Cross-site request forgery, eller CSRF for kort. Ved hjelp av sosial ingeniørkunst retter nettkriminelle CSRF-angrep mot sluttbrukere, og tvinger dem til å utføre uønskede handlinger. Angrepsvektoren kan være en lenke sendt via e-post eller chat.
CSRF-angrep har ikke til hensikt å stjele brukerens data fordi angriperen ikke kan se svaret på den falske forespørselen. I stedet retter angrepene seg mot forespørsler som endrer tilstand, for eksempel en passordendring eller en pengeoverføring. Hvis offeret har administrative rettigheter, har angrepet potensial til å kompromittere en hel nettapplikasjon.
Et CSRF-angrep kan lagres på sårbare nettsteder, spesielt nettsteder med såkalte «lagrede CSRF-feil». Dette kan oppnås ved å skrive inn IMG- eller IFRAME-koder i inndatafelt som senere vises på en side, for eksempel kommentarer eller en søkeresultatside.
Forhindrer framing-angrep
Moderne nettlesere kan bli fortalt om en bestemt ressurs er tillatt eller ikke å laste innenfor en ramme. De kan også velge å laste en ressurs i en ramme bare når forespørselen stammer fra samme nettsted som brukeren er på. På denne måten kan ikke brukere bli lurt til å klikke på usynlige rammer med innhold fra andre nettsteder, og klikkene deres blir ikke kapret.
Klient-side avbøtende teknikker kalles frame busting eller frame killing. Selv om de kan være effektive i noen tilfeller, kan de også enkelt omgås. Det er grunnen til at metoder på klientsiden ikke anses som beste praksis. I stedet for rammebrudd anbefaler sikkerhetseksperter serversidemetoder som X-Frame-Options (XFO) eller nyere, som Content Security Policy.
X-Frame-Options er en svaroverskrift som nettservere inkluderer på nettsider for å indikere om en nettleser har lov til å vise innholdet i en ramme eller ikke.
X-Frame-Option-overskriften tillater tre verdier.
- DENY, som forbyr å vise siden innenfor en ramme
- SAMEORIGIN, som tillater visning av siden innenfor en ramme, så lenge den forblir i samme domene
- ALLOW-FROM URI, som tillater visning av siden innenfor en ramme, men bare i en spesifisert URI (Uniform Resource Identifier), for eksempel bare innenfor en bestemt, spesifikk nettside.
Nyere anti-clickjacking-metoder inkluderer Content Security Policy (CSP) med frame-ancestors-direktivet. Dette alternativet blir mye brukt i erstatning av XFO. En stor fordel med CSP sammenlignet med XFO er at den lar en webserver autorisere flere domener til å ramme inn innholdet. Det støttes imidlertid ikke av alle nettlesere ennå.
CSPs ramme-forfedre-direktiv tillater tre typer verdier: «ingen», for å forhindre at et domene viser innholdet; «selv», for å bare tillate at gjeldende nettsted viser innholdet i en ramme, eller en liste over nettadresser med jokertegn, for eksempel «*.some site.com,» «https://www.example.com/index.html,» osv., for bare å tillate innramming på alle sider som samsvarer med et element fra listen.
Slik beskytter du deg mot clickjacking
Det er praktisk å være logget på et sosialt nettverk mens du surfer rundt, men hvis du gjør det, må du være forsiktig med klikkene dine. Du bør også være oppmerksom på nettstedene du besøker fordi ikke alle tar de nødvendige tiltakene for å forhindre clickjacking. I tilfelle du ikke er sikker på et nettsted du besøker, bør du ikke klikke på et mistenkelig klikk, uansett hvor fristende det kan være.
En annen ting å være oppmerksom på er nettleserversjonen din. Selv om et nettsted bruker alle overskriftene for forebygging av clickjacking vi nevnte tidligere, støtter ikke alle nettlesere dem alle, så sørg for å bruke den nyeste versjonen du kan få og at den støtter anti-clickjacking-funksjoner.
Sunn fornuft er en effektiv selvbeskyttelsesenhet mot clickjacking. Når du ser uvanlig innhold, inkludert en lenke lagt ut av en venn på et sosialt nettverk, før du gjør noe, bør du spørre deg selv om det er den typen innhold vennen din vil publisere. Hvis ikke, bør du advare vennen din om at han eller hun kan ha blitt et offer for clickjacking.
Et siste råd: Hvis du er en influencer, eller du bare har et veldig stort antall følgere eller venner på et hvilket som helst sosialt nettverk, bør du doble dine forholdsregler og praktisere en ansvarlig oppførsel på nettet. For hvis du blir et clickjacking-offer, vil angrepet ende opp med å ramme en hel masse mennesker.