Atacs de clic: Aneu amb compte de la identificació de xarxes socials

És difícil resistir-se a fer clic a un enllaç d’oferta gratuïta per a iPhone. Però tingueu cura: el vostre clic pot ser segrestat fàcilment i els resultats poden ser desastrosos.


El clickjacking és un mètode d’atac, també conegut com Redressing Interface d’Usuari, ja que es configura disimulant (o redreçant) un enllaç amb una superposició que enganya l’usuari a fer alguna cosa diferent del que ell pensa..

La majoria dels usuaris de les xarxes socials gaudeixen de la comoditat de romandre connectats en tot moment. Els atacants podrien aprofitar aquest hàbit fàcilment per obligar els usuaris a agradar o a seguir alguna cosa sense adonar-se’n. Per fer-ho, un cibercriminal podria posar un botó temptador, per exemple, amb un text atractiu, com ara “Free iPhone – oferta de temps limitada” – a la seva pròpia pàgina web i superposar un marc invisible amb la pàgina de la xarxa social en ella. una forma que un botó “M’agrada” o “Compartir” apareix al botó gratuït de l’iPhone.

Aquest simple truc de clic pot obligar als usuaris de Facebook a agradar grups o pàgines de fans sense saber-ho.

L’escenari descrit és força innocent, en el sentit que l’única conseqüència per a la víctima és afegir-la a un grup de xarxes socials. Però amb un esforç addicional, es podria utilitzar la mateixa tècnica per determinar si un usuari està connectat al seu compte bancari i, en lloc d’agradar o compartir algun element de les xarxes socials, es pot veure obligat a fer clic en un botó que transferís fons a Un compte d’atacant, per exemple. El pitjor és que l’acció maliciosa no es pot localitzar, ja que l’usuari tenia una sessió legítima al seu compte bancari i va fer clic voluntari al botó de transferència..

Com que la majoria de tècniques de clickjacking requereixen enginyeria social, les xarxes socials es converteixen en vectors d’atac ideals.

Anem a veure com s’utilitzen.

Feu clic a Twitter

Fa uns deu anys, la xarxa social de Twitter va patir un atac massiu que va difondre ràpidament un missatge, que va portar als usuaris a fer clic en un enllaç, aprofitant la seva curiositat natural.

Els tuits amb el text “No feu clic”, seguit d’un enllaç, es van propagar ràpidament a milers de comptes de Twitter. Quan els usuaris van fer clic a l’enllaç i després a un botó aparentment innocent a la pàgina de destinació, es va enviar un tuit des dels seus comptes. Aquest tweet incloïa el text “No feu clic”, seguit de l’enllaç maliciós.

Els enginyers de Twitter van combatre l’atac del clickjacking no gaire després que s’iniciés. L’atac en si mateix va resultar inofensiu i va funcionar com una alarma que va dir els possibles riscos que comporta la iniciativa de Twitter de clic. L’enllaç maliciós va portar l’usuari a una pàgina web amb un iframe ocult. A l’interior del marc hi havia un botó invisible que va enviar el tuit maliciós des del compte de la víctima.

Clickjacking a Facebook

Els usuaris d’aplicacions mòbils de Facebook estan exposats a un error que permet als spammers publicar contingut clicable a les seves línies de temps sense el seu consentiment. L’error el va descobrir un professional de la seguretat que estava analitzant una campanya de correu brossa. L’expert va observar que molts dels seus contactes publicaven un enllaç a una pàgina amb imatges divertides. Abans d’arribar a les imatges, se’ls va demanar als usuaris que cliquessin sobre una declaració d’edat avançada.

El que no sabien era que la declaració estava sota un marc invisible.

Quan els usuaris van acceptar la declaració, van ser portats a una pàgina amb imatges divertides. Mentrestant, l’enllaç es va publicar a la línia de temps dels usuaris dels Facebook. Això va ser possible perquè el component del navegador web de l’aplicació de Facebook per a Android no és compatible amb les capçaleres de les opcions de fotograma (a continuació t’expliquem quines són) i, ​​per tant, permet la superposició de fotogrames maliciosos.

Facebook no reconeix el problema com un error perquè no té cap impacte sobre la integritat dels comptes dels usuaris. Per tant, no és segur si s’ha de solucionar.

Clickjacking a les xarxes socials menors

No es tracta només de Twitter i Facebook. Altres xarxes socials i plataformes de blocs menys populars també presenten vulnerabilitats que permeten fer clickjacking. LinkedIn, per exemple, tenia un defecte que va obrir una porta perquè els atacants enganyessin els usuaris per compartir i publicar enllaços en nom seu però sense el seu consentiment. Abans de solucionar-se, el defecte va permetre als atacants carregar la pàgina de LinkedIn ShareArticle en un marc ocult i sobreposar aquest marc a les pàgines amb enllaços o botons aparentment innocents i atractius..

Un altre cas és Tumblr, la plataforma pública de blocs web. Aquest lloc utilitza codi JavaScript per evitar el clic. Però aquest mètode de protecció es fa poc efectiu ja que les pàgines es poden aïllar en un marc HTML5 que impedeix que utilitzin codi JavaScript. Es podria utilitzar una tècnica elaborada amb cura per robar contrasenyes, combinant l’esmentat defecte amb un complement del navegador d’ajudant de contrasenyes: enganyant als usuaris perquè escrivissin un text de captcha fals, poden enviar inadvertidament les seves contrasenyes al lloc de l’atacant..

Falsificació de sol·licituds entre llocs

Una variant de l’atac de clickjacking s’anomena falsificació de sol·licituds entre llocs, o CSRF per resumir. Amb l’ajuda de l’enginyeria social, els ciberdelinqüents dirigeixen atacs de CSRF contra usuaris finals, obligant-los a executar accions no desitjades. El vector d’atac pot ser un enllaç enviat per correu electrònic o per xat.

Els atacs de CSRF no pretenen robar les dades de l’usuari perquè l’atacant no pot veure la resposta a la sol·licitud falsa. En canvi, els atacs tenen com a objectiu les sol·licituds de canvi d’estat, com ara un canvi de contrasenya o una transferència de fons. Si la víctima té privilegis administratius, l’atac pot comprometre tota una aplicació web.

Es pot emmagatzemar un atac de CSRF en llocs web vulnerables, sobretot en llocs web amb els anomenats “defectes de CSRF emmagatzemats”. Això es pot aconseguir introduint etiquetes IMG o IFRAME en camps d’entrada que més endavant es mostren en una pàgina, com ara comentaris o una pàgina de resultats de cerca..

Prevenció dels atacs d’enquadrament

Els navegadors moderns poden dir-se si es pot permetre un recurs particular o no carregar-se dins d’un marc. També poden optar per carregar un recurs en un marc només quan la sol·licitud s’origina des del mateix lloc on es troba l’usuari. D’aquesta manera, als usuaris no se’ls pot enganyar fer clic en marcs invisibles amb contingut d’altres llocs i els seus clics no es segresten..

Les tècniques de mitigació per part del client s’anomenen rebombori de bastidors o matança de bastidors. Tot i que poden ser eficaços en alguns casos, també es poden obviar fàcilment. Per això, els mètodes del client no es consideren bones pràctiques. En lloc de traçar tramesos, els experts en seguretat recomanen mètodes del servidor com ara X-Frame-Options (XFO) o altres més recents, com la Política de seguretat de contingut.

Opcions X-Frame és una capçalera de resposta que els servidors web inclouen a les pàgines web per indicar si un navegador pot mostrar o no el seu contingut dins d’un marc.

La capçalera de l’opció X-Frame-Option permet tres valors.

  • DENY, que prohibeix mostrar la pàgina dins d’un marc
  • SAMEORIGIN, que permet mostrar la pàgina dins d’un marc, sempre que es mantingui en el mateix domini
  • ALLOW-FROM URI, que permet la visualització de la pàgina dins d’un marc però només en un URI especificat (Identificador uniforme de recursos), per exemple, només dins d’una pàgina web específica en concret.

Els mètodes anti-clickjacking més recents inclouen la Política de seguretat de contingut (CSP) amb la directiva frame-ancestres. Aquesta opció s’està utilitzant àmpliament en la substitució de XFO. Un dels avantatges principals de CSP en comparació amb XFO és que permet que un servidor web autoritzi diversos dominis per emmarcar el seu contingut. Tot i això, encara no és compatible amb tots els navegadors.

La directiva avantpassats de CSP admet tres tipus de valors: “Cap” per evitar que cap domini mostri el contingut; “Jo” només permetre que el lloc actual mostri el contingut en un marc o una llista d’URL amb comodins, com ara “* .some site.com,” “https://www.example.com/index.html,”, Etc., només permetre emmarcar en qualsevol pàgina que coincideixi amb un element de la llista.

Com protegir-se contra el clic

És convenient mantenir-se connectat a una xarxa social mentre navegueu, però, si ho feu, heu de ser prudents amb els vostres clics. També heu de prestar atenció als llocs que visiteu, ja que no tots adopten les mesures necessàries per evitar el clic. En cas que no esteu segurs sobre un lloc web que esteu visitant, no haureu de fer clic sobre cap clic sospitós, per molt que sigui temptador..

Una altra cosa a prestar atenció és la versió del vostre navegador. Fins i tot si un lloc utilitza totes les capçaleres de prevenció del clickjacking que hem esmentat anteriorment, no tots els navegadors són compatibles amb totes elles, així que assegureu-vos d’utilitzar la versió més recent que podeu obtenir i que admet funcions anti-clickjacking..

El sentit comú és un dispositiu d’autoprotecció eficaç contra el clickjacking. Quan veieu contingut inusual, inclòs un enllaç publicat per un amic en qualsevol xarxa social, abans de fer res, us heu de preguntar si aquest és el tipus de contingut que publicaria el vostre amic. Si no és així, heu d’advertir al vostre amic que ell o ella podrien haver estat víctima del clickjacking.

Un últim consell: si sou un influencer o només teniu un gran nombre de seguidors o amics en qualsevol xarxa social, heu de duplicar les vostres precaucions i practicar un comportament responsable en línia. Perquè si es converteix en una víctima de clic, l’atac acabarà afectant molta gent.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map