Det er svært at modstå at klikke på et gratis iPhone-tilbudslink. Men vær forsigtig: dit klik kan nemt blive kapret, og resultaterne kan være katastrofale.
Clickjacking er en angrebsmetode, også kendt som User Interface Redressing, fordi den er sat op ved at skjule (eller rette op på) et link med et overlay, der narrer brugeren til at gøre noget andet, end han eller hun tror.
De fleste brugere af sociale netværk nyder bekvemmeligheden ved at være logget på dem hele tiden. Angribere kunne nemt drage fordel af denne vane til at tvinge brugere til at like eller følge noget uden at bemærke det. For at gøre dette kunne en cyberkriminel lægge en fristende knap – for eksempel med en tiltalende tekst, såsom “Gratis iPhone – tidsbegrænset tilbud” – på sin egen webside og overlejre en usynlig ramme med det sociale netværks side i, i f.eks. en måde, hvorpå en “Synes godt om” eller “Del”-knap ligger over knappen Gratis iPhone.
Dette simple clickjacking-trick kan tvinge Facebook-brugere til at like grupper eller fansider uden at vide det.
Det beskrevne scenarie er ret uskyldigt i den forstand, at den eneste konsekvens for offeret er at blive tilføjet en social netværksgruppe. Men med en vis ekstra indsats kunne den samme teknik bruges til at afgøre, om en bruger er logget på sin bankkonto, og i stedet for at like eller dele et element på sociale medier, kan han eller hun blive tvunget til at klikke på en knap, der overfører penge til en angribers konto, for eksempel. Det værste er, at den ondsindede handling ikke kan spores, fordi brugeren var legitimt logget på sin bankkonto, og han eller hun frivilligt klikkede på overførselsknappen.
Fordi de fleste clickjacking-teknikker kræver social engineering, bliver sociale netværk ideelle angrebsvektorer.
Lad os se, hvordan de bruges.
Indholdsfortegnelse
Clickjacking på Twitter
For omkring ti år siden led det sociale netværk Twitter et massivt angreb, der hurtigt spredte en besked, som fik brugerne til at klikke på et link og udnytte deres naturlige nysgerrighed.
Tweets med teksten “Klik ikke”, efterfulgt af et link, spredte sig hurtigt på tværs af tusindvis af Twitter-konti. Når brugere klikkede på linket og derefter på en tilsyneladende uskyldig knap på målsiden, blev der sendt et tweet fra deres konti. Det tweet indeholdt teksten “Klik ikke”, efterfulgt af det ondsindede link.
Twitter-ingeniører lappede clickjacking-angrebet ikke længe efter, at det startede. Selve angrebet viste sig at være harmløst, og det fungerede som en alarm, der fortalte de potentielle risici, der var involveret i Twitters clickjacking-initiativer. Det ondsindede link førte brugeren til en webside med en skjult iframe. Inde i rammen var en usynlig knap, der sendte det ondsindede tweet fra ofrets konto.
Clickjacking på Facebook
Mobile Facebook-appbrugere udsættes for en fejl, der lader spammere sende klikbart indhold på deres tidslinjer uden deres samtykke. Fejlen blev opdaget af en sikkerhedsprofessionel, der analyserede en spamkampagne. Eksperten observerede, at mange af hans kontakter udgav et link til en side med sjove billeder. Før de nåede billederne, blev brugerne bedt om at klikke på en erklæring om myndighed.
Hvad de ikke vidste var, at erklæringen var under en usynlig ramme.
Da brugerne accepterede erklæringen, blev de ført til en side med sjove billeder. Men i mellemtiden blev linket offentliggjort i brugernes Facebook-tidslinje. Det var muligt, fordi webbrowserkomponenten i Facebook-appen til Android ikke er kompatibel med rammeindstillingernes overskrifter (nedenfor forklarer vi, hvad de er), og derfor giver mulighed for ondsindet rammeoverlejring.
Facebook genkender ikke problemet som en fejl, fordi det ikke har nogen indflydelse på brugernes kontiintegritet. Så det er usikkert, om det nogensinde bliver rettet.
Clickjacking på mindre sociale netværk
Det er ikke kun Twitter og Facebook. Andre mindre populære sociale netværk og blogplatforme har også sårbarheder, der giver mulighed for clickjacking. LinkedIn, for eksempel, havde en fejl, der åbnede en dør for angribere til at narre brugere til at dele og poste links på deres vegne, men uden deres samtykke. Før den blev rettet, tillod fejlen angribere at indlæse LinkedIn ShareArticle-siden på en skjult ramme og overlejre denne ramme på sider med tilsyneladende uskyldige og tiltalende links eller knapper.
En anden sag er Tumblr, den offentlige web-blogplatform. Dette websted bruger JavaScript-kode til at forhindre clickjacking. Men denne beskyttelsesmetode bliver ineffektiv, da siderne kan isoleres i en HTML5-ramme, der forhindrer dem i at køre JavaScript-kode. En omhyggeligt udformet teknik kunne bruges til at stjæle adgangskoder ved at kombinere den nævnte fejl med et kodeordshjælper-browserplugin: ved at narre brugere til at indtaste en falsk captcha-tekst, kan de utilsigtet sende deres adgangskoder til angriberens websted.
Forfalskning af anmodninger på tværs af websteder
En variant af clickjacking-angreb kaldes Cross-site request forgery, eller kort sagt CSRF. Ved hjælp af social engineering retter cyberkriminelle CSRF-angreb mod slutbrugere, hvilket tvinger dem til at udføre uønskede handlinger. Angrebsvektoren kan være et link sendt via e-mail eller chat.
CSRF-angreb har ikke til hensigt at stjæle brugerens data, fordi angriberen ikke kan se svaret på den falske anmodning. I stedet er angrebene rettet mod tilstandsændrende anmodninger, såsom en adgangskodeændring eller en pengeoverførsel. Hvis offeret har administrative rettigheder, har angrebet potentiale til at kompromittere en hel webapplikation.
Et CSRF-angreb kan lagres på sårbare websteder, især websteder med såkaldte “lagrede CSRF-fejl”. Dette kan opnås ved at indtaste IMG- eller IFRAME-tags i inputfelter, der senere vises på en side, såsom kommentarer eller en søgeresultatside.
Forebyggelse af rammeangreb
Moderne browsere kan fortælles, om en bestemt ressource er tilladt eller ikke at indlæse inden for en ramme. De kan også vælge kun at indlæse en ressource i en ramme, når anmodningen stammer fra det samme sted, som brugeren er på. På denne måde kan brugere ikke narre til at klikke på usynlige rammer med indhold fra andre websteder, og deres klik bliver ikke kapret.
Klient-side afbødningsteknikker kaldes frame busting eller frame killing. Selvom de i nogle tilfælde kan være effektive, kan de også let omgås. Det er grunden til, at metoder på klientsiden ikke betragtes som bedste praksis. I stedet for frame busting anbefaler sikkerhedseksperter server-side metoder såsom X-Frame-Options (XFO) eller nyere, såsom Content Security Policy.
X-Frame-Options er en svarheader, som webservere inkluderer på websider for at angive, om en browser har tilladelse til at vise indholdet i en ramme.
X-Frame-Option-headeren tillader tre værdier.
- DENY, som forbyder at vise siden inden for en ramme
- SAMEORIGIN, som tillader visning af siden inden for en ramme, så længe den forbliver i samme domæne
- ALLOW-FROM URI, som tillader visning af siden inden for en ramme, men kun i en specificeret URI (Uniform Resource Identifier), f.eks. kun inden for en bestemt, specifik webside.
Nyere anti-clickjacking-metoder omfatter Content Security Policy (CSP) med frame-ancestors-direktivet. Denne mulighed bliver meget brugt til at erstatte XFO. En stor fordel ved CSP i forhold til XFO er, at det giver en webserver mulighed for at autorisere flere domæner til at ramme sit indhold. Det er dog endnu ikke understøttet af alle browsere.
CSP’s frame-ancestors-direktiv tillader tre typer værdier: ‘ingen’, for at forhindre ethvert domæne i at vise indholdet; ‘self’, for kun at tillade det aktuelle websted at vise indholdet i en ramme eller en liste over URL’er med jokertegn, såsom ‘*.some site.com,’ ‘https://www.example.com/index.html,’ osv., for kun at tillade indramning på enhver side, der matcher et element fra listen.
Sådan beskytter du dig selv mod clickjacking
Det er praktisk at forblive logget på et socialt netværk, mens du surfer rundt, men hvis du gør det, skal du være forsigtig med dine klik. Du bør også være opmærksom på de websteder, du besøger, fordi ikke alle tager de nødvendige foranstaltninger for at forhindre clickjacking. Hvis du ikke er sikker på et websted, du besøger, bør du ikke klikke på et mistænkeligt klik, uanset hvor fristende det kunne være.
En anden ting at være opmærksom på er din browserversion. Selvom et websted bruger alle de headere til forebyggelse af clickjacking, vi nævnte før, understøtter ikke alle browsere dem alle, så sørg for at bruge den nyeste version, du kan få, og at den understøtter anti-clickjacking-funktioner.
Sund fornuft er en effektiv selvbeskyttelsesanordning mod clickjacking. Når du ser usædvanligt indhold, inklusive et link, som en ven har lagt ud på et socialt netværk, før du gør noget, bør du spørge dig selv, om det er den type indhold, din ven ville udgive. Hvis ikke, bør du advare din ven om, at han eller hun kunne være blevet offer for clickjacking.
Et sidste råd: Hvis du er en influencer, eller du bare har et rigtig stort antal følgere eller venner på et socialt netværk, bør du fordoble dine forholdsregler og praktisere en ansvarlig adfærd online. For hvis du bliver et clickjacking-offer, ender angrebet med at ramme en hel masse mennesker.