Hlavní navigace

Jak podfouknout uživatele clickjackingem?

 Autor: 74287
Pavel Čepský

Nalákat uživatele do svých nenasytných spárů je snem každého podvodníka na webu. Běžné scénáře se rychle okoukají, a nejen proto slaví úspěch takzvaný clickjacking. Jak funguje, jaké jsou scénáře?

Útočníci si při uspokojování svých choutek vždy musí zvolit, jestli se vydají cestou oblafnutí běžných uživatelů z řad začátečníků až středně pokročilých, nebo jestli vytasí trumfy zvěstující vítězství nad pokročilými uživateli a rozsáhlejšími či specializovanými sítěmi. Drtivá většina současných pokusů spadá do prvně jmenované kategorie, útočníkům a podvodníkům přitom zjednodušuje cestu jednak menší počítačová gramotnost vyhlédnutých anonymních obětí, jednak snazší realizace.

Jednu z klasických cest infiltrace, kterou mají s viry a dalším malwarem uživatelé spojenou, představuje doručení pochybných e-mailů nebo stahování podezřelých programů zdarma. Na druhou kolej tak neprávem odsouvají rizika, která na ně číhají při jedné z nejčastějších činností na webu, tedy hledání – ve změti stránek pak kliknou na cokoliv, co jim na první pohled nabízí lákavý obsah. Útočníci proto hledají cestičky, jak oběti nalákat, v čele s pornem, warezem a samozřejmě také světoznámými celebritami.

Uvedené pokusy však již patří mezi poměrně zprofanované a řada potenciálních obětí, které by se nechaly nachytat, již okatá lákadla rychle prohlédne. Nicméně infiltrace na základě uživatelova požadavku (i když si myslí, že provádí jinou akci) je nadále velice oblíbená, a tak se jí podvodníci a útočníci drží. Mezi inovované techniky a stále populárnější postupy nyní patří také takzvaný clickjacking, který má za sebou úspěšnou minulost a o němž jste se mohli ve stručnosti dozvědět i na nedávné konferenci Trendy v internetové bezpečnosti.

Označení clickjacking vzniklo ze spojení dvou původních anglických termínů click (kliknutí) a hijacking (únos). Právě tato slova prozrazují základní princip: uživatelovo kliknutí na nějaký prvek je zneužito k jinému účelu, než který tento uživatel očekává. Právě zde dochází k naplnění požadavku, jenž je znám například z blackhat SEO, pharmingu a podobných útoků, uživatel totiž provede na první pohled legitimní akci s vytyčeným cílem, nicméně na pozadí se odehraje úprava požadavku a provedení podvodné či útočné akce.

Podvodny mail
Podvodné e-maily dokážou uživatelé prokouknout, a proto útočníci volí méně nápadné, skrytější techniky

Facebook, ale nejen ten

Clickjacking obecně označuje výše uvedený princip, jednotlivé techniky provedení se mohou mírně odlišovat. Jedná se o zranitelnost (lze-li popisovaný koncept takto nazvat) prohlížečů a jejich zpracování jednotlivých prvků. Nejčastěji se jedná o vložení na základní úrovni skrytého a samostatně spouštěného skriptu neb o jiné části kódu, jehož kroky se provedou bez uživatelova vědomí. Na první pohled nevinné stisknutí tlačítka tak může vést k dalším akcím na pozadí.

Nejvíce zneužívaným scénářem clickjackingu je použití vrstvy s nastavenou průhledností, která se vykresluje nad potřebným grafickým objektem. Nic netušící uživatel se tak ve finále domnívá, že kliká třeba na odkaz pro zobrazení další stránky v seznamu, nicméně ve skutečnosti je kliknutí přisouzeno právě vrstvě s aktivovanou průhledností, která jej překrývá. Bez jakéhokoliv tušení tedy může právě toto kliknutí vést k vlastní podvodné akci.

Podle aktuálních varování navíc útočníci, kteří se pohybují na Facebooku, opouštějí klasický clickjacking a přesouvají se do oblasti sociálního inženýrství. Využívají uživatelů Facebooku, kteří rádi sdílejí webové odkazy. Facebook zde funguje hlavně jako cesta, jak uživatele zlákat, slibné a na první pohled velice atraktivní stránky s různým obsahem samozřejmě i nadále patří mezi velice oblíbené součásti důmyslných plánů útočníků různého zaměření. Podle AVG se v případě clickjackingu výrazně snížilo používání skriptů, které samy automaticky odesílají zprávy na uživatelovu zeď. Místo toho používají nový trik – nalákají uživatele, aby sdílel jejich link, obvykle se jedná o video.

Příkladem je manželství americké celebrity Kim Kardashian a basketbalisty Krise Humphriese, které skončilo po 72 dnech a jednalo se o téma, o kterém se v médiích nejvíce mluvilo. Podvodníci neváhali ani minutu a hned toho využili. Uživateli je nabídnuto falešné video s Kardashian a Humphriesem. V minulosti by uživatel na video kliknul a to by se s pomocí clickjackingu poslalo na jeho zeď.

Podvod Facebook
Podvody zneužívající Facebook mohou mít různé formy, uživatel musí být stále ve střehu

Obrana ze strany klienta i serveru

Speciální kategorii zneužívaného clickjackingu představuje takzvaný likejacking, který cílí na sociální sítě a snaží se přinutit uživatele, aby nevědomky „olajkoval“ vybraný odkaz. Typicky je tedy kupříkladu zobrazen falešný přehrávač videa a pomocí iframe prvku poté klepnutím kamkoliv do této oblasti uživatel nechtěně sdílí potřebný odkaz, aniž by si to přímo přál.

Základní možností obrany proti clickjackingu ze strany webových tvůrců je zamezení zobrazení stránky uvnitř rámu, k dispozici je zpracování prostřednictvím samostatného javascriptového kódu. Standardní skriptování není univerzálním řešením (třeba už jen kvůli nutnosti podpory JavaSriptu na straně klienta), útočníci byli schopni takto ručně vystavěnou bariéru obejít. Odpovídající kód můžete nalézt pod označením framekiller.

Kromě uvedené základní obrany je možné využít také ochranu v rámci HTTP protokolu, kterou můžete nalézt pod označením X-Frame Options. Pomocí této speciální hlavičky je možné specifikovat, zda některá stránka může být vložena do rámce, původně ji navrhl Microsoft, nicméně postupně se (i díky menší spolehlivosti framekilleru) dočkala podpory také v dalších webových prohlížečích. V této hlavičce mohou tvůrci stránek využít dvou hodnot, a to SAMEASORIGIN, resp. DENY. Prvně zmíněná zaručí, že do rámce je možné vkládat pouze stránky ze stejné domény, druhá pak vkládání blokuje kompletně.

Mezi nejčastěji využívané obrany na straně klienta, tedy bez nutnosti spolupráce a definice dodatečných hodnot serverem, patří v případě fanoušků prohlížeče Firefox doplněk NoScript. Díky modulu ClearClick porovná nabízený a požadovaný obsah a v případě podezření je uživatel upozorněn. Clickjacking se však i do budoucna bude těšit stoupající popularitě, jelikož jeho rozpoznání koncovým uživatelem bez detailní analýzy je složitější než rychlé prohlédnutí falešného odkazu v e-mailu či odhalení nepříliš propracovaného phishingu apod.

Stali jste se někdy z pozice uživatele obětí clickjackingu? Nebo naopak jako tvůrci webu stránky proti této technice chráníte? Podělte se o své zkušenosti s nestárnoucí hrozbou v diskuzi pod článkem.

Našli jste v článku chybu?

7. 3. 2012 9:36

Mareš (neregistrovaný)

Všimli jste si někdy, že Google má ve stránce s výsledky vyhledávání nastražený javascript, který při myšoakci uživatele nad některým odkazem změní tento odkaz z "http://www.ur­l.cz/" na "http://www.go­ogle.cz/url?sa=t&rct=j­&q=dotaz&url=http%3A%2F­%2Fwww.url.cz%&e­i=nějakézběsi­lékódy"? Pokud uživatel nekopíruje odkaz přes kontextové menu, nemá prakticky šanci si toho povšimnout. To je tak krásně prasácké, že se to skoro samo nabízí ke zneužití. :-)

6. 3. 2012 12:57

Michal Lenc (neregistrovaný)

Děláte to moc složitě. Lepší je říct užvatelům, že musí kliknout na deset nabidnutych like tlacitek, aby se jim zobrazilo video. A ovce to samozrejme udelaji.

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Test Philips 24PFS5231 s Bluetooth repro

Test Philips 24PFS5231 s Bluetooth repro

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá