Hlavní navigace

Jak podfouknout uživatele clickjackingem?

Autor: 74287
Pavel Čepský

Nalákat uživatele do svých nenasytných spárů je snem každého podvodníka na webu. Běžné scénáře se rychle okoukají, a nejen proto slaví úspěch takzvaný clickjacking. Jak funguje, jaké jsou scénáře?

Útočníci si při uspokojování svých choutek vždy musí zvolit, jestli se vydají cestou oblafnutí běžných uživatelů z řad začátečníků až středně pokročilých, nebo jestli vytasí trumfy zvěstující vítězství nad pokročilými uživateli a rozsáhlejšími či specializovanými sítěmi. Drtivá většina současných pokusů spadá do prvně jmenované kategorie, útočníkům a podvodníkům přitom zjednodušuje cestu jednak menší počítačová gramotnost vyhlédnutých anonymních obětí, jednak snazší realizace.

Jednu z klasických cest infiltrace, kterou mají s viry a dalším malwarem uživatelé spojenou, představuje doručení pochybných e-mailů nebo stahování podezřelých programů zdarma. Na druhou kolej tak neprávem odsouvají rizika, která na ně číhají při jedné z nejčastějších činností na webu, tedy hledání – ve změti stránek pak kliknou na cokoliv, co jim na první pohled nabízí lákavý obsah. Útočníci proto hledají cestičky, jak oběti nalákat, v čele s pornem, warezem a samozřejmě také světoznámými celebritami.

Uvedené pokusy však již patří mezi poměrně zprofanované a řada potenciálních obětí, které by se nechaly nachytat, již okatá lákadla rychle prohlédne. Nicméně infiltrace na základě uživatelova požadavku (i když si myslí, že provádí jinou akci) je nadále velice oblíbená, a tak se jí podvodníci a útočníci drží. Mezi inovované techniky a stále populárnější postupy nyní patří také takzvaný clickjacking, který má za sebou úspěšnou minulost a o němž jste se mohli ve stručnosti dozvědět i na nedávné konferenci Trendy v internetové bezpečnosti.

Označení clickjacking vzniklo ze spojení dvou původních anglických termínů click (kliknutí) a hijacking (únos). Právě tato slova prozrazují základní princip: uživatelovo kliknutí na nějaký prvek je zneužito k jinému účelu, než který tento uživatel očekává. Právě zde dochází k naplnění požadavku, jenž je znám například z blackhat SEO, pharmingu a podobných útoků, uživatel totiž provede na první pohled legitimní akci s vytyčeným cílem, nicméně na pozadí se odehraje úprava požadavku a provedení podvodné či útočné akce.

Podvodny mail
Podvodné e-maily dokážou uživatelé prokouknout, a proto útočníci volí méně nápadné, skrytější techniky

Facebook, ale nejen ten

Clickjacking obecně označuje výše uvedený princip, jednotlivé techniky provedení se mohou mírně odlišovat. Jedná se o zranitelnost (lze-li popisovaný koncept takto nazvat) prohlížečů a jejich zpracování jednotlivých prvků. Nejčastěji se jedná o vložení na základní úrovni skrytého a samostatně spouštěného skriptu neb o jiné části kódu, jehož kroky se provedou bez uživatelova vědomí. Na první pohled nevinné stisknutí tlačítka tak může vést k dalším akcím na pozadí.

Nejvíce zneužívaným scénářem clickjackingu je použití vrstvy s nastavenou průhledností, která se vykresluje nad potřebným grafickým objektem. Nic netušící uživatel se tak ve finále domnívá, že kliká třeba na odkaz pro zobrazení další stránky v seznamu, nicméně ve skutečnosti je kliknutí přisouzeno právě vrstvě s aktivovanou průhledností, která jej překrývá. Bez jakéhokoliv tušení tedy může právě toto kliknutí vést k vlastní podvodné akci.

Podle aktuálních varování navíc útočníci, kteří se pohybují na Facebooku, opouštějí klasický clickjacking a přesouvají se do oblasti sociálního inženýrství. Využívají uživatelů Facebooku, kteří rádi sdílejí webové odkazy. Facebook zde funguje hlavně jako cesta, jak uživatele zlákat, slibné a na první pohled velice atraktivní stránky s různým obsahem samozřejmě i nadále patří mezi velice oblíbené součásti důmyslných plánů útočníků různého zaměření. Podle AVG se v případě clickjackingu výrazně snížilo používání skriptů, které samy automaticky odesílají zprávy na uživatelovu zeď. Místo toho používají nový trik – nalákají uživatele, aby sdílel jejich link, obvykle se jedná o video.

Příkladem je manželství americké celebrity Kim Kardashian a basketbalisty Krise Humphriese, které skončilo po 72 dnech a jednalo se o téma, o kterém se v médiích nejvíce mluvilo. Podvodníci neváhali ani minutu a hned toho využili. Uživateli je nabídnuto falešné video s Kardashian a Humphriesem. V minulosti by uživatel na video kliknul a to by se s pomocí clickjackingu poslalo na jeho zeď.

Podvod Facebook
Podvody zneužívající Facebook mohou mít různé formy, uživatel musí být stále ve střehu

Obrana ze strany klienta i serveru

Speciální kategorii zneužívaného clickjackingu představuje takzvaný likejacking, který cílí na sociální sítě a snaží se přinutit uživatele, aby nevědomky „olajkoval“ vybraný odkaz. Typicky je tedy kupříkladu zobrazen falešný přehrávač videa a pomocí iframe prvku poté klepnutím kamkoliv do této oblasti uživatel nechtěně sdílí potřebný odkaz, aniž by si to přímo přál.

Základní možností obrany proti clickjackingu ze strany webových tvůrců je zamezení zobrazení stránky uvnitř rámu, k dispozici je zpracování prostřednictvím samostatného javascriptového kódu. Standardní skriptování není univerzálním řešením (třeba už jen kvůli nutnosti podpory JavaSriptu na straně klienta), útočníci byli schopni takto ručně vystavěnou bariéru obejít. Odpovídající kód můžete nalézt pod označením framekiller.

Kromě uvedené základní obrany je možné využít také ochranu v rámci HTTP protokolu, kterou můžete nalézt pod označením X-Frame Options. Pomocí této speciální hlavičky je možné specifikovat, zda některá stránka může být vložena do rámce, původně ji navrhl Microsoft, nicméně postupně se (i díky menší spolehlivosti framekilleru) dočkala podpory také v dalších webových prohlížečích. V této hlavičce mohou tvůrci stránek využít dvou hodnot, a to SAMEASORIGIN, resp. DENY. Prvně zmíněná zaručí, že do rámce je možné vkládat pouze stránky ze stejné domény, druhá pak vkládání blokuje kompletně.

CIF17_Williams1

Mezi nejčastěji využívané obrany na straně klienta, tedy bez nutnosti spolupráce a definice dodatečných hodnot serverem, patří v případě fanoušků prohlížeče Firefox doplněk NoScript. Díky modulu ClearClick porovná nabízený a požadovaný obsah a v případě podezření je uživatel upozorněn. Clickjacking se však i do budoucna bude těšit stoupající popularitě, jelikož jeho rozpoznání koncovým uživatelem bez detailní analýzy je složitější než rychlé prohlédnutí falešného odkazu v e-mailu či odhalení nepříliš propracovaného phishingu apod.

Stali jste se někdy z pozice uživatele obětí clickjackingu? Nebo naopak jako tvůrci webu stránky proti této technice chráníte? Podělte se o své zkušenosti s nestárnoucí hrozbou v diskuzi pod článkem.

Našli jste v článku chybu?