Clickjacking

Clickjacking? Mi az? Hogyan védekezhetek ellene?

  • Példák
    példák arra, hogyan néz ki a támadás felhasználói szemszögből, illetve milyen hátrány érheti a weboldal tulajdonosát egy ilyen támadás során
  • Védekezés
    Rövid .htaccess kód, amivel védekezhetünk a támadási típus ellen.
  • Megjegyzés

A clickjacking -et fordíthatjuk kattintás eltérítésnek. Ez egy webet böngésző felhasználókkal szembeni támadási típus. Lényege, az áldozat nem arra vagy nem csak arra a linkre kattint, amire valójában szeretne.

Példák clickjackingre

  • A támadó vonzó oldalt hoz létre, amely azt ígéri, hogy ingyenes utat biztosít a felhasználónak Tahitire.
  • A háttérben a támadó ellenőrzi, hogy a felhasználó be van-e jelentkezve a banki oldalára, és ha igen, betölti a pénzátutalást lehetővé tevő képernyőt, lekérdezési paraméterek segítségével beillesztve a támadó banki adatait az űrlapba.
  • A banki átutalási oldal láthatatlan iframe-ben jelenik meg az ingyenes ajándékoldal fölött. A láthatatlan „Átutalás megerősítése” gomb pontosan a felhasználó számára látható „Ajándék elfogadása” gomb fölött található.
  • A felhasználó felkeresi az oldalt, és rákattint az „Ajándék elfogadása” gombra.
  • A valóságban a felhasználó a láthatatlan iframe-re kattint, és rákattintott az „Átutalás megerősítése” gombra. Az összeget ezzel átutalja a támadónak.
  • A felhasználót a támadó által szerkesztett weboldal átirányítja egy oldalra, ahol információkat talál az ingyenes ajándékról (a felhasználó nem tudja, mi történt a háttérben).
    Forrás | Megjegyzés

Weboldal üzemeltetőként az ellen védekezhetünk, hogy a mi weboldalunk ne legyen felhasználható a támadás során célként, a példánál maradva a “banki oldalként”, aminek tetszőleges helyről meghívhatják a formjait és gyanútlan látogatók más oldalakról küldhessenek adatokat.

Milyen veszélyei vannak? Néhány példa a már ismertetett banki támadáson túl a teljesség igénye nélkül:

  • Ha olyan oldalt üzemeltetünk, amin szavazni lehet névtelenül, úgy gondolhatjuk, hogy a különböző ip címek különböző valós felhasználókat jelentenek, így elfogadjuk őket különböző egyenértékű szavazatként. Azonban, ha egy e-mailben elküldött több ezres spam levélből csak pár százan a példához hasonló módon kattintják gyanútlanul a szavazó gombot, akkor teljesen más eredményt fogunk kapni a szavazásra, mint valójában, mert a szavazatokról úgy gondoljuk, hogy az oldalunk látogatóitól érkeztek. Holott lehet, hogy ők is csak Tahitira utaztak volna.
  • Nyilvánvaló módon túlterhelhető egy weboldal ilyen módszerrel, ha van olyan oldala, ami nagyon lassan töltődik be, sok erőforrást igényel szerver oldalon, akkor annak az oldalnak a sokszoros kattintás támadását meg lehet így valósítani.
  • Ha webshopunkban a termékek készletének darabszámát csökkenti a kosárba helyezés, akkor egy-egy termék rendelkezésre álló készletét nagyon gyorsan el lehet így fogyasztani, anélkül, hogy tényleges vásárlás történne.
  • Továbbá használják ezt a módszert arra is, hogy “garantált” likeokat “szerezzenek” egy facebookos oldalnak. Ez azért probléma, mert az így “szerzett” látogatók nem kíváncsiak az adott oldalra, jó eséllyel jelenthetik is azt a facebooknak.

Hogyan védekezhetünk?

.htaccess fájlunkba (Apache webkiszolgálók esetén) az alábbi sorok megadásával:

# X-Frame-Options
<IfModule mod_headers.c>
	Header always append X-Frame-Options SAMEORIGIN
</IfModule>

Az X-Frame-Options -nek két lehetséges értéket adhatunk meg az egyik a DENY a másik a SAMEORIGIN forrás.
A DENY minden esetben tiltja az iframe -ben használatot,
a SAMEORIGIN a weboldal saját magába ágyazását lehetővé teszi.


Utóbbi hasznos lehet például olyan esetben, ha webszerkesztő felületünkön meg tudjuk nézni oldalunkat egy másik sablonnal anélkül, hogy a valódi látogatók előtt cserélnénk. Azonban szükséges jeleznünk, hogy bizonyos oldalak esetében egyik megoldás sem használható a keretrendszer vagy téma vagy plugin működési igényei miatt.

Azt tudjuk tanácsolni, hogy amennyiben beállítottuk weboldalunk .htaccess fájljában, ellenőrizzük oldalunk működését, mindent rendben találunk-e!

Megjegyzés

Bár sokan már ránézésre meg tudnak különböztetni egy adathalász e-mailt a valódi fontosságútól, ez az egyik oka annak, hogy újra és újra megjelennek a banki adatok megszerzésére összeállított spam/scam e-mailek.
Részben ezek miatt a támadási formák miatt került bevezetésre a PSD2 Európai Uniós szabályozás, amely megköveteli az ún.
erős ügyfél-hitelesítést bankkártyás vásárlások során.