Clickjacking
Clickjacking? Mi az? Hogyan védekezhetek ellene?
- Példák
példák arra, hogyan néz ki a támadás felhasználói szemszögből, illetve milyen hátrány érheti a weboldal tulajdonosát egy ilyen támadás során - Védekezés
Rövid .htaccess kód, amivel védekezhetünk a támadási típus ellen. - Megjegyzés
A clickjacking -et fordíthatjuk kattintás eltérítésnek. Ez egy webet böngésző felhasználókkal szembeni támadási típus. Lényege, az áldozat nem arra vagy nem csak arra a linkre kattint, amire valójában szeretne.
Példák clickjackingre
- A támadó vonzó oldalt hoz létre, amely azt ígéri, hogy ingyenes utat biztosít a felhasználónak Tahitire.
- A háttérben a támadó ellenőrzi, hogy a felhasználó be van-e jelentkezve a banki oldalára, és ha igen, betölti a pénzátutalást lehetővé tevő képernyőt, lekérdezési paraméterek segítségével beillesztve a támadó banki adatait az űrlapba.
- A banki átutalási oldal láthatatlan iframe-ben jelenik meg az ingyenes ajándékoldal fölött. A láthatatlan „Átutalás megerősítése” gomb pontosan a felhasználó számára látható „Ajándék elfogadása” gomb fölött található.
- A felhasználó felkeresi az oldalt, és rákattint az „Ajándék elfogadása” gombra.
- A valóságban a felhasználó a láthatatlan iframe-re kattint, és rákattintott az „Átutalás megerősítése” gombra. Az összeget ezzel átutalja a támadónak.
- A felhasználót a támadó által szerkesztett weboldal átirányítja egy oldalra, ahol információkat talál az ingyenes ajándékról (a felhasználó nem tudja, mi történt a háttérben).
Forrás | Megjegyzés
Weboldal üzemeltetőként az ellen védekezhetünk, hogy a mi weboldalunk ne legyen felhasználható a támadás során célként, a példánál maradva a „banki oldalként”, aminek tetszőleges helyről meghívhatják a formjait és gyanútlan látogatók más oldalakról küldhessenek adatokat.
Milyen veszélyei vannak? Néhány példa a már ismertetett banki támadáson túl a teljesség igénye nélkül:
- Ha olyan oldalt üzemeltetünk, amin szavazni lehet névtelenül, úgy gondolhatjuk, hogy a különböző ip címek különböző valós felhasználókat jelentenek, így elfogadjuk őket különböző egyenértékű szavazatként. Azonban, ha egy e-mailben elküldött több ezres spam levélből csak pár százan a példához hasonló módon kattintják gyanútlanul a szavazó gombot, akkor teljesen más eredményt fogunk kapni a szavazásra, mint valójában, mert a szavazatokról úgy gondoljuk, hogy az oldalunk látogatóitól érkeztek. Holott lehet, hogy ők is csak Tahitira utaztak volna.
- Nyilvánvaló módon túlterhelhető egy weboldal ilyen módszerrel, ha van olyan oldala, ami nagyon lassan töltődik be, sok erőforrást igényel szerver oldalon, akkor annak az oldalnak a sokszoros kattintás támadását meg lehet így valósítani.
- Ha webshopunkban a termékek készletének darabszámát csökkenti a kosárba helyezés, akkor egy-egy termék rendelkezésre álló készletét nagyon gyorsan el lehet így fogyasztani, anélkül, hogy tényleges vásárlás történne.
- Továbbá használják ezt a módszert arra is, hogy „garantált” likeokat „szerezzenek” egy facebookos oldalnak. Ez azért probléma, mert az így „szerzett” látogatók nem kíváncsiak az adott oldalra, jó eséllyel jelenthetik is azt a facebooknak.
Hogyan védekezhetünk?
.htaccess fájlunkba (Apache webkiszolgálók esetén) az alábbi sorok megadásával:
# X-Frame-Options
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>
Az X-Frame-Options -nek két lehetséges értéket adhatunk meg az egyik a DENY a másik a SAMEORIGIN forrás.
A DENY minden esetben tiltja az iframe -ben használatot,
a SAMEORIGIN a weboldal saját magába ágyazását lehetővé teszi.
Utóbbi hasznos lehet például olyan esetben, ha webszerkesztő felületünkön meg tudjuk nézni oldalunkat egy másik sablonnal anélkül, hogy a valódi látogatók előtt cserélnénk. Azonban szükséges jeleznünk, hogy bizonyos oldalak esetében egyik megoldás sem használható a keretrendszer vagy téma vagy plugin működési igényei miatt.
Azt tudjuk tanácsolni, hogy amennyiben beállítottuk weboldalunk .htaccess fájljában, ellenőrizzük oldalunk működését, mindent rendben találunk-e!
Megjegyzés
Bár sokan már ránézésre meg tudnak különböztetni egy adathalász e-mailt a valódi fontosságútól, ez az egyik oka annak, hogy újra és újra megjelennek a banki adatok megszerzésére összeállított spam/scam e-mailek.
Részben ezek miatt a támadási formák miatt került bevezetésre a PSD2 Európai Uniós szabályozás, amely megköveteli az ún.
erős ügyfél-hitelesítést bankkártyás vásárlások során.