Pas op voor sociale netwerkidentificatie

Het is moeilijk om te weerstaan ​​aan het klikken op een gratis iPhone-aanbiedingslink. Maar wees voorzichtig: uw klik kan gemakkelijk worden gekaapt en de resultaten kunnen rampzalig zijn.

Clickjacking is een aanvalsmethode, ook wel bekend als User Interface Redressing, omdat het wordt opgezet door een link te verhullen (of te herstellen) met een overlay die de gebruiker ertoe verleidt iets anders te doen dan hij of zij denkt.

De meeste gebruikers van sociale netwerken genieten van het gemak om altijd ingelogd te blijven. Aanvallers kunnen gemakkelijk misbruik maken van deze gewoonte om gebruikers te dwingen iets leuk te vinden of te volgen zonder het te merken. Om dit te doen, kan een cybercrimineel een verleidelijke knop – bijvoorbeeld met een aansprekende tekst, zoals “Gratis iPhone – tijdelijke aanbieding” – op zijn eigen webpagina plaatsen en een onzichtbaar frame met de pagina van het sociale netwerk erop plaatsen, in zo’n een manier waarop een knop “Vind ik leuk” of “Delen” over de gratis iPhone-knop ligt.

Deze simpele clickjacking-truc kan Facebook-gebruikers dwingen groepen of fanpagina’s leuk te vinden zonder het te weten.

Het beschreven scenario is redelijk onschuldig, in die zin dat het enige gevolg voor het slachtoffer is dat hij wordt opgenomen in een sociale netwerkgroep. Maar met wat extra moeite zou dezelfde techniek kunnen worden gebruikt om te bepalen of een gebruiker is ingelogd op zijn bankrekening en in plaats van een item op sociale media leuk te vinden of te delen, kan hij of zij gedwongen worden om op een knop te klikken die geld overmaakt naar bijvoorbeeld het account van een aanvaller. Het ergste is dat de kwaadwillige actie niet kan worden getraceerd, omdat de gebruiker legitiem was ingelogd op zijn of haar bankrekening en hij of zij vrijwillig op de overdrachtsknop heeft geklikt.

Omdat de meeste clickjacking-technieken social engineering vereisen, worden sociale netwerken ideale aanvalsvectoren.

Laten we eens kijken hoe ze worden gebruikt.

Clickjacking op Twitter

Ongeveer tien jaar geleden werd het sociale netwerk Twitter getroffen door een massale aanval die snel een bericht verspreidde, waardoor gebruikers op een link klikten en profiteerden van hun natuurlijke nieuwsgierigheid.

Tweets met de tekst “Niet klikken”, gevolgd door een link, verspreidden zich razendsnel over duizenden Twitter-accounts. Wanneer gebruikers op de link klikten en vervolgens op een ogenschijnlijk onschuldige knop op de doelpagina, werd er een tweet verzonden vanuit hun accounts. Die tweet bevatte de tekst “Niet klikken”, gevolgd door de kwaadaardige link.

  Wat betekent Amazon's "Project Zero" anti-namaakplan voor u?

Twitter-technici hebben de clickjacking-aanval niet lang nadat deze was gestart, gepatcht. De aanval zelf bleek onschadelijk te zijn en het werkte als een alarm om de potentiële risico’s van Twitter-clickjacking-initiatieven aan te geven. De kwaadaardige link bracht de gebruiker naar een webpagina met een verborgen iframe. In het frame zat een onzichtbare knop die de kwaadaardige tweet vanaf het account van het slachtoffer verzond.

Clickjacking op Facebook

Gebruikers van de mobiele Facebook-app worden blootgesteld aan een bug waardoor spammers zonder hun toestemming aanklikbare inhoud op hun tijdlijnen kunnen plaatsen. De bug werd ontdekt door een beveiligingsprofessional die een spamcampagne aan het analyseren was. De deskundige constateerde dat veel van zijn contacten een link naar een pagina met grappige plaatjes plaatsten. Voordat ze bij de foto’s kwamen, werd gebruikers gevraagd om op een meerderjarigheidsverklaring te klikken.

Wat ze niet wisten, was dat de aangifte onder een onzichtbare lijst zat.

Wanneer gebruikers de verklaring accepteerden, werden ze naar een pagina met grappige foto’s geleid. Maar in de tussentijd werd de link gepubliceerd in de Facebook-tijdlijn van de gebruikers. Dat was mogelijk omdat de webbrowsercomponent in de Facebook-app voor Android niet compatibel is met de kopteksten van de frame-opties (hieronder leggen we uit wat ze zijn), en daarom schadelijke frame-overlays mogelijk maakt.

Facebook herkent het probleem niet als een bug omdat het geen invloed heeft op de integriteit van gebruikersaccounts. Het is dus onzeker of het ooit zal worden opgelost.

Clickjacking op mindere sociale netwerken

Het is niet alleen Twitter en Facebook. Andere, minder populaire sociale netwerken en blogplatforms hebben ook kwetsbaarheden die clickjacking mogelijk maken. LinkedIn had bijvoorbeeld een fout die een deur opende voor aanvallers om gebruikers te misleiden om namens hen links te delen en te plaatsen, maar zonder hun toestemming. Voordat het werd verholpen, stelde de fout aanvallers in staat om de LinkedIn ShareArticle-pagina op een verborgen frame te laden en dit frame op pagina’s te plaatsen met ogenschijnlijk onschuldige en aantrekkelijke links of knoppen.

Een ander geval is Tumblr, het openbare webblogplatform. Deze site gebruikt JavaScript-code om clickjacking te voorkomen. Maar deze beveiligingsmethode wordt niet meer effectief omdat de pagina’s kunnen worden geïsoleerd in een HTML5-frame waardoor ze geen JavaScript-code kunnen uitvoeren. Een zorgvuldig ontworpen techniek zou kunnen worden gebruikt om wachtwoorden te stelen, waarbij de genoemde fout wordt gecombineerd met een wachtwoordhelper-browserplug-in: door gebruikers te misleiden om een ​​valse captcha-tekst in te typen, kunnen ze onbedoeld hun wachtwoorden naar de site van de aanvaller sturen.

  Hoe de schermtijd op een Xbox One te beperken

Cross-site verzoek vervalsing

Een variant van een clickjacking-aanval wordt Cross-site request forgery of kortweg CSRF genoemd. Met behulp van social engineering richten cybercriminelen CSRF-aanvallen op eindgebruikers, waardoor ze gedwongen worden ongewenste acties uit te voeren. De aanvalsvector kan een link zijn die via e-mail of chat wordt verzonden.

CSRF-aanvallen zijn niet bedoeld om de gegevens van de gebruiker te stelen, omdat de aanvaller het antwoord op het valse verzoek niet kan zien. In plaats daarvan richten de aanvallen zich op statusveranderende verzoeken, zoals een wachtwoordwijziging of een overboeking. Als het slachtoffer beheerdersrechten heeft, kan de aanval een volledige webtoepassing in gevaar brengen.

Een CSRF-aanval kan worden opgeslagen op kwetsbare websites, met name websites met zogenaamde “opgeslagen CSRF-fouten”. Dit kan worden bereikt door IMG- of IFRAME-tags in te voeren in invoervelden die later op een pagina worden weergegeven, zoals opmerkingen of een pagina met zoekresultaten.

Framing-aanvallen voorkomen

Moderne browsers kunnen worden verteld of een bepaalde bron al dan niet binnen een frame mag worden geladen. Ze kunnen er ook voor kiezen om een ​​bron alleen in een frame te laden wanneer het verzoek afkomstig is van dezelfde site waar de gebruiker zich bevindt. Op deze manier kunnen gebruikers niet worden misleid om op onzichtbare frames met inhoud van andere sites te klikken en worden hun klikken niet gekaapt.

Client-side mitigatietechnieken worden frame busting of frame killing genoemd. Hoewel ze in sommige gevallen effectief kunnen zijn, kunnen ze ook gemakkelijk worden omzeild. Daarom worden client-side methoden niet als best practices beschouwd. In plaats van framebusting, bevelen beveiligingsexperts methodes aan de serverzijde aan, zoals X-Frame-Options (XFO) of recentere, zoals Content Security Policy.

X-Frame-Options is een responsheader die webservers op webpagina’s plaatsen om aan te geven of een browser de inhoud ervan binnen een frame mag weergeven.

De X-Frame-Option-header staat drie waarden toe.

  • DENY, die verbiedt om de pagina binnen een frame weer te geven
  • SAMEORIGIN, waarmee de pagina binnen een frame kan worden weergegeven, zolang deze binnen hetzelfde domein blijft
  • ALLOW-FROM URI, waarmee de pagina binnen een frame kan worden weergegeven, maar alleen in een gespecificeerde URI (Uniform Resource Identifier), bijvoorbeeld alleen binnen een bepaalde, specifieke webpagina.

Meer recente anti-clickjacking-methoden omvatten Content Security Policy (CSP) met de frame-ancestors-richtlijn. Deze optie wordt veel gebruikt bij de vervanging van XFO. Een groot voordeel van CSP in vergelijking met XFO is dat een webserver meerdere domeinen kan autoriseren om zijn inhoud te framen. Het wordt echter nog niet door alle browsers ondersteund.

  Gebruik Omnisend om de verkoop te stimuleren met automatisering, sms en e-mailmarketing

De frame-ancestors-richtlijn van CSP staat drie soorten waarden toe: ‘none’, om te voorkomen dat een domein de inhoud weergeeft; ‘zelf’ om de huidige site alleen toe te staan ​​de inhoud in een frame weer te geven, of een lijst met URL’s met jokertekens, zoals ‘*.sommige site.com’, ‘https://www.example.com/index.html,’ etc., om alleen framing toe te staan ​​op elke pagina die overeenkomt met een element uit de lijst.

Hoe u zich kunt beschermen tegen clickjacking

Het is handig om tijdens het browsen ingelogd te blijven op een sociaal netwerk, maar als u dat toch doet, moet u voorzichtig zijn met klikken. Let ook goed op de sites die u bezoekt, want ze nemen niet allemaal de nodige maatregelen om clickjacking te voorkomen. Als u niet zeker weet welke website u bezoekt, klik dan niet op een verdachte klik, hoe verleidelijk die ook kan zijn.

Een ander ding om op te letten is uw browserversie. Zelfs als een site alle headers voor het voorkomen van clickjacking gebruikt die we eerder hebben genoemd, ondersteunen niet alle browsers ze allemaal, dus zorg ervoor dat u de nieuwste versie gebruikt die u kunt krijgen en dat deze anti-clickjacking-functies ondersteunt.

Gezond verstand is een effectief zelfbeschermingsmiddel tegen clickjacking. Als u ongebruikelijke inhoud ziet, inclusief een link die door een vriend op een sociaal netwerk is geplaatst, moet u zich, voordat u iets doet, afvragen of dat het soort inhoud is dat uw vriend zou publiceren. Als dit niet het geval is, moet u uw vriend waarschuwen dat hij of zij het slachtoffer kan zijn geworden van clickjacking.

Nog een laatste advies: als je een influencer bent, of als je gewoon een heel groot aantal volgers of vrienden hebt op een sociaal netwerk, moet je je voorzorgsmaatregelen verdubbelen en verantwoordelijk gedrag vertonen online. Want als je het slachtoffer wordt van clickjacking, zal de aanval heel veel mensen treffen.

gerelateerde berichten