- Clickjacking polega na manipulowaniu interfejsem za pomocą niewidocznych warstw w celu przekierowywania kliknięć na ukryte i potencjalnie niebezpieczne akcje.
- Istnieje wiele odmian tego typu ataków (np. jacking, cursorjacking, cookiejacking, double-clickjacking), które dotyczą stron internetowych, aplikacji mobilnych i bankowości internetowej.
- Aby zapewnić ochronę, należy połączyć ostrożność użytkownika, aktualność oprogramowania oraz środki techniczne, takie jak X-Frame-Options, CSP i skrypty obronne.
- Wielowarstwowa strategia bezpieczeństwa i stała świadomość znacząco zmniejszają ryzyko wystąpienia tego typu ataków.
Clickjacking stał się jedną z najbardziej ukrytych sztuczek W świecie cyberbezpieczeństwa: wszystko wydaje się normalne na ekranie, klikasz tam, gdzie uważasz, że powinieneś… i nieświadomie autoryzujesz coś zupełnie innego w tle. Nie ma tu żadnych dziwnych okien ani nietypowych pobrań, tylko interfejs zmanipulowany tak, by zmusić cię do kliknięcia dokładnie tam, gdzie chce atakujący.
Ten typ ataku, znany również jako przechwytywanie kliknięć lub przekierowanie interfejsu użytkownikaŁączy w sobie socjotechnikę i techniki internetowe, takie jak ramki iframe i arkusze stylów, aby nakładać niewidoczne warstwy na legalne strony. W rezultacie możesz zainstalować złośliwe oprogramowanie, podać swoje dane uwierzytelniające do konta bankowego lub aktywować kamerę, nie zdając sobie z tego sprawy. Zobaczmy, czym dokładnie jest ten program, jakie istnieją jego warianty i, przede wszystkim, co możesz zrobić, aby chronić siebie jako użytkownika i administratora witryny.
Czym jest clickjacking i dlaczego jest tak niebezpieczny?
Clickjacking to technika polegająca na tym, że atakujący „przechwytuje” Twoje kliknięcia. aby przekierować Cię do ukrytych elementów na innej stronie niż ta, z której myślisz, że korzystasz. Widzisz pozornie niegroźny przycisk (zamknij reklamę, weź udział w konkursie, itp.), ale nad lub pod nim znajduje się ramka iframe lub przezroczysta warstwa zawierająca prawdziwy, niebezpieczny przycisk.
Kluczem jest nakładanie się interfejsów.Legalna strona ładuje się normalnie, ale cyberprzestępca dodaje na wierzch przezroczysty, prawie niewidoczny interfejs, który faktycznie generuje kliknięcie. Można to osiągnąć za pomocą kodu HTML, niestandardowego CSS i ramek iframe, które ładują treści z innych domen, wykorzystując standardowe funkcje internetowe.
W przeciwieństwie do klasycznego phishingu, w którym klonowana jest fałszywa strona internetowa W przypadku clickjackingu użytkownik często przegląda prawdziwą stronę internetową swojego banku, portalu społecznościowego lub innej znanej usługi, aby wprowadzić swoje dane. Sztuczka nie polega na całkowitym sfałszowaniu strony, ale na warstwie nadrzędnej, która przechwytuje interakcję.
Termin „clickjacking” został ukuty w 2008 roku przez Jeremiaha Grossmana i Roberta HansenaOd tego czasu technika ta znacznie się rozwinęła. Obecnie ataki obejmują zarówno proste pułapki, mające na celu zwiększenie liczby „lajków”, jak i zaawansowane metody, które aktywują kamery internetowe, rejestrują naciśnięcia klawiszy lub zmieniają krytyczne ustawienia bezpieczeństwa w usługach korporacyjnych.
Rzeczywisty wpływ na użytkownika może być niszczycielski.Kradzież danych bankowych, nieautoryzowane przelewy, zakupy w sklepach internetowych, publikowanie treści w mediach społecznościowych bez zezwolenia, instalacja oprogramowania szpiegującego czy zdalny dostęp do zasobów urządzenia (aparatu, mikrofonu, SMS-ów, kontaktów itp.) – a wszystko to za pomocą tak powszechnych czynności, jak dwukrotne kliknięcie pozornie legalnego przycisku.
Jak technicznie działa atak typu clickjacking
Mechanizm ataku polegającego na przechwytywaniu kliknięć zwykle przebiega według dość podobnej strukturyChoć istnieje wiele wariantów i poziomów zaawansowania, proces ten wygląda mniej więcej następująco:
1. Przygotowanie strony pułapki
Atakujący projektuje przyciągającą wzrok lub pozornie niewinną stronę internetową: może to być strona z grą, rzekomy artykuł z wiadomościami, fałszywy formularz, bardzo atrakcyjna reklama lub strona docelowa z nieodpartą nagrodą. Celem jest zachęcenie użytkownika do odwiedzenia tej strony i kliknięcia.
2. Wstawianie zawartości docelowej do ukrytej ramki iframe
Na tej stronie cyberprzestępca osadza ramkę iframe, która ładuje inną witrynę: może to być część banku internetowego, ustawienia zabezpieczeń usługi SaaS, ekran uprawnień aplikacji lub funkcja mediów społecznościowych. Ta ramka iframe jest pozycjonowana za pomocą CSS tak, aby pasowała do przycisku wyświetlanego użytkownikowi, ale pozostaje niewidoczna lub prawie przezroczysta.
3. Manipulacja wizualna z wykorzystaniem warstw przezroczystych
Dzięki stylom CSS (pozycjonowanie absolutne, indeks Z, bardzo niska krycie itp.) warstwa dotykowa jest umieszczana bezpośrednio pod obszarem, w którym użytkownik przypuszcza, że klika. Czasami, aby zmylić użytkownika, stosuje się niestandardowe kursory, a także fałszywe banery lub gigantyczne przyciski, aby precyzyjnie nakierować myszkę na żądany punkt.
4. Kliknięcie użytkownika uruchamia ukrytą akcję
Klikając, użytkownik myśli, że zamyka wyskakujące okienko, rozpoczyna grę lub wyraża zgodę na coś nieszkodliwego. Jednak w rzeczywistości kliknięcie jest przypisane do przycisku ramki iframe: może to być „Autoryzuj płatność”, „Usuń konto”, „Przyznaj uprawnienia administratora” lub „Włącz kamerę/mikrofon”. Użytkownik nie widzi faktycznej akcji, ale mimo to jest ona wykonywana.
5. W przypadku bardziej zaawansowanych ataków ofiara musi podać poufne informacje.
W niektórych scenariuszach nie chodzi tylko o klikanie, ale o wpisywanie. Atakujący może nałożyć fałszywy formularz na legalny formularz logowania do banku lub innej usługi o wysokiej wartości. Ofiara wpisuje swoją nazwę użytkownika, hasło, numer karty lub kody weryfikacyjne, wierząc, że znajduje się na właściwym interfejsie, a dane te są przesyłane bezpośrednio na serwer kontrolowany przez przestępców.
Clickjacking w telefonach komórkowych i bankowości internetowej
Urządzenia mobilne, a w szczególności aplikacje bankowe, stanowią bardzo lukratywny cel. Z jednej strony koncentrują one niezwykle wrażliwe informacje, z drugiej zaś interakcja dotykowa idealnie nadaje się do umieszczania niewidocznych warstw „między palcem a ekranem”.
W typowym scenariuszu użytkownik otwiera aplikację bankową.Użytkownik wprowadza swój identyfikator i hasło i myśli, że widzi swój zwykły panel. Jednak wcześniej zainstalowana złośliwa aplikacja może nałożyć na interfejs użytkownika naśladujący ten ekran, tak że wszystko, co wpisuje użytkownik, jest wysyłane na serwer kontrolowany przez atakujących.
Oprogramowanie złośliwe, takie jak Svpeng, pokazało, jak opłacalne może być takie podejścieTen bankowy trojan na Androida, który rozprzestrzenił się na dziesiątki krajów, wykorzystywał techniki clickjackingu i nakładek ekranowych w celu kradzieży danych uwierzytelniających, uzyskiwania dostępu do wiadomości SMS (w tym kodów weryfikacyjnych banków), odczytywania kontaktów, wykonywania połączeń, robienia zrzutów ekranu i przejmowania kontroli nad urządzeniem po uzyskaniu uprawnień administratora.
Gdy złośliwe oprogramowanie uzyska te podwyższone uprawnieniaMogą wybierać, które ekrany mają zostać nałożone, decydować, kiedy wyświetlić fałszywe formularze, a także wysyłać wszelkiego rodzaju informacje do serwera poleceń i kontroli: listę zainstalowanych aplikacji, rejestry połączeń, wiadomości SMS, kontakty… Dzięki temu atakujący mogą nawet ominąć systemy uwierzytelniania dwuskładnikowego oparte na wiadomościach tekstowych.
Tego typu zagrożenia nie ograniczają się wyłącznie do systemu Android.Każda platforma z dostępem do Internetu i możliwością wyświetlania interfejsów (tablety, laptopy, komputery stacjonarne i inne systemy mobilne) może paść ofiarą podobnych ataków, choć mechanizmy techniczne różnią się w zależności od systemu operacyjnego i uprawnień przyznanych przez aplikacje.
Przykłady z życia wzięte i powszechne zastosowania clickjackingu
Choć o clickjackingu często mówi się w kategoriach abstrakcyjnych, istnieją bardzo konkretne przykłady. Te przykłady pokazują, w jakim stopniu ta taktyka okazała się skuteczna przeciwko dużym platformom i zwykłym użytkownikom. Oto kilka typowych przykładów:
Clickjacking w mediach społecznościowych (likejacking)
Celem jest zazwyczaj zawyżanie statystyk lub rozpowszechnianie złośliwych linków. Atakujący ukrywa prawdziwy przycisk „Lubię to” w serwisie społecznościowym za przyciągającym wzrok obrazem lub wiadomością. Użytkownik myśli, że klika atrakcyjne zdjęcie lub tekst, ale w rzeczywistości lajkuje lub obserwuje strony i profile, których nie zamierzał, przyczyniając się do rozprzestrzeniania kampanii spamowych lub oszustw.
Clickjacking w bankowości internetowej i płatnościach
W środowisku finansowym technika ta jest wykorzystywana do nakłaniania użytkowników do autoryzacji przelewów, zmian w konfiguracji zabezpieczeń lub udzielania uprawnień API. Kliknięcie, które pozornie zamyka okno lub akceptuje nieszkodliwe warunki, może w rzeczywistości potwierdzać transakcję finansową o dużym znaczeniu.
Aktywacja sprzętu: kamera, mikrofon lub uprawnienia krytyczne
Innym szczególnie niepokojącym zastosowaniem jest wykorzystywanie clickjackingu do nakłaniania użytkowników do udzielenia zgody na dostęp do kamery internetowej, mikrofonu lub lokalizacji. Okno dialogowe, które wygląda na proste potwierdzenie, może ukrywać typowe okno z pytaniem „Czy chcesz zezwolić tej witrynie na korzystanie z Twojej kamery?”. Jednym niefortunnym kliknięciem atakujący może otworzyć furtkę do szpiegowania.
Oszukańcze reklamy i niechciane pobieranie
Wykryto reklamy z przezroczystymi nakładkami, które po kliknięciu przekierowują do stron zawierających adware, spyware lub instalatory złośliwego oprogramowania. W wielu przypadkach użytkownik nie zdaje sobie nawet sprawy, że zainicjował pobieranie lub autoryzował instalację złośliwego komponentu, ponieważ interakcja wizualna wydawała się nieszkodliwa.
Oszustwa w handlu elektronicznym i na rynkach
Niektóre złośliwe kampanie wykorzystywały zainfekowane strony internetowe do wysyłania próśb o „zakup jednym kliknięciem” w sklepach internetowych, takich jak Amazon, za pomocą ukrytych ramek. Użytkownik myśli, że bierze udział w konkursie lub wypełnia formularz, ale w rzeczywistości dokonuje niechcianego zakupu, korzystając z własnej metody płatności.
Główne typy i warianty clickjackingu
Podstawowy cel jest zawsze taki sam: oszukać użytkownika i nakłonić go do kliknięcia tam, gdzie nie powinien.Istnieje jednak kilka wyspecjalizowanych odmian, które warto rozróżnić, ponieważ wykorzystują inne techniki i mają inne cele.
Likejacking
Polega ona na manipulowaniu przyciskami „Lubię to” lub podobnymi interakcjami w mediach społecznościowych. Użytkownik wierzy, że wchodzi w interakcję z określoną treścią (wiadomością, zdjęciem, filmem), ale w rzeczywistości lajkuje, obserwuje lub udostępnia inne treści, zazwyczaj z podejrzanymi intencjami komercyjnymi lub wręcz złośliwymi.
Przechwytywanie kursora
W tym przypadku sztuczka polega na nieprawidłowym ustawieniu kursora. Atakujący maskuje jego rzeczywistą pozycję, wyświetlając lekko przesuniętą, fałszywą ikonę. To sprawia, że ofiara myśli, że klika na jeden element, podczas gdy w rzeczywistości kliknięcie trafia na inny element strony lub niewidoczną ramkę iframe. Jest to szczególnie irytujące i trudne do wykrycia, jeśli zostanie wykonane precyzyjnie.
Cookiejacking
Celem są tutaj pliki cookie przeglądarki. Za pomocą nakładek i wizualnego oszustwa atakujący nakłaniają użytkowników do autoryzacji działań, które ostatecznie ujawniają ich pliki cookie, zawierające informacje o sesji i inne poufne dane. Dane te mogą następnie zostać wykorzystane do podszywania się pod inne osoby i przejmowania kontroli nad kontami bez hasła.
Kradzież plików
W tego typu atakach hakerzy umieszczają niewidoczne ramki nad przyciskami „Przeglądaj pliki” lub podobnymi. Ofiara wierzy, że przesyła plik w legalnym celu, ale w rzeczywistości udziela dostępu do lokalizacji lub dokumentów, które atakujący może odczytać lub przesłać bez swojej wiedzy. Może to mieć wpływ na usługi w chmurze lub internetowe interfejsy pamięci masowej.
Mousejacking
Ten wariant idzie o krok dalej, dążąc do zdalnego sterowania funkcjami urządzenia, w tym ruchami myszy i wprowadzaniem danych z klawiatury. Poprzez luki w zabezpieczeniach urządzeń bezprzewodowych lub określonego oprogramowania, atakujący mógłby wykonywać polecenia, naciskać przyciski lub pisać kod bez ingerencji użytkownika.
Clickjacking bez przeglądarki i ataki wieloetapowe
Nie wszystkie ataki typu clickjacking są wykonywane bezpośrednio w przeglądarce w klasyczny sposóbIstnieją metody mające wpływ na systemy mobilne i wykorzystujące czas, jaki upływa między alertem a reakcją użytkownika.
Clickjacking bez przeglądarki (szczególnie na Androidzie)
Na niektórych smartfonach, zwłaszcza z systemem Android, atakujący umieszczają fałszywe ikony lub nakładki w przerwie między pojawieniem się wyskakującego powiadomienia a jego pełnym wyświetleniem. W ten sposób użytkownik myśli, że reaguje na alert, podczas gdy w rzeczywistości klika na nakładkę, która przyznaje uprawnienia lub inicjuje złośliwe działania.
Autonomiczne ataki jednym kliknięciem
W tzw. atakach autonomicznych wystarczy jedno kliknięcie. Niewidzialna ramka jest umieszczana nad przyciskiem na stronie, a za pomocą tego jednego kliknięcia wykonywana jest nieautoryzowana czynność: subskrypcja usługi, udzielenie dostępu do API, dokonanie zakupu lub usunięcie konta. Są one szybkie i bardzo trudne do wykrycia przez użytkownika.
Ataki wieloetapowe
W innych scenariuszach cyberprzestępca potrzebuje kilku powiązanych interakcji. Na przykład, aby dokonać nieautoryzowanego zakupu, użytkownik musi najpierw dodać produkt do koszyka, następnie potwierdzić adres, a na końcu kliknąć „Zapłać”. Atakujący może zaprojektować kilka niewidocznych ramek sekwencyjnie, tak aby każde kliknięcie użytkownika wykonywało jeden z tych kroków bez jego wiedzy.
Ataki połączone z innymi lukami (takimi jak DOM XSS)
Ataki typu clickjacking mogą również stanowić furtkę do bardziej złożonych zagrożeń. Częstą kombinacją jest clickjacking z DOM XSS, który wykorzystuje luki w zabezpieczeniach kodu po stronie klienta do modyfikowania działania strony i wykonywania nieautoryzowanych działań.
W tego typu atakach pierwsze nieudane kliknięcie może okazać się właśnie impulsem. większego łańcucha ataków, w którym wstrzykiwany jest kod, kradzione są tokeny sesji, manipulowane są formularze lub przechwytywana jest komunikacja między użytkownikiem a serwerem.
Podwójne kliknięcie: gdy problemem jest drugie kliknięcie
Szczególnie uderzającym ostatnim zjawiskiem jest tzw. podwójne klikanieWykorzystuje to tak powszechny problem, jak szybkie dwukrotne kliknięcie przycisku. Przeglądarki od lat stosują zabezpieczenia przed atakami polegającymi na pojedynczym kliknięciu, ale nie zawsze dobrze radzą sobie z dwoma kolejnymi kliknięciami.
W tym schemacie atakujący umieszcza złośliwy element między pierwszym a drugim kliknięciem.Wyobraź sobie, że pojawia się podejrzany przycisk potwierdzenia lub captcha. Po pierwszym kliknięciu, zamiast od razu wykonać akcję, niewidoczne okno zostaje zamknięte lub interfejs zostaje przekonfigurowany, a kolejny element (kluczowy przycisk) zostaje umieszczony bezpośrednio pod kursorem na drugie kliknięcie.
Gdy użytkownik wykonuje drugie kliknięcie „z przyzwyczajenia”Choć wydaje się, że to tylko potwierdzenie czegoś normalnego, w rzeczywistości uruchamia zupełnie inną i wrażliwą akcję: zatwierdza płatność, udziela zaawansowanych uprawnień, aktywuje integrację API obarczoną wysokim ryzykiem lub zmienia ustawienia zabezpieczeń w panelu korporacyjnym.
Tego typu ataki zostały już z powodzeniem wykorzystane na legalnych i powszechnie dostępnych platformach.takich jak Slack, Shopify czy Salesforce, gdzie proste dwukrotne kliknięcie w odpowiednim kontekście pozwoliło na modyfikację zasad bezpieczeństwa, zaakceptowanie niebezpiecznych integracji lub autoryzację operacji ekonomicznych.
Największym problemem w przypadku double-clickjackingu jest to, że jest on niezwykle trudny do wykrycia. Z perspektywy użytkownika nie ma fałszywych stron internetowych ani podejrzanych plików do pobrania, a często nawet zewnętrznych przekierowań: wszystko dzieje się w obrębie samej legalnej platformy, wykorzystując luki w zabezpieczeniach interfejsu. Co więcej, zabezpieczenia wbudowane w przeglądarki i aplikacje zazwyczaj koncentrują się na pojedynczych kliknięciach, a nie na logice kolejnych kliknięć.
Konsekwencje clickjackingu dla użytkowników i firm
Konsekwencje clickjackingu wykraczają daleko poza zwykłą irytacjęW zależności od kontekstu i celu atakującego, skutki ataku mogą być łagodne lub absolutnie krytyczne dla ofiary, zarówno na poziomie osobistym, jak i korporacyjnym.
Kradzież danych uwierzytelniających i tożsamości cyfrowej
Gdy te warstwy zostaną umieszczone nad formularzami logowania lub odzyskiwania konta, atakujący może przechwycić nazwy użytkowników, hasła, kody PIN lub kody weryfikacyjne. Dzięki tym danym uzyska bezpośredni dostęp do bankowości internetowej, poczty e-mail, mediów społecznościowych lub paneli administracyjnych.
Nieautoryzowane transakcje finansowe i zakupy
W systemach płatności i e-commerce jedno przechwycone kliknięcie może wystarczyć do autoryzacji przelewów, dokonania zakupów, modyfikacji danych płatności lub zaakceptowania cyklicznych płatności. Wiele ofiar nie zdaje sobie sprawy z tego, co się dzieje, dopóki nie sprawdzi wyciągów bankowych lub nie otrzyma powiadomień o podejrzanej aktywności.
Rozprzestrzenianie się złośliwego oprogramowania i oprogramowania szpiegującego
Niektóre ataki typu clickjacking mają na celu wywołanie cichego pobrania złośliwego oprogramowania. Ofiara klika link, który wygląda jak link do artykułu prasowego lub filmu, ale w rzeczywistości pobiera trojana, ransomware lub oprogramowanie szpiegujące, które instaluje się w tle, jeśli system nie jest odpowiednio zabezpieczony.
Kontrola urządzeń i szpiegostwo
W najpoważniejszych przypadkach, użycie niewidocznych warstw pozwala atakującemu uzyskać dostęp do kamery, mikrofonu, wiadomości SMS, lokalizacji lub pamięci urządzenia. Stamtąd może szpiegować, nagrywać rozmowy, przechwytywać dokumenty, a nawet przejąć całkowitą kontrolę nad systemem.
Szkody wizerunkowe i wykorzystywanie sieci społecznościowych
W mediach społecznościowych clickjacking może być wykorzystywany do generowania polubień, obserwujących lub automatycznych postów bez wiedzy użytkownika. To nie tylko szkodzi reputacji ofiary, ale także przyczynia się do rozprzestrzeniania oszukańczych kampanii, oszustw i wyłudzeń, wykorzystując zaufanie jej kontaktów.
Jak chronić się przed clickjackingiem jako użytkownik
Twoją pierwszą linią obrony jesteś ty samChociaż twórcy oprogramowania i przeglądarki wdrożyły bardzo skuteczne środki techniczne, rzeczywistość jest taka, że wiele ataków typu clickjacking opiera się na ciekawości, pośpiechu i nieuwadze użytkownika. Oto kilka praktycznych wskazówek:
Zachowaj ostrożność w przypadku wiadomości e-mail, reklam i linków, które wydają się zbyt dobre, aby mogły być prawdziwe.
Wiele z tych kampanii zaczyna się od „pilnego” e-maila, niesamowitej oferty lub sensacyjnego artykułu, mającego na celu zachęcenie do kliknięcia. Jeśli coś brzmi zbyt dobrze (lub zbyt alarmująco), aby było prawdą, poświęć chwilę na sprawdzenie źródła i, jeśli to możliwe, samodzielnie wyszukaj informacje na wiarygodnej stronie internetowej, zamiast polegać na linku.
Unikaj instalowania aplikacji z nieoficjalnych źródeł
Na urządzeniach mobilnych, zwłaszcza z systemem Android, wiele złośliwych aplikacji przedostaje się do systemu spoza oficjalnych sklepów z aplikacjami. Instalowanie aplikacji wyłącznie z Google Play, App Store lub innych autoryzowanych repozytoriów znacznie zmniejsza ryzyko infekcji złośliwym oprogramowaniem, które ma nakładać się na ekrany i wykradać dane.
Utrzymuj swój system operacyjny i przeglądarkę zawsze na bieżąco
Luki w zabezpieczeniach umożliwiające określone typy clickjackingu są łatane dość szybko po ich wykryciu. Jeśli Twoja przeglądarka, system operacyjny lub kluczowe aplikacje są przestarzałe, dajesz atakującemu przewagę. Włącz automatyczne aktualizacje, gdy tylko jest to możliwe.
Używaj zaufanych rozszerzeń zabezpieczających (NoScript, ScriptSafe, uBlock Origin…)
Niektóre wtyczki pozwalają blokować skrypty i podejrzane osadzone treści, a nawet wyświetlać niewidoczne ramki. Należy jednak pamiętać, że mogą one uszkodzić fragmenty legalnych stron i pogorszyć komfort użytkowania, dlatego najlepiej je ostrożnie konfigurować i zawsze wybierać zaufane źródła.
Szukaj dziwnych szczegółów w interfejsie
Jeśli zauważysz nieoczekiwane wyskakujące okienka, nieprawidłowo ustawione przyciski, nakładające się elementy lub nietypowe monity o dwukrotne kliknięcie, najlepiej przerwij i sprawdź. Warto również unikać szybkiego dwukrotnego klikania ważnych elementów i uważnie przeczytać komunikaty potwierdzające przed kliknięciem „OK”.
Środki ochrony technicznej dla deweloperów i firm
Jeśli chodzi o serwery i rozwój stron internetowych, istnieje kilka bardzo skutecznych sposobów obrony. które drastycznie zmniejszają ryzyko wykorzystania Twojej witryny w ataku typu clickjacking. Chociaż żaden pojedynczy środek nie jest niezawodny, wielowarstwowa strategia znacznie utrudnia życie atakującemu.
Nagłówek X-Frame-Options
To jeden z klasycznych mechanizmów. To nagłówek HTTP, który informuje przeglądarkę, czy strona może zostać wyświetlona w ramce iframe. Jego główne wartości to:
- ZAPRZECZAĆ: zapobiega wyświetlaniu strony w ramce przez dowolną domenę.
- TO SAMO POCHODZENIE: pozwala na umieszczenie go w ramce wyłącznie oryginalnej witryny.
- ZEZWÓL NA OD https://example.com: autoryzuje tylko określone domeny (choć ta wartość nie jest obsługiwana przez wszystkie nowoczesne przeglądarki).
Chociaż X-Frame-Options ma ograniczenia w środowiskach wielodomenowychNadal jest to prosta do zastosowania warstwa, bardzo przydatna w połączeniu z innymi zasadami bezpieczeństwa.
Polityka bezpieczeństwa treści (CSP) i dyrektywa dotycząca przodków ramek
CSP pozwala zdefiniować, które źródła treści są upoważnione do ładowania zasobów w Twojej witrynie. W odniesieniu do clickjackingu dyrektywa frame-ancestors To jest kluczowe: możesz określić, które źródła mogą umieszczać Twoje strony w ramkach.
- Polityka bezpieczeństwa treści: przodkowie ramek 'brak': zabrania jakiejkolwiek witrynie hostowania Twojej treści w ramce iframe.
- Polityka bezpieczeństwa treści: przodkowie ramek „self”:ogranicza ramki do samej domeny.
- Polityka bezpieczeństwa treści: przodkowie ramek https://example.com:autoryzuje tylko określone domeny.
Połączenie CSP z opcjami X-Frame zapewnia znacznie solidniejszą ochronę przed próbami załadowania Twojej witryny do ramek iframe stron trzecich w celach złośliwych.
Skrypty do usuwania i łamania ramek
Inną techniką, szczególnie przydatną w starszych przeglądarkach, jest włączenie skryptów, które wykrywają, czy strona jest załadowana w ramce i, jeśli tak, wymuszają jej usunięcie (na przykład otwierając stronę w oknie głównym). Skrypty te mogą również próbować wyświetlić niewidoczne ramki lub uniemożliwić ich kliknięcie.
Chociaż atakujący posiadający zaawansowaną wiedzę mogą obejść te metodyNadal stanowią dodatkową barierę, szczególnie w połączeniu z nowoczesnymi złączami i dobrą konfiguracją CSP.
Interfejs API obserwatora skrzyżowań i kontrola widoczności
Interfejs API Intersection Observer pozwala programistom określić, czy i w jakim stopniu dany element jest faktycznie widoczny dla użytkownika. Dzięki niemu można sprawdzić, czy kluczowa część interfejsu (np. przycisk „Usuń konto”) jest zasłonięta przez inną warstwę, nawet w ramce iframe. Jeśli przycisk nie jest w pełni widoczny, można wyłączyć tę akcję lub zażądać dodatkowego potwierdzenia.
Rozszerzenia korporacyjne i bezpieczeństwo poczty e-mail
W środowisku biznesowym wskazane jest połączenie tych środków z solidnymi filtrami antyspamowymi, które blokują wiadomości phishingowe lub te, których celem jest zwabienie pracowników na strony internetowe oszustów. Ponadto regularne informowanie pracowników o tego typu zagrożeniach zmniejsza prawdopodobieństwo kliknięcia przez nich niebezpiecznych linków wysyłanych pocztą elektroniczną.
Dodatkowe najlepsze praktyki dla witryn wrażliwych
Poza nagłówkami i polityką istnieją strategie projektowe które pomagają zminimalizować skutki potencjalnego ataku typu clickjacking lub znacznie utrudniają jego pomyślne przeprowadzenie.
Nie pozwól, aby jedno naciśnięcie klawisza spowodowało wykonanie działań destrukcyjnych
W przypadku operacji o znaczeniu krytycznym (usuwanie kont, przelewanie dużych kwot pieniędzy, zmiana ustawień zabezpieczeń) wskazane jest wymaganie więcej niż jednego czynnika: ponowne żądanie hasła, żądanie kodu 2FA, wyświetlenie podsumowania operacji i żądanie wyraźnego potwierdzenia w kontekście, który trudno odtworzyć za pomocą niewidocznej ramki.
Weryfikacja kontekstu źródłowego
W przypadku wrażliwych formularzy i akcji programiści powinni weryfikować nie tylko treść żądania, ale także jego pochodzenie, nagłówki, tokeny CSRF i inne istotne informacje. Chociaż nie zapobiega to wszelkim przypadkom clickjackingu, to komplikuje eksploatację i zmniejsza powierzchnię ataku.
Monitorowanie nietypowych wzorców kliknięć
Jeśli usługa wykryje, że wielu użytkowników wielokrotnie klika dokładnie te same współrzędne lub że krytyczne działania są zawsze wykonywane po tym samym typie zdarzenia wizualnego, może uruchomić alerty i przeprowadzić ich analizę w celu ustalenia, czy nie ma miejsca potencjalny atak na interfejs.
Szkolenia wewnętrzne i świadomość
W organizacjach z aplikacjami skierowanymi do internetu kluczowe jest, aby zespoły ds. rozwoju, bezpieczeństwa i wsparcia rozumiały, czym jest clickjacking i jak go ograniczać. Obejmuje to regularne przeglądanie aplikacji, przeprowadzanie audytów bezpieczeństwa oraz korzystanie z zasobów, takich jak przewodniki OWASP czy specjalistyczne szkolenia.
Ostatecznie clickjacking jest połączeniem wizualnego oszustwa i nadużycia legalnych funkcji witryny internetowej.Jest to zagrożenie ciche, niewidoczne gołym okiem i może opierać się na bardziej złożonych łańcuchach ataków, jednak można mu zapobiegać, stosując zdrowy rozsądek podczas przeglądania stron internetowych, stosując stałe aktualizacje, stosując odpowiednie narzędzia bezpieczeństwa i stosując dobre praktyki w zakresie tworzenia aplikacji internetowych i mobilnych.