Что такое кликджекинг и как его предотвратить
Опубликовано: 2023-01-17Clickjacking — это вредоносный веб-эксплойт, который существует с тех пор, как первые веб-сайты появились в Интернете. Clickjackers используют методы для встраивания одной веб-страницы в другую. В сочетании с обманчивой социальной инженерией, кликджекинговые атаки обеспечивают смехотворно высокий уровень успеха, ежедневно атакуя миллионы ничего не подозревающих жертв.
Как самый популярный фреймворк для создания веб-сайтов в мире, WordPress является крупной мишенью для кликджекинга. По умолчанию только страница входа в WordPress и область администрирования не могут быть встроены в другую веб-страницу. Если есть другие части вашего сайта, которые вы не хотите встраивать в другие места, вы должны принять меры для их защиты самостоятельно.
Это руководство по кликджекингу или атакам с исправлением пользовательского интерфейса покажет вам, как работает кликджекинг, чтобы вы могли убедиться, что содержимое вашего веб-сайта WordPress не может быть использовано злоумышленниками для кражи конфиденциальной информации или обмана пользователей, заставляющих их делать что-то, что наносит им вред и/или помогает кликджекер.
Что такое кликджекинг?
Как следует из названия, кликджекинг перехватывает клики и другие действия веб-интерфейса. Это позволяет кликджекеру совершать действия в своих целях от имени своих ничего не подозревающих жертв.
Техническое название кликджекинга — «исправление интерфейса». Clickjackers «переделывают» законную веб-страницу, встраивая ее в свои собственные веб-сайты, где их собственный код может незаметно изменять то, что происходит, когда посетители взаимодействуют с ней. Это достигается путем встраивания законного контента, такого как страница входа или экран оплаты с законного веб-сайта или службы, на вредоносную веб-страницу, созданную преступником. Посетители могут нажать на, казалось бы, безобидную кнопку, ввести некоторую информацию в текстовое поле или даже выполнить перетаскивание элемента. Они не видят скрытый интерфейс, который выполняет другое, неожиданное действие, выгодное злоумышленнику.
Замаскировав свой сайт вашим контентом, кликджекеры надеются обманом заставить посетителей своего сайта выполнять нежелательные действия, такие как передача конфиденциальной информации или загрузка вредоносного ПО.
Как работает кликджекинг?
Атаки Clickjacking используют способность HTML загружать веб-страницу с одного веб-сайта на страницы другого сайта с помощью элементов <iframe>
или <objects>
.
В большинстве случаев атаки с исправлением пользовательского интерфейса основаны на том, что пользователь зашел на определенный веб-сайт и полагает, что находится на этом сайте, когда взаимодействует с «переоденным» сайтом кликджекеров. Таким образом, человек, заманенный на вредоносную веб-страницу, может выполнять определенные действия, которые хочет кликджекер, не осознавая, что он не взаимодействует со своим банком или знакомым сайтом WordPress.
Пять основных типов кликджекинга
Существует довольно много типов стратегий кликджекинга в зависимости от конечной цели злоумышленника. Они могут варьироваться от относительно безобидных действий (увеличение количества просмотров своих контентных сайтов или получение лайков к сообщению или видео) до кражи регистрационной информации или даже денег у ничего не подозревающей жертвы.
Clickjacking — очень универсальный способ осуществления широкого спектра вредоносных действий. Хотя кликджекинг считается формой кибератаки, он также может способствовать другим атакам, таким как XSS или межсайтовый скриптинг, атакам и даже использовать полезную нагрузку XSS для облегчения атак XSRF или подделки межсайтовых запросов.
Вот пять наиболее распространенных типов кликджекинга:
- Классический кликджекинг. Включает в себя выбор веб-сайта или службы-жертвы и использование их контента для обмана пользователей с целью выполнения ряда нежелательных действий.
- Лайкджекинг. Старый вариант кликджекинга, направленный на увеличение количества просмотров и лайков на определенной веб-странице или видео. Может считаться довольно безобидным и редко встречается в наши дни.
- Курсорджекинг. Техника, используемая злоумышленником для замены фактического курсора поддельным, чтобы заставить пользователя щелкнуть вредоносный элемент, не осознавая этого.
- Кукиджекинг . Обычная тактика, используемая злоумышленниками, заключается в получении файлов cookie, хранящихся в браузере жертвы. В большинстве случаев это выполняется пользователем, которому предлагается выполнить кажущуюся безобидной операцию перетаскивания на веб-страницу злоумышленника.
- Файлджекинг. Атака использует способность браузера открывать файлы на устройстве пользователя, позволяя злоумышленнику получить доступ к своей локальной файловой системе. Помимо локальной файловой системы, злоумышленник может получить доступ к микрофону на вашем устройстве или в вашем местоположении.
Жертвы кликджекинга: от платформ социальных сетей к системам онлайн-платежей
Clickjacking стал особенно популярен около десяти лет назад, когда основные платформы социальных сетей, такие как Facebook и Twitter, стали жертвами различных вариантов кликджекинга. Например, атака кликджекинга, проведенная в конце 2000-х годов, позволила злоумышленникам обманом заставить жертву рассылать спам всему списку друзей Facebook всего за один клик.
Растущая популярность исправления пользовательского интерфейса в последнее десятилетие побудила технологических гигантов быстро принять соответствующие меры для защиты своих платформ от этого типа атак. Однако исследователи безопасности продолжают сообщать о новых уязвимостях, затрагивающих крупные организации, даже сегодня.
Одна из самых заметных уязвимостей, обнаруженных недавно, затрагивала Paypal. В 2021 году исследователи угроз наткнулись на уязвимость в службе денежных переводов Paypal, которая потенциально может позволить злоумышленникам украсть деньги со счетов пользователей, используя переводы в один клик. Paypal наградил исследователя и объявил о планах по урегулированию ситуации.
Идеальная ловушка: подготовка атаки кликджекинга
Любая атака кликджекинга включает в себя три основных этапа: выбор целевого веб-сайта или веб-сайта жертвы, создание вредоносной веб-страницы и заманивание на нее клиентов целевого сайта или услуги.
Шаг 1. Выбор целевого сайта
Поскольку подавляющее большинство крупных организаций применяют строгие меры безопасности, которые не позволяют злоумышленникам выполнять кликджекинговые атаки против своих клиентов, хакеры часто нацелены на небольшие предприятия. Веб-сайты WordPress особенно привлекательны для преступников, поскольку программное обеспечение не применяет никаких мер безопасности по умолчанию, предотвращающих встраивание содержимого WordPress в веб-сайт злоумышленника.
Страница входа в WordPress и панель администратора являются исключениями, но ответственность за защиту остальной части сайта ложится на владельца сайта. В следующий раз, когда вы задаетесь вопросом, зачем хакеру атаковать ваш сайт, ответ прост — хакеру легко и удобно атаковать вас, особенно если вы не обновляете программное обеспечение WordPress. Из-за множества уязвимостей, постоянно возникающих в плагинах и темах WordPress, важно сделать правильный выбор в отношении того, что устанавливать. И затем обновляйте все программное обеспечение. В противном случае вы сделаете себя легкой мишенью.
В зависимости от типа веб-сайта WordPress, которым вы управляете, и контента, который вы публикуете, злоумышленник может атаковать разные его части. Взлом WordPress часто нацелен на веб-формы, страницы входа вне панели администратора WordPress и страницы оформления заказа WooCommerce с включенной оплатой в один клик.
Шаг 2. Создание вредоносной веб-страницы
После того, как целевой веб-сайт выбран и признан уязвимым для кликджекинга, злоумышленник создает вредоносную веб-страницу, чтобы заставить пользователей выполнить определенное действие. Взлом WordPress, вероятно, нацелен на функциональность электронной коммерции, но кража учетных данных и рассылка спама остается общей целью злоумышленников.
Хорошим примером кликджекинга является страница, на которой утверждается, что вы выиграли приз, и предлагается забрать его. Нажимая на кнопку «Получить мой приз», вы фактически отдаете личную информацию или подтверждаете покупку или денежный перевод.
Шаг 3. Заманивание пользователей целевого сайта в ловушку
Чтобы атака кликджекинга увенчалась успехом, злоумышленник должен заставить пользователей открыть свою вредоносную веб-страницу и поверить, что она является частью законного, знакомого сайта. Этого можно добиться разными способами, например, отправив ссылку на него в электронном письме или перенаправив пользователя с зараженного стороннего веб-сайта, который злоумышленник ранее взломал.
Если вы не переходите по ссылкам в необычных, неожиданных или подозрительных сообщениях электронной почты, текстовых сообщениях или чатах, вероятность успешной попытки кликджекинга очень мала, даже если вредоносная веб-страница злоумышленника выглядит вполне законной и не вызывает у вас подозрений. Современные браузеры также используют широкий спектр средств защиты от кликджекинга, а сочетание вашей бдительности и современных технологий браузера может значительно снизить вероятность успеха любых атак с исправлением пользовательского интерфейса.
Как не стать жертвой кликджекинга
Чтобы защитить себя от всех видов кликджекинга, не открывайте подозрительные электронные письма, рекламные объявления и ссылки на веб-сайты. Никогда не устанавливайте программное обеспечение из непроверенных источников. Поскольку кликджекинг основан на обманных методах социальной инженерии, научиться их обнаруживать — ваша лучшая защита. Кроме того, вы должны обновлять все свои браузеры и операционные системы до последних версий. Вы также можете установить надежные расширения безопасности браузера и использовать современное антивирусное программное обеспечение, чтобы не стать жертвой кликджекинга и других опасных кибератак.
С подозрением относитесь к приглашениям перейти по ссылке
Clickjackers часто рассылают ссылки потенциальным жертвам по электронной почте, SMS и приложениям для обмена сообщениями. Если вы ничего не сделали, чтобы запросить или инициировать такое сообщение, посмотрите на его источник. Clickjackers часто отправляют сообщения с доменов, поддоменов и имен учетных записей, которые похожи на законные сайты, такие как Paypal. Посмотрите, сможете ли вы обнаружить небольшие различия, которые делают этих отправителей подозрительными:
- [электронная почта защищена]
- http://paypaI.com
В первом случае «paypal» — это поддомен, который любой может присоединить к основному домену верхнего уровня, в данном случае «app1.com». Это не пейпал.
Во втором случае строчная буква «l» была заменена прописной буквой «I», которая идентична во многих распространенных шрифтах. Clickjackers часто регистрируют такие домены с небольшими ошибками, чтобы заставить людей поверить, что они от законного отправителя.
Вы также можете просмотреть заголовки электронной почты, чтобы увидеть источник сообщения. Ознакомьтесь с доменами и адресами электронной почты, используемыми вашими финансовыми учреждениями и другими важными учетными записями. У них также будет политика, определяющая, как они будут или не будут связываться с вами и как они будут идентифицировать себя. Не доверяйте никаким сообщениям, которые не соответствуют этим параметрам. Лучше быть в безопасности, чем потом сожалеть!
Установите расширения браузера для защиты от кликджекинга
В дополнение к встроенным функциям безопасности вашего браузера расширения браузера, защищающие от кликджекинга, могут обеспечить более высокий уровень защиты от кликджекинга и межсайтовых атак. NoScript — самое популярное кросс-браузерное расширение, поддерживаемое Google Chrome, Mozilla Firefox и Microsoft Edge. JS Blocker — отличная альтернатива NoScript для пользователей Safari.
Три шага для защиты вашего сайта WordPress от кликджекинга
WordPress по умолчанию защищает панель администратора и страницу входа от кликджекинга, но все остальные области вашего сайта нуждаются в дополнительной защите. Количество атак, которые сегодня могут быть выполнены против большинства веб-сайтов, делает безопасность наивысшим приоритетом для владельцев сайтов.
К счастью, есть много способов защитить себя от кликджекинга WordPress. , Вы должны комбинировать несколько подходов, чтобы убедиться, что они поддерживаются всеми браузерами. Кроме того, сочетание мер безопасности поможет обеспечить защиту содержимого вашего веб-сайта от всех типов вредоносных действий, которые могут облегчить атаки с исправлением пользовательского интерфейса.
Есть три важных шага, которые вы можете предпринять, чтобы защитить свой сайт WordPress от кликджекинга:
- Настройте заголовок X-Frame-Options, чтобы никто не мог загружать содержимое вашего веб-сайта во фреймах на ненадежных сторонних ресурсах.
- Настройте директиву фреймов Content Security Policy (CSP), чтобы указать, какие веб-сайты могут встраивать страницы вашего веб-сайта во фреймы. (Обычно для этого можно установить значение «none».)
- Используйте атрибут файла cookie SameSite заголовка Set-Cookie для защиты от попыток кликджекинга и подделки межсайтовых запросов (CSRF).
Использование .htaccess для настройки заголовков ответа HTTP для WordPress
Заголовки ответа — это заголовки HTTP, используемые для определения конкретных переменных для связи клиент-сервер между вашим сайтом и браузерами его посетителей. Они невидимы для ваших посетителей. X-Frame-Options, Content Security Policy и Set-Cookie — все это примеры заголовков ответа HTTP.
Хотя некоторые плагины WordPress можно использовать для настройки заголовков ответа HTTP на веб-сайте WordPress, проще всего использовать локальный файл .htaccess. (Это предполагает, что ваша серверная среда использует Apache или Litespeed для обслуживания HTTP-запросов.) Конфигурация заголовка, указанная в файле .htaccess в корневом каталоге веб-сайта, применяется ко всем страницам веб-сайта.
Модуль Apache mod_headers позволяет настраивать заголовки ответов в .htaccess с помощью операторов Header set и Header append . Поскольку определенные заголовки можно настроить в глобальной конфигурации веб-сервера, иногда рекомендуется использовать добавление заголовка , чтобы объединить настроенное значение с существующим заголовком ответа вместо замены существующей конфигурации.
Поскольку ваш хостинг-провайдер может настроить определенные заголовки ответа HTTP для всех веб-сайтов по умолчанию, лучше связаться с ним, прежде чем вносить какие-либо изменения в .htaccess, чтобы избежать каких-либо проблем.
Настройте заголовок X-Frame-Options
Заголовок X-Frame-Options определяет, может ли веб-страница отображаться во фрейме, и список разрешенных для этого ресурсов. Есть две директивы для X-Frame-Options — DENY и SAMEORIGIN. Директива ALLOW-FROM, которая использовалась ранее, теперь устарела.
Значение DENY эффективно запрещает любому веб-сайту встраивать содержимое вашего веб-сайта во фреймы. Установка X-Frame-Options на SAMEORIGIN позволяет кадрировать контент, если запрос поступает с других страниц вашего сайта.
Чтобы настроить заголовок X-Frame-Options на своем веб-сайте WordPress, добавьте одну из следующих строк в файл .htaccess в каталоге установки WordPress. (Обратите внимание, что используется опция set.)
Заголовок устанавливает X-Frame-Options "DENY"
Набор заголовков X-Frame-Options "SAMEORIGIN"
Хотя современные браузеры включают только частичную поддержку X-Frame-Options или даже отказываются от нее в пользу директивы CSP frame-ancestors, ее настройка на вашем веб-сайте WordPress защитит старые браузеры.
Настройка директивы Frame-Ancestors политики безопасности содержимого
Заголовок ответа Content Security Policy — это мощная мера безопасности, которая может помочь смягчить ряд атак, включая кликджекинг, межсайтовый скриптинг, подделку запросов, перехват пакетов и атаки с внедрением данных. Content Security Policy поддерживается всеми современными браузерами.
Для директивы frame-ancestors политики безопасности контента можно установить значение none или self , чтобы запретить кадрирование контента или ограничить его использование пределами одного и того же веб-сайта, или вы можете указать список доверенных веб-сайтов вместе со списком типов контента. каждый может кадр.
Добавление приведенной ниже строки в .htaccess ограничит кадрирование всех типов контента текущим веб-сайтом:
Заголовок устанавливает Content-Security-Policy «предки фреймов 'self'»
Следующий вариант требует использования HTTPS:
Набор заголовков Content-Security-Policy «frame-ancestors 'self' https://mywpsite.com"
Добавьте заголовок Set-Cookie с атрибутом SameSite
Заголовок ответа Set-Cookie используется для передачи файла cookie с сервера в браузер. Настройка атрибута SameSite позволяет ограничить использование файлов cookie текущим веб-сайтом. Это помогает обеспечить защиту от атак кликджекинга, требующих аутентификации пользователя на целевом веб-сайте, и подделки межсайтовых запросов.
Установка для SameSite строгого режима эффективно предотвращает отправку файлов cookie сеанса, если в кадре делается запрос на целевой веб-сайт, даже если пользователь прошел проверку подлинности на целевом ресурсе. Обратите внимание, что меры сами по себе не могут смягчить все типы атак с использованием кликджекинга и подделки кросс-скриптов.
Чтобы реализовать атрибут SameSite заголовка Set Cookie на вашем сайте WordPress, добавьте следующую строку в файл .htaccess:
Набор заголовков Set-Cookie ^(.*)$ "$1; SameSite=Strict; Secure
Простой тест на кликджекинг
Вы можете проверить, может ли контент вашего сайта загружаться во фреймах с другого ресурса, создав простую HTML-страницу. Создайте HTML-файл с приведенным ниже кодом, предоставленным OWASP, и откройте его в своем браузере. Если вы не видите встроенную веб-страницу во фрейме, фреймирование контента успешно ограничено.
Обратите внимание, что лучше всего загрузить страницу на другой принадлежащий вам веб-сайт, если вы полностью не отключили кадрирование контента. В этом случае вы можете создать один из тех же веб-сайтов, которые вы тестируете.
<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>
Предотвратите Clickjacking и другие кибератаки на вашем сайте WordPress с помощью iThemes Security Pro
Clickjacking, также известный как исправление пользовательского интерфейса, использует возможность загрузки веб-страницы на другой веб-странице, чтобы заставить пользователей выполнять нежелательные действия. WordPress Clickjacking стал очень распространенным из-за отсутствия встроенных средств защиты, которые защищали бы веб-страницы, кроме страницы входа в WordPress и панели администратора.
Защитите себя от кликджекинга, ограничив возможность других создавать фреймы контента вашего веб-сайта с помощью заголовков ответов HTTP, таких как X-FRAME-OPTIONS, Content Security Policy и Set-Cookie. Используя локальный файл .htaccess в каталоге установки WordPress, вы можете легко применять эти политики безопасности на всем сайте.
Clickjacking остается активной угрозой безопасности, и межсайтовые сценарии в сочетании с подделкой запросов часто идут рука об руку с ним. Начните защищать себя от распространенных угроз безопасности, подобных этим, внимательно подходя ко всем аспектам безопасности вашего сайта WordPress.
iThemes Security Pro предлагает более 30 способов защиты наиболее уязвимых областей вашего сайта WordPress, защищая его от широкого спектра современных изощренных тактик, используемых злоумышленниками. Мощное сканирование уязвимостей, проверка подлинности без пароля и мониторинг целостности файлов позволяют значительно сократить поверхность атаки.
BackupBuddy и iThemes Sync Pro помогут вам регулярно создавать резервные копии вашего веб-сайта WordPress и обеспечат расширенный мониторинг времени безотказной работы, а также SEO-аналитику.
iThemes позаботится о том, чтобы вы всегда были в курсе последних угроз безопасности и новостей сообщества WordPress. Если вы новичок в WordPress, бесплатное обучение WordPress от iThemes может быть именно тем, что вам нужно для отличного старта.
Лучший плагин безопасности WordPress для защиты и защиты WordPress
В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злым умыслом. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, чтобы упростить защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.
Кики имеет степень бакалавра в области управления информационными системами и более двух лет опыта работы с Linux и WordPress. В настоящее время она работает специалистом по безопасности в Liquid Web и Nexcess. До этого Кики была частью группы поддержки Liquid Web Managed Hosting, где она помогла сотням владельцев веб-сайтов WordPress и узнала, с какими техническими проблемами они часто сталкиваются. Ее страсть к писательству позволяет ей делиться своими знаниями и опытом, чтобы помогать людям. Помимо технологий, Кики любит узнавать о космосе и слушать подкасты о реальных преступлениях.