ระวังการระบุเครือข่ายสังคม

เป็นการยากที่จะต้านทานการคลิกลิงก์ข้อเสนอ iPhone ฟรี แต่โปรดระวัง: การคลิกของคุณอาจถูกแย่งชิงได้ง่าย และผลลัพธ์อาจเป็นหายนะได้

Clickjacking เป็นวิธีการโจมตีที่เรียกว่า User Interface Redressing เนื่องจากมีการตั้งค่าโดยการปลอมแปลง (หรือแก้ไข) ลิงก์ด้วยการซ้อนทับที่หลอกให้ผู้ใช้ทำสิ่งที่แตกต่างไปจากที่เขาหรือเธอคิด

ผู้ใช้เครือข่ายโซเชียลส่วนใหญ่ชอบความสะดวกสบายในการเข้าสู่ระบบตลอดเวลา ผู้โจมตีสามารถใช้ประโยชน์จากนิสัยนี้ได้อย่างง่ายดายเพื่อบังคับให้ผู้ใช้ชอบหรือติดตามบางสิ่งโดยไม่สังเกตเห็น ในการทำเช่นนี้ อาชญากรไซเบอร์สามารถใส่ปุ่มที่ดึงดูด เช่น พร้อมข้อความที่น่าสนใจ เช่น “iPhone ฟรี – ข้อเสนอจำกัดเวลา” บนหน้าเว็บของตนเอง และซ้อนทับกรอบที่มองไม่เห็นซึ่งมีหน้าของโซเชียลเน็ตเวิร์กอยู่ในนั้น วิธีที่ปุ่ม “ถูกใจ” หรือ “แชร์” วางเหนือปุ่ม iPhone ฟรี

เคล็ดลับการคลิกง่าย ๆ นี้สามารถบังคับให้ผู้ใช้ Facebook กดถูกใจกลุ่มหรือแฟนเพจโดยไม่รู้ตัว

สถานการณ์ที่อธิบายนั้นค่อนข้างไร้เดียงสา ในแง่ที่ว่าจะต้องเพิ่มผลที่ตามมาสำหรับเหยื่อลงในกลุ่มโซเชียลเน็ตเวิร์กเท่านั้น แต่ด้วยความพยายามพิเศษบางอย่าง เทคนิคเดียวกันนี้สามารถใช้ในการพิจารณาว่าผู้ใช้เข้าสู่ระบบบัญชีธนาคารของตนหรือไม่ และแทนที่จะกดถูกใจหรือแชร์รายการบนโซเชียลมีเดีย เขาหรือเธออาจถูกบังคับให้คลิกที่ปุ่มเพื่อโอนเงินไปยัง บัญชีของผู้โจมตี เป็นต้น ส่วนที่เลวร้ายที่สุดคือไม่สามารถติดตามการกระทำที่เป็นอันตรายได้ เนื่องจากผู้ใช้เข้าสู่ระบบบัญชีธนาคารของเขาหรือเธออย่างถูกต้องตามกฎหมาย และเขาหรือเธอคลิกปุ่มโอนเงินโดยสมัครใจ

เนื่องจากเทคนิคการคลิกแจ็กส่วนใหญ่ต้องใช้วิศวกรรมโซเชียล เครือข่ายโซเชียลจึงกลายเป็นเวกเตอร์การโจมตีในอุดมคติ

มาดูกันว่าเค้าใช้กันยังไง

Clickjacking บน Twitter

เมื่อประมาณสิบปีที่แล้ว เครือข่ายสังคม Twitter ประสบกับการโจมตีครั้งใหญ่ที่แพร่กระจายข้อความอย่างรวดเร็ว ซึ่งทำให้ผู้ใช้คลิกลิงก์โดยใช้ประโยชน์จากความอยากรู้อยากเห็นตามธรรมชาติของพวกเขา

ทวีตที่มีข้อความว่า “อย่าคลิก” ตามด้วยลิงก์เผยแพร่อย่างรวดเร็วในบัญชี Twitter หลายพันบัญชี เมื่อผู้ใช้คลิกลิงก์แล้วกดปุ่มที่ดูเหมือนไร้เดียงสาบนหน้าเป้าหมาย ทวีตจะถูกส่งจากบัญชีของพวกเขา ทวีตดังกล่าวมีข้อความว่า “อย่าคลิก” ตามด้วยลิงก์ที่เป็นอันตราย

  ทั้งหมดที่คุณต้องรู้

วิศวกรของ Twitter แก้ไขการโจมตี clickjacking หลังจากเริ่มต้นได้ไม่นาน การโจมตีนั้นพิสูจน์แล้วว่าไม่เป็นอันตราย และทำงานเป็นสัญญาณเตือนภัยที่บอกถึงความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับการริเริ่ม clickjacking ของ Twitter ลิงก์ที่เป็นอันตรายนำผู้ใช้ไปยังหน้าเว็บที่มี iframe ซ่อนอยู่ ภายในเฟรมมีปุ่มที่มองไม่เห็นซึ่งส่งทวีตที่เป็นอันตรายจากบัญชีของเหยื่อ

Clickjacking บน Facebook

ผู้ใช้แอพ Facebook บนมือถือพบกับบั๊กที่ช่วยให้ผู้ส่งสแปมโพสต์เนื้อหาที่คลิกได้บนไทม์ไลน์ของตนโดยไม่ต้องได้รับความยินยอม จุดบกพร่องถูกค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัยซึ่งกำลังวิเคราะห์แคมเปญสแปม ผู้เชี่ยวชาญสังเกตว่าผู้ติดต่อของเขาหลายคนเผยแพร่ลิงก์ไปยังเพจที่มีรูปภาพตลกๆ ก่อนที่จะไปถึงรูปภาพ ผู้ใช้จะถูกขอให้คลิกที่ประกาศการบรรลุนิติภาวะ

สิ่งที่พวกเขาไม่รู้ก็คือการประกาศนั้นอยู่ภายใต้กรอบที่มองไม่เห็น

เมื่อผู้ใช้ยอมรับคำประกาศ พวกเขาถูกนำไปที่หน้าที่มีรูปภาพตลกๆ แต่ในขณะเดียวกัน ลิงก์ดังกล่าวก็ถูกเผยแพร่ในไทม์ไลน์ Facebook ของผู้ใช้ นั่นเป็นไปได้เพราะส่วนประกอบของเว็บเบราว์เซอร์ในแอพ Facebook สำหรับ Android ไม่รองรับส่วนหัวของตัวเลือกเฟรม (เราจะอธิบายด้านล่างว่าคืออะไร) ดังนั้นจึงอนุญาตให้มีการซ้อนทับเฟรมที่เป็นอันตรายได้

Facebook ไม่รู้จักปัญหาว่าเป็นข้อบกพร่อง เนื่องจากไม่มีผลกระทบต่อความสมบูรณ์ของบัญชีผู้ใช้ ดังนั้นจึงไม่แน่นอนว่าจะได้รับการแก้ไขหรือไม่

Clickjacking บนโซเชียลเน็ตเวิร์กระดับล่าง

ไม่ใช่แค่ Twitter และ Facebook โซเชียลเน็ตเวิร์กและแพลตฟอร์มบล็อกอื่น ๆ ที่ได้รับความนิยมน้อยกว่าก็มีช่องโหว่ที่ทำให้คลิกแจ็กได้ ตัวอย่างเช่น LinkedIn มีข้อบกพร่องที่เปิดโอกาสให้ผู้โจมตีหลอกล่อผู้ใช้ให้แชร์และโพสต์ลิงก์ในนามของพวกเขา แต่ไม่ได้รับคำยินยอมจากผู้ใช้ ก่อนที่จะได้รับการแก้ไข ข้อบกพร่องดังกล่าวทำให้ผู้โจมตีสามารถโหลดหน้า LinkedIn ShareArticle บนเฟรมที่ซ่อนอยู่ และซ้อนเฟรมนี้บนหน้าที่มีลิงก์หรือปุ่มที่ดูไร้เดียงสาและดึงดูดใจ

อีกกรณีหนึ่งคือ Tumblr ซึ่งเป็นแพลตฟอร์มบล็อกเว็บสาธารณะ ไซต์นี้ใช้โค้ด JavaScript เพื่อป้องกันการคลิกแจ็ก แต่วิธีการป้องกันนี้ใช้ไม่ได้ผลเนื่องจากสามารถแยกหน้าได้ในเฟรม HTML5 ที่ป้องกันไม่ให้เรียกใช้โค้ด JavaScript เทคนิคที่สร้างขึ้นอย่างระมัดระวังสามารถใช้เพื่อขโมยรหัสผ่านได้ โดยรวมข้อบกพร่องดังกล่าวเข้ากับปลั๊กอินเบราว์เซอร์ตัวช่วยรหัสผ่าน: โดยการหลอกให้ผู้ใช้พิมพ์ข้อความ captcha ปลอม ผู้ใช้อาจส่งรหัสผ่านไปยังไซต์ของผู้โจมตีโดยไม่ตั้งใจ

การปลอมแปลงคำขอข้ามไซต์

รูปแบบหนึ่งของการโจมตีแบบ clickjacking เรียกว่าการปลอมแปลงคำขอข้ามไซต์หรือเรียกสั้นๆ ว่า CSRF ด้วยความช่วยเหลือจากวิศวกรรมสังคม อาชญากรไซเบอร์มุ่งโจมตี CSRF กับผู้ใช้ปลายทาง บังคับให้พวกเขาดำเนินการที่ไม่ต้องการ เวกเตอร์การโจมตีสามารถเป็นลิงค์ที่ส่งทางอีเมลหรือแชท

การโจมตี CSRF ไม่ได้มีเจตนาที่จะขโมยข้อมูลของผู้ใช้ เนื่องจากผู้โจมตีมองไม่เห็นการตอบสนองต่อคำขอปลอม การโจมตีมุ่งเป้าไปที่คำขอเปลี่ยนสถานะ เช่น การเปลี่ยนรหัสผ่านหรือการโอนเงิน หากเหยื่อมีสิทธิ์ระดับผู้ดูแลระบบ การโจมตีมีโอกาสทำให้เว็บแอปพลิเคชันทั้งหมดเสียหายได้

  8 เครื่องมือตอบกลับสำเร็จรูปเพื่อช่วยเพิ่มประสิทธิภาพและบริการลูกค้า

การโจมตี CSRF สามารถจัดเก็บไว้บนเว็บไซต์ที่มีช่องโหว่ โดยเฉพาะเว็บไซต์ที่เรียกว่า “จัดเก็บข้อบกพร่อง CSRF” ซึ่งสามารถทำได้โดยการป้อนแท็ก IMG หรือ IFRAME ในช่องป้อนข้อมูลซึ่งจะแสดงในภายหลังในหน้า เช่น ความคิดเห็นหรือหน้าผลการค้นหา

ป้องกันการโจมตีแบบล้อมกรอบ

เบราว์เซอร์สมัยใหม่สามารถบอกได้ว่าทรัพยากรใดได้รับอนุญาตหรือไม่ให้โหลดภายในเฟรม พวกเขายังสามารถเลือกที่จะโหลดทรัพยากรในเฟรมเฉพาะเมื่อคำขอมาจากไซต์เดียวกับที่ผู้ใช้อยู่ ด้วยวิธีนี้ ผู้ใช้จะไม่ถูกหลอกให้คลิกเฟรมที่มองไม่เห็นซึ่งมีเนื้อหาจากไซต์อื่น และคลิกของพวกเขาจะไม่ถูกแย่งชิง

เทคนิคการลดขนาดฝั่งไคลเอ็นต์เรียกว่าการทำลายเฟรมหรือการฆ่าเฟรม แม้ว่าจะมีประสิทธิภาพในบางกรณี แต่ก็สามารถข้ามได้อย่างง่ายดาย นั่นคือเหตุผลที่วิธีการฝั่งไคลเอ็นต์ไม่ถือเป็นแนวทางปฏิบัติที่ดีที่สุด แทนที่จะใช้การหยุดเฟรม ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำวิธีการฝั่งเซิร์ฟเวอร์ เช่น X-Frame-Options (XFO) หรือวิธีที่ใหม่กว่า เช่น นโยบายความปลอดภัยของเนื้อหา

X-Frame-Options เป็นส่วนหัวการตอบสนองที่เว็บเซิร์ฟเวอร์รวมอยู่ในหน้าเว็บเพื่อระบุว่าเบราว์เซอร์ได้รับอนุญาตให้แสดงเนื้อหาภายในเฟรมหรือไม่

ส่วนหัว X-Frame-Option อนุญาตสามค่า

  • DENY ซึ่งห้ามไม่ให้แสดงเพจภายในเฟรม
  • SAMEORIGIN ซึ่งอนุญาตให้แสดงหน้าภายในเฟรม ตราบใดที่ยังอยู่ในโดเมนเดียวกัน
  • อนุญาตจาก URI ซึ่งอนุญาตให้แสดงเพจภายในเฟรมแต่เฉพาะใน URI ที่ระบุ (Uniform Resource Identifier) ​​เช่น เฉพาะภายในเว็บเพจเฉพาะเจาะจงเท่านั้น

วิธีการต่อต้านการคลิกแจ็กล่าสุดรวมถึงนโยบายความปลอดภัยของเนื้อหา (CSP) พร้อมคำสั่งเฟรมบรรพบุรุษ ตัวเลือกนี้ใช้กันอย่างแพร่หลายในการแทนที่ XFO ประโยชน์หลักประการหนึ่งของ CSP เมื่อเปรียบเทียบกับ XFO คือช่วยให้เว็บเซิร์ฟเวอร์สามารถอนุญาตโดเมนหลายโดเมนเพื่อเฟรมเนื้อหาได้ อย่างไรก็ตาม ยังไม่รองรับเบราว์เซอร์ทั้งหมด

คำสั่งเฟรมบรรพบุรุษของ CSP ยอมรับค่าสามประเภท: ‘ไม่มี’ เพื่อป้องกันไม่ให้โดเมนใด ๆ แสดงเนื้อหา; ‘self’ เพื่ออนุญาตให้เฉพาะไซต์ปัจจุบันแสดงเนื้อหาในเฟรม หรือรายการ URL ที่มีไวด์การ์ด เช่น ‘*.some site.com’ ‘https://www.example.com/index.html,’ ฯลฯ เพื่ออนุญาตเฉพาะการจัดเฟรมในหน้าที่ตรงกับองค์ประกอบจากรายการเท่านั้น

วิธีป้องกันตัวเองจากการคลิกแจ็ก

สะดวกที่จะอยู่ในระบบโซเชียลเน็ตเวิร์กในขณะที่เรียกดูไปรอบๆ แต่ถ้าคุณทำเช่นนั้น คุณต้องระมัดระวังในการคลิก นอกจากนี้ คุณควรให้ความสนใจกับเว็บไซต์ที่คุณเข้าชมด้วย เพราะไม่ใช่ทุกเว็บไซต์ที่มีมาตรการที่จำเป็นเพื่อป้องกันการคลิกแจ็ก ในกรณีที่คุณไม่แน่ใจเกี่ยวกับเว็บไซต์ที่คุณกำลังเข้าชม คุณไม่ควรคลิกการคลิกที่น่าสงสัยใดๆ ไม่ว่ามันจะดึงดูดใจแค่ไหนก็ตาม

  Nightblade ใน MM2 มีค่าแค่ไหน?

อีกสิ่งหนึ่งที่ควรคำนึงถึงคือเวอร์ชันของเบราว์เซอร์ของคุณ แม้ว่าเว็บไซต์จะใช้ส่วนหัวการป้องกันการคลิกแจ็คทั้งหมดที่เรากล่าวถึงก่อนหน้านี้ แต่เบราว์เซอร์บางตัวไม่รองรับทั้งหมด ดังนั้นโปรดใช้เวอร์ชันล่าสุดที่คุณจะได้รับและรองรับฟีเจอร์ป้องกันการคลิกแจ็ค

สามัญสำนึกเป็นอุปกรณ์ป้องกันตนเองที่มีประสิทธิภาพจากการคลิกแจ็ก เมื่อคุณเห็นเนื้อหาที่ผิดปกติ รวมถึงลิงก์ที่โพสต์โดยเพื่อนบนโซเชียลเน็ตเวิร์ก ก่อนที่จะทำอะไร คุณควรถามตัวเองว่าเนื้อหาประเภทนั้นที่เพื่อนของคุณจะเผยแพร่หรือไม่ ถ้าไม่ คุณควรเตือนเพื่อนของคุณว่าเขาหรือเธออาจตกเป็นเหยื่อของ clickjacking

คำแนะนำสุดท้าย: หากคุณเป็นอินฟลูเอนเซอร์ หรือคุณมีผู้ติดตามหรือเพื่อนจำนวนมากบนโซเชียลเน็ตเวิร์ก คุณควรเพิ่มความระมัดระวังเป็นสองเท่าและฝึกพฤติกรรมที่มีความรับผิดชอบทางออนไลน์ เพราะหากคุณตกเป็นเหยื่อของการคลิกแจ็ก การโจมตีจะส่งผลกระทบต่อผู้คนจำนวนมาก

เรื่องล่าสุด

x