Pozornie niewinne kliknięcie „Lubię to” lub zaprenumerowanie newslettera na stronie sklepu internetowego może doprowadzić do pobrania złośliwego oprogramowania i uruchomienia kodu, dzięki któremu hakerzy uzyskają dostęp do haseł lub włączą możliwość rejestrowania naciskanych klawiszy. Stosowana przez cyberprzestępców technika, w której wykorzystują do swoich działań bezpieczne witryny internetowe, to clickjacking.
Wyobraźmy sobie sytuację, w której na podsuniętej nam kartce papieru z formularzem mamy w odpowiednich polach wpisać swoją nazwę użytkownika i hasło oraz inne wrażliwe dane. Jednak ktoś na tę kartkę nakleił przezroczystą folię i to na niej niczego nieświadoma ofiara napisze wszystkie informacje. Pusta kartka trafi do uczciwego odbiorcy, zaś folia – do złodzieja danych. Dokładnie taki mechanizm działania stosowany jest przy atakach typu clickjacking. Na znaną i zaufaną stronę internetową cyberprzestępcy potrafią nałożyć złośliwą, niewidoczną dla użytkowników warstwę. Internauta, klikając w linki, które mogą wydawać się bezpieczne, albo wypełniając formularze rejestracyjne, w rzeczywistości nieświadomie może stać się ofiarą oszustów.
Cyberprzestępcy, którzy chcą skorzystać z ataków typu clickjacking, mają do dyspozycji kilka metod działania. Ta z nałożeniem przezroczystej warstwy na całą stronę jest najprostsza, ale fakt jej występowania jest też relatywnie łatwy do wykrycia przez oprogramowanie ochronne klasy EDR (Endpoint Detection and Response). Dlatego stosowane są inne sztuczki polegające na ukrywaniu różnych obiektów na oficjalnej stronie albo wprowadzaniu nowych. Mogą to być posty łudząco podobne do tych występujących w mediach społecznościowych. Kliknięcie w przycisk „Lubię to” może wówczas wywołać niepożądaną akcję, jak pobranie złośliwego kodu albo włączenie kamery internetowej. W innych przypadkach są to podstawione formularze logowania, a wprowadzone do nich wrażliwe dane trafiają prosto do bazy danych cyberprzestępców i zostaną przez nich wykorzystane lub odsprzedane dalej.
Ataki tego typu są złożone i trudne do zidentyfikowania. Szczególnie niepokojący jest fakt, że możliwość wykrycia takich aktywności z perspektywy zwykłego użytkownika internetu jest ograniczona (chociaż istnieją pewne sposoby zapewniające prewencję), a do wdrożenia odpowiednich zabezpieczeń witryn internetowych ich właściciele zazwyczaj potrzebują pomocy specjalistów.
– Ze względu na ukryty charakter działań, ofiary nie są w stanie dostrzec niebezpieczeństwa. Istnieją jednak pewne symptomy, które u świadomego użytkownika sieci mogą wzbudzić podejrzenia. Przykładowo, jeśli po kliknięciu na okienko ze zgodą na przetwarzanie danych osobowych następuje widoczna, szybka podmiana treści albo strona nie reaguje na kliknięcia, może to wskazywać na próbę oszustwa. Jeśli w takiej lub podobnej sytuacji w głowie użytkownika zapala się czerwona lampka ostrzegawcza, warto zgłosić to do administratora strony internetowej, który będzie mógł podjąć odpowiednie działania w celu weryfikacji tego przypadku i ewentualnego przywrócenia bezpieczeństwa witryny – radzi Robert Dąbrowski, szef zespołu inżynierów w polskim oddziale Fortinet.
Jak uchronić się przed niebezpieczeństwem?
Odpowiedzialność za zapewnienie bezpieczeństwa przed atakiem typu clickjacking leży przede wszystkim po stronie właścicieli witryn. Najbardziej skuteczne będą działania podejmowanie przez zespół programistów, którzy mogą zainstalować na serwerach stron internetowych odpowiednie mechanizmy ochronne kontrolujące wyświetlane treści oraz blokujące prezentowanie potencjalnie niebezpiecznej zawartości w przeglądarce. Ale istnieją też pewne kroki, które firmy mogą podjąć, aby uchronić swoich pracowników i klientów przed takimi atakami.
Kluczowa jest edukacja pracowników. Gdy personel firmy jest świadomy ryzyka, może zareagować oraz powiadomić o potencjalnym ataku specjalistów posiadających wiedzę i narzędzia do zlikwidowania niebezpieczeństwa. Kolejnym ważnym środkiem ochronnym jest zainstalowanie zapory sieciowej nowej generacji (NGFW), która zawiera funkcję firewalla aplikacyjnego, będącego w stanie rozpoznać i blokować pojawiające się w sieci zagrożenia, także takie jak clickjacking.
Natomiast na komputerach użytkowników powinno znajdować się zawsze aktualne oprogramowanie ochronne, posiadające funkcję skanowania otwieranych stron internetowych. Koniecznie trzeba też pamiętać o systematycznym aktualizowaniu systemu operacyjnego i przeglądarek internetowych – niektóre ze stosowanych wcześniej przez cyberprzestępców metod clickjackingu udało się zablokować dzięki odpowiednim zabezpieczeniom w oprogramowaniu.
Ze względu na nieustanny rozwój sposobów prezentowania danych w globalnej sieci, cyberataki podobne do clickjackingu nadal będą prowadzone. Ofiary będą nakłaniane do wykonywania nieoczekiwanych działań na stronach internetowych wyglądających identycznie jak te, z których korzystały wcześniej. Dlatego nie należy ustawać w wysiłkach edukacyjnych, które mają na celu budowanie świadomości prowadzącej do udaremnienia cyberataku poprzez szybkie zgłaszanie administratorom podejrzanych sytuacji. Ale równolegle konieczne jest wprowadzanie odpowiednich rozwiązań technicznych minimalizujących poziom zagrożenia.
Źródło: Fortinet
Wojciech Boczoń
