احذر من تحديد الشبكة الاجتماعية

من الصعب مقاومة النقر على رابط عرض iPhone مجاني. لكن كن حذرًا: يمكن اختراق نقراتك بسهولة ، وقد تكون النتائج كارثية.

Clickjacking هي طريقة هجوم ، تُعرف أيضًا باسم إصلاح واجهة المستخدم ، لأنها يتم إعدادها عن طريق إخفاء (أو تصحيح) رابط باستخدام تراكب يخدع المستخدم للقيام بشيء مختلف عما يعتقده.

يتمتع معظم مستخدمي الشبكات الاجتماعية براحة البقاء متصلين بها في جميع الأوقات. يمكن للمهاجمين بسهولة الاستفادة من هذه العادة لإجبار المستخدمين على الإعجاب أو متابعة شيء ما دون أن يلاحظوا ذلك. للقيام بذلك ، يمكن لمجرم الإنترنت أن يضع زرًا مغريًا – على سبيل المثال ، بنص جذاب ، مثل “iPhone مجاني – عرض لوقت محدود” – على صفحة الويب الخاصة به وتراكب إطار غير مرئي مع صفحة الشبكة الاجتماعية فيه ، في مثل طريقة يوضع بها زر “أعجبني” أو “مشاركة” فوق زر iPhone المجاني.

يمكن أن تجبر خدعة النقر البسيطة هذه مستخدمي Facebook على الإعجاب بالمجموعات أو صفحات المعجبين دون علمهم.

السيناريو الموصوف بريء إلى حد ما ، بمعنى أن النتيجة الوحيدة للضحية هي إضافتها إلى مجموعة شبكة اجتماعية. ولكن مع بذل بعض الجهد الإضافي ، يمكن استخدام نفس الأسلوب لتحديد ما إذا كان المستخدم قد تم تسجيل دخوله إلى حسابه المصرفي ، وبدلاً من الإعجاب ببعض عناصر الوسائط الاجتماعية أو مشاركتها ، قد يضطر إلى النقر فوق زر يقوم بتحويل الأموال إلى حساب المهاجم ، على سبيل المثال. أسوأ جزء هو أنه لا يمكن تتبع الإجراء الضار ، لأنه تم تسجيل دخول المستخدم إلى حسابه المصرفي بشكل شرعي ، وقام هو أو هي بالنقر طواعية على زر التحويل.

نظرًا لأن معظم تقنيات الاختراق تتطلب هندسة اجتماعية ، فإن الشبكات الاجتماعية تصبح ناقلًا مثاليًا للهجوم.

دعونا نرى كيف يتم استخدامها.

Clickjacking على Twitter

منذ حوالي عشر سنوات ، تعرضت شبكة Twitter الاجتماعية لهجوم هائل أدى إلى نشر رسالة بسرعة ، مما دفع المستخدمين إلى النقر فوق ارتباط ، مستغلين فضولهم الطبيعي.

تم نشر التغريدات التي تحمل النص “لا تنقر” متبوعة برابط بسرعة عبر آلاف حسابات Twitter. عندما نقر المستخدمون على الرابط ثم على زر يبدو أنه بريء على الصفحة الهدف ، تم إرسال تغريدة من حساباتهم. تضمنت هذه التغريدة النص “لا تنقر” متبوعًا بالرابط الضار.

  19 حزمة Node.js يجب معرفتها كمطور JavaScript لحياة إنتاجية وسهلة

قام مهندسو تويتر بتصحيح هجوم الاختراق بعد وقت قصير من بدئه. ثبت أن الهجوم نفسه غير ضار ، وكان بمثابة إنذار ينذر بالمخاطر المحتملة التي تنطوي عليها مبادرات Twitter clickjacking. ينقل الرابط الضار المستخدم إلى صفحة ويب بها إطار iframe مخفي. كان داخل الإطار زرًا غير مرئي أرسل تغريدة خبيثة من حساب الضحية.

Clickjacking على Facebook

يتعرض مستخدمو تطبيق Facebook للجوال لخلل يسمح لمرسلي البريد العشوائي بنشر محتوى قابل للنقر على جداولهم الزمنية ، دون موافقتهم. تم اكتشاف الخطأ بواسطة متخصص أمني كان يحلل حملة بريد عشوائي. لاحظ الخبير أن العديد من معارفه كانوا ينشرون رابطًا لصفحة بها صور مضحكة. قبل الوصول إلى الصور ، طُلب من المستخدمين النقر فوق إعلان بلوغ سن الرشد.

ما لم يعرفوه هو أن الإعلان كان في إطار غير مرئي.

عندما وافق المستخدمون على الإعلان ، تم نقلهم إلى صفحة بها صور مضحكة. ولكن في غضون ذلك ، تم نشر الرابط في الجدول الزمني للمستخدمين على Facebook. كان ذلك ممكنًا لأن مكون متصفح الويب في تطبيق Facebook لنظام Android غير متوافق مع رؤوس خيارات الإطار (نوضح أدناه ما هي عليه) ، وبالتالي يسمح بتراكب الإطارات الضار.

لا يتعرف Facebook على المشكلة على أنها خطأ لأنه لا يؤثر على سلامة حسابات المستخدمين. لذلك من غير المؤكد ما إذا كان سيتم إصلاحه على الإطلاق.

Clickjacking على الشبكات الاجتماعية الأقل

إنها ليست مجرد Twitter و Facebook. تحتوي الشبكات الاجتماعية ومنصات المدونات الأخرى الأقل شيوعًا على نقاط ضعف تسمح باختراق النقرات. LinkedIn ، على سبيل المثال ، كان لديه عيب فتح الباب للمهاجمين لخداع المستخدمين لمشاركة ونشر الروابط نيابة عنهم ولكن دون موافقتهم. قبل إصلاحه ، سمح الخلل للمهاجمين بتحميل صفحة LinkedIn ShareArticle على إطار مخفي ، وتراكب هذا الإطار على صفحات مع روابط أو أزرار تبدو بريئة وجذابة.

حالة أخرى هي Tumblr ، منصة التدوين على الويب العامة. يستخدم هذا الموقع رمز JavaScript لمنع النقر فوق الاختراق. لكن طريقة الحماية هذه تصبح غير فعالة حيث يمكن عزل الصفحات في إطار HTML5 الذي يمنعهم من تشغيل كود JavaScript. يمكن استخدام تقنية مصممة بعناية لسرقة كلمات المرور ، والجمع بين الخلل المذكور مع مكون إضافي لمتصفح مساعد كلمة المرور: من خلال خداع المستخدمين لكتابة نص كابتشا خاطئ ، يمكن أن يرسلوا كلمات المرور الخاصة بهم عن غير قصد إلى موقع المهاجم.

تزوير عبر الموقع

يُطلق على أحد أشكال هجوم النقر فوق تزييف الطلب عبر المواقع أو CSRF اختصارًا. بمساعدة الهندسة الاجتماعية ، يوجه مجرمو الإنترنت هجمات CSRF ضد المستخدمين النهائيين ، مما يجبرهم على تنفيذ إجراءات غير مرغوب فيها. يمكن أن يكون ناقل الهجوم عبارة عن رابط يتم إرساله عبر البريد الإلكتروني أو الدردشة.

  كيفية كتابة الحروف المقلوبة

لا تهدف هجمات CSRF إلى سرقة بيانات المستخدم لأن المهاجم لا يمكنه رؤية الرد على الطلب المزيف. بدلاً من ذلك ، تستهدف الهجمات طلبات تغيير الحالة ، مثل تغيير كلمة المرور أو تحويل الأموال. إذا كان للضحية امتيازات إدارية ، فإن الهجوم لديه القدرة على اختراق تطبيق ويب بأكمله.

يمكن تخزين هجوم CSRF على مواقع الويب المعرضة للخطر ، لا سيما مواقع الويب التي يُطلق عليها “عيوب CSRF المخزنة”. يمكن تحقيق ذلك عن طريق إدخال علامات IMG أو IFRAME في حقول الإدخال التي تظهر لاحقًا على الصفحة ، مثل التعليقات أو صفحة نتائج البحث.

منع هجمات التأطير

يمكن معرفة المتصفحات الحديثة إذا كان مصدر معين مسموحًا به أم لا يتم تحميله داخل إطار. يمكنهم أيضًا اختيار تحميل مورد في إطار فقط عندما ينشأ الطلب من نفس الموقع الذي يوجد فيه المستخدم. بهذه الطريقة ، لا يمكن خداع المستخدمين للنقر على إطارات غير مرئية تحتوي على محتوى من مواقع أخرى ، ولن يتم اختراق نقراتهم.

تقنيات التخفيف من جانب العميل تسمى كسر الإطار أو قتل الإطار. على الرغم من أنها يمكن أن تكون فعالة في بعض الحالات ، إلا أنه يمكن تجاوزها بسهولة. هذا هو السبب في أن الأساليب من جانب العميل لا تعتبر أفضل الممارسات. بدلاً من كسر الإطار ، يوصي خبراء الأمن بأساليب من جانب الخادم مثل X-Frame-Options (XFO) أو طرق أحدث ، مثل Content Security Policy.

X-Frame-Options عبارة عن رأس استجابة تقوم خوادم الويب بتضمينه على صفحات الويب للإشارة إلى ما إذا كان يُسمح للمستعرض بإظهار محتوياته داخل إطار أم لا.

يسمح رأس X-Frame-Option بثلاث قيم.

  • DENY ، والذي يحظر عرض الصفحة داخل إطار
  • SAMEORIGIN ، الذي يسمح بعرض الصفحة داخل إطار طالما بقيت في نفس المجال
  • ALLOW-FROM URI ، الذي يسمح بعرض الصفحة داخل إطار ولكن فقط في URI محدد (معرف الموارد المنتظم) ، على سبيل المثال ، فقط داخل صفحة ويب معينة ومحددة.

تتضمن أساليب مكافحة الاختراق الأحدث سياسة أمان المحتوى (CSP) مع توجيه أسلاف الإطار. يستخدم هذا الخيار على نطاق واسع في استبدال XFO. تتمثل إحدى الفوائد الرئيسية لـ CSP مقارنة بـ XFO في أنها تسمح لخادم الويب بتفويض مجالات متعددة لتأطير محتواها. ومع ذلك ، فهي غير مدعومة حتى الآن من قبل جميع المتصفحات.

  كيفية تحميل الموسيقى على يوتيوب الموسيقى

يعترف توجيه CSP’s frame-Ancestors بثلاثة أنواع من القيم: “لا شيء” لمنع أي مجال من عرض المحتوى ؛ “self” ، للسماح للموقع الحالي فقط بإظهار المحتوى في إطار ، أو قائمة عناوين URL مع أحرف البدل ، مثل “* .some site.com ،”https://www.example.com/index.html، “إلخ ، للسماح فقط بالتأطير في أي صفحة تطابق عنصرًا من القائمة.

كيف تحمي نفسك من السرقة

من الملائم أن تظل مسجلاً في إحدى الشبكات الاجتماعية أثناء التصفح ، ولكن إذا قمت بذلك ، فأنت بحاجة إلى توخي الحذر عند النقرات التي تقوم بها. يجب أيضًا الانتباه إلى المواقع التي تزورها لأنهم لا يتخذون جميعًا الإجراءات اللازمة لمنع النقر. في حالة عدم تأكدك من أحد مواقع الويب التي تزورها ، يجب ألا تنقر فوق أي نقرة مشبوهة ، بغض النظر عن مدى إغرائها.

شيء آخر يجب الانتباه إليه هو إصدار المتصفح الخاص بك. حتى إذا كان الموقع يستخدم جميع رؤوس منع النقر التي ذكرناها من قبل ، فليست كل المتصفحات تدعمها جميعًا ، لذا تأكد من استخدام أحدث إصدار يمكنك الحصول عليه وأنه يدعم ميزات مكافحة الاختراق.

الفطرة السليمة هي أداة فعالة للحماية الذاتية ضد سرقة النقرات. عندما ترى محتوى غير عادي ، بما في ذلك رابط نشره صديق على أي شبكة اجتماعية ، قبل القيام بأي شيء ، يجب أن تسأل نفسك ما إذا كان هذا هو نوع المحتوى الذي سينشره صديقك. إذا لم يكن الأمر كذلك ، يجب أن تحذر صديقك من أنه قد يكون ضحية للقرصنة.

نصيحة أخيرة: إذا كنت مؤثرًا ، أو لديك عدد كبير جدًا من المتابعين أو الأصدقاء على أي شبكة اجتماعية ، فيجب عليك مضاعفة احتياطاتك وممارسة سلوك مسؤول عبر الإنترنت. لأنه إذا أصبحت ضحية لاختطاف النقرات ، سينتهي الهجوم بالتأثير على مجموعة كبيرة من الأشخاص.