Ilona
17 °C
31 °C
Index - In English In English Eng

Futótűzszerűen terjed a klikkeltérítéses támadás Facebookon

2010.06.04. 10:42
Biztonságtechnikai szakértők szerint aggasztó méreteket ölt a clickjacking, vagyis kattintáseltérítéses támadások száma a világ első számú közösségi oldalán, a Facebookon.

Valószínűleg olvasóink közül is sokan találkoztak már ilyennel: az ember az üzenőfalán azt látja, hogy egy ismerőse kipróbált egy jól hangzó nevű alkalmazást. Mivel általában bízunk az ismerőseinkben, és kíváncsiak is vagyunk, mi is ráklikkelünk a linkre.

Ilyenkor jobb esetben csak mindenféle bosszantó ablakok nyílnak meg, rosszabb esetben pedig éppen vírust telepítünk a gépünkre egy „Elmúltál már 18 éves?” kérdésre lelkesen az igen gombot megnyomva. És közben a mi ismerőseink üzenőfalain is megjelenik az üzenet, hogy mi kipróbáltuk a csalit, így máris tovább terjesztettük a rosszindulatú alkalmazást.

A trükk azóta terjedt el, mióta a Facebook közzétette a bármilyen weboldalba beszúrható Like gomb kódját. Ez elvileg azért jó, mert az oldalunk látogatói egyetlen kattintással az ismerőseik tudomására hozhatják, hogy olvastak nálunk valami érdekeset. A gyakorlatban viszont, az iFrame technológiával megoldható, hogy egy láthatatlan, az egész ablakot beborító Like gombot húzzunk az oldalunk tartalma fölé, ahol bárhová klikkel a látogató, ha éppen be van jelentkezve Facebookra, azonnal megjelenik az üzenőfalán, hogy neki tetszett az oldal, és beindul az imént felvázolt láncreakció.

A tipikus, és mostanában legtöbb áldozatot szedő csali oldalak a focivébé meccseinek hd felbontású online közvetítését, a saját Facebook-profiloldalunkat meglátogatott júzerek listáját, vagy a régi, jól bevált modell szerint celebek meztelen fotóit ígérik.

A Sophos biztonságtechnikai cég felmérése szerint egyelőre csak hagyományos vírusok terjesztésére, illetve reklámokkal tömött oldalakra való forgalomirányításra használják a trükköt, facebookos adathalász kampányról, vagy Facebook-clickjackinggel épített zombihálózatról egyelőre nem tudni, bár a technikai lehetőség adott hozzá.

Mivel a klikkeltérítés az ismerőseinkbe vetett bizalommal él vissza, és a természetes emberi kíváncsiságra épít, technikai védekezési lehetőség elég korlátozottan van csak ellene (ilyen például a NoScript addon Firefox böngészőhöz, ami figyelmeztet minden felugró ablakra, így a láthatatlan Like gombra is). A legjobb ellenszer az, hogy nem kattintgatunk ész nélkül mindenre, és ha mégis bedőltünk, figyelmeztetjük a közösségi oldalon az ismerőseinket, hogy ne járjanak úgy, mint mi.