מומחה אבטחה ישראלי: משתמשי פייסבוק חשופים ל"חטיפת קליקים"
באמצעות בניית עמוד בלתי נראה, האקרים מסוגלים לגרום לגולשי פייסבוק, לינקדאין ואתרים אחרים לבצע פעולות בלא ידיעתם: "אפשר להציג מסך של משחק, כשברקע פועל אתר בנק והגולש עובר תהליך שלם של רכישת מניות או העברת כספים", אומר ל"כלכליסט" איש אבטחת המידע שלומי נרקולייב
09:56
19.01.10
גולשים המבקרים באתרי אינטרנט גדולים ורבים דוגמת פייסבוק, לינקדאין, שירותי דוא"ל, אתרי אוניברסיטאות ואולי אף אתרי בנקים, חשופים כיום למתקפה מקוונת שיכולה לגרום להם לבצע פעולות מזיקות והרסניות ללא ידיעתם – כך מגלה ל"כלכליסט" מומחה אבטחת המידע הישראלי שלומי נרקולייב.
לדברי נרקולייב, באמצעות פחות מ-30 שורות קוד פשוטות אפשר להציג לגולשים עמוד אינטרנט שמסתיר מאחוריו אתר אינטרנט אחר, לגיטימי, ועל ידי כך לגרום לגולשים לבצע פעולות באתר שאותו הם לא רואים ללא ידיעתם. במתקפה זו נפתח "I-Frame" - תת-חלון בתוך העמוד שבו נמצא הגולש - שהוא למעשה בלתי נראה למשתמש אך מתפקד ופעיל כמו עמוד נראה. מכיוון שהעמוד המדובר בלתי נראה, ניתן להלביש עליו כפתור או טקסט שיפתה את המשתמש להקליק עליו. "המשתמש חושב שהוא לוחץ על משהו אחד, כשבפועל הוא לוחץ גם על קישור בתת-החלון הנסתר", מסביר נרקולייב.
נרקולייב מדגים כיצד אתר פשוט, המציג כביכול לינק לצפייה במצגת, מסתיר מאחוריו קישור להתקנת אפליקצייה בפייסבוק. לחיצה על הקישור לצפייה במצגת הובילה למעשה להתקנת אפליקציית פייסבוק. וזאת, בתיאוריה, ללא ידיעת המשתמש.
"כל מי שמתקין אפליקציה בפייסבוק מריץ את הקוד של מחבר האפליקציה, ויש אפליקציות שרצות כל הזמן ברקע. לכן מומחי אבטחת מידע ממליצים שלא להתקין אפליקציות שמקורן אינו ידוע", אומר נרקולייב. "אפשר לבנות אפליקציה שתגרום למחשב שבו היא פועלת לבצע פעולות מסוימות, כמו לתקוף אתר של בנק וכך להסתיר את יוזם התקיפה".
על מנת שהמתקפה תעבוד צריך הגולש להיות מחובר לחשבון המשתמש שלו באתר שאת הפרצה בו רוצים לנצל, וכן להגיע לעמוד האינטרנט שמפעיל יוזם המתקפה. עם זאת, מכיוון שבבסיס המתקפה האתר הקורבן הוא שקוף, יכול התוקף להציג כל תוכן שהוא רוצה באתר הפיתוי, ולפתות משתמשים להגיע לעמוד המציג סרטון או משחק, ובלי ידיעתם לנצל את ההקלקות שהם עושים על מנת לצפות בסרטון או לשחק במשחק כדי לבצע פעולות אחרות.
המתקפה אמנם הודגמה על פעולת התקנת אפליקציית פייסבוק, אבל ניתן לנצל אותה לביצוע פעולות שונות ברשת החברתית – כמו הוספת חברים, הצטרפות לקבוצות ואף מחיקת חשבון המשתמש. בנוסף, בבדיקה שערכנו עם נרקולייב התברר שאתרים רבים אחרים חשופים למתקפה, ובהם הרשת החברתית לינקדאין, שירות דוא"ל של אתר ישראלי גדול ואתרים רבים של אוניברסיטאות בארץ או ובחו"ל.
המתקפה מכונה UI Rendering, על שם יכולתה לשנות את ממשק המשתמש של הגולש, או ClickJacking בשמה הנרדף, מכיוון שהמתקפה "חוטפת" למעשה את ההקלקות שמבצע המשתמש לצורך ביצוע פעולות אחרות שאינן ידועות לו.
המתקפה זוהתה לראשונה לפני כשנה על ידי מומחי האבטחה האמריקאים ג'רמיה גרוסמן ורוברט הנסן. ואולם, השניים תיארו את המתקפה רק בהקשר של ניצול פריצה בפלטפורמת פלאש, על מנת להשתלט מצלמת הרשת של המשתמש. אולם עד כה לא דווח שסוג זה של מתקפה הופך אתרים גדולים רבים, גם אלו שאינם עושים שימוש בפלאש, לחשופים ואין מדובר בבעיה נקודתית של אתר מסוים.
"האפשרויות הן בלתי מוגבלות", אומר נרקולייב. "אפשר, למשל להציג למשתמש מסך של משחק פלאש, כשברקע הבלתי נראה פועל אתר בנק והגולש יכול לעבור תהליך שלם של רכישת מניות או העברת כספים". לא מדובר בהליך מסובך כמו שזה נשמע, כיוון שלדברי נרקולייב, סקריפט פשוט יכול לזהות אם המשתמש גולש באתר חשבון הבנק שלו, ועל ידי כך להציג לו קישורים מתאימים לעמודי ההונאה.
גורמים עוינים יכולים לנצל את המתקפה לעשיית רווחים גם מבלי להיטפל לאתרים מוכרים. "אפשר להקים אתר שהמסך הנסתר שלו הוא כולו פרסומות שבהן מקבל המציג שלהן תשלום פר הקלקה (למשל, אתר המציג מודעות של גוגל אדסנס), והמסך שרואה הגולש הוא מעין משחק שדורש הקלקות רבות. בפועל, ברקע הגולש יקליק על פרסומות. אפשר לעשות מיליונים מהדבר הזה", טוען נרקולייב.
