Đề xuất một số biện pháp phòng chống phương thức tấn công Clickjacking

Bài viết đề xuất một số biện pháp phòng chống phương thức lừa đảo trực tuyến (phishing) rất phổ biến, đó là phương thức tấn công Clickjacking. Đây là dạng tấn công mà khi sử dụng trình duyệt để truy cập các ứng dụng, nạn nhân bị lừa truy cập và thao tác trên các trang web giả mạo do hacker tạo ra. Những trang web này thường được núp dưới vỏ bọc của một trang web an toàn.
Nội dung trích xuất từ tài liệu:
Đề xuất một số biện pháp phòng chống phương thức tấn công Clickjacking JOURNAL OF SCIENCE OF HNUE Natural Sci. 2017, Vol. 62, No. 3, pp. 69-75 This paper is available online at http://stdb.hnue.edu.vn DOI: 10.18173/2354-1059.2017-0009 ĐỀ XUẤT MỘT SỐ BIỆN PHÁP PHÒNG CHỐNG PHƯƠNG THỨC TẤN CÔNG CLICKJACKING Nguyễn Đăng Tiến Trường Đại học Kĩ thuật Hậu cần Công an Nhân dân, Bộ Công an Tóm tắt. Trong bài báo này, chúng tôi đề xuất một số biện pháp phòng chống phương thức lừa đảo trực tuyến (phishing) rất phổ biến, đó là phương thức tấn công Clickjacking. Đây là dạng tấn công mà khi sử dụng trình duyệt để truy cập các ứng dụng, nạn nhân bị lừa truy cập và thao tác trên các trang web giả mạo do hacker tạo ra. Những trang web này thường được núp dưới vỏ bọc của một trang web an toàn. Tấn công Clickjacking không yêu cầu kĩ thuật cao nhưng hiệu quả thu được có thể rất lớn. Hậu quả gây ra nhẹ là sự phiền toái đối với người dùng, nặng hơn là bị mất cắp thông tin các loại tài khoản hay các dữ liệu nhạy cảm. Chúng tôi cũng đưa ra một số phương pháp phòng ngừa từ phía máy chủ Web và từ phía người dùng để ngăn chặn dạng tấn công này một cách hiệu quả. Từ khóa: Tấn công Clickjacking, thẻ iframe, thiết lập z-index, hacker, dịch vụ mạng. 1. Mở đầu Clickjacking được Robert Hansen (người sáng lập và điều hành hãng SecTheory) và Jeremiah Grossman (Haker mũ trắng) phát hiện và công bố vào năm 2008. Năm 2010, tại hội thảo Black Hat Europe diễn ra tại Barcelona, chuyên gia bảo mật người Anh - Paul Stone cũng đã trình diễn thêm các kĩ thuật khai thác mới của dạng tấn công này [1]. Clickjacking (hay UI Redress Attack) là một dạng tấn công lừa đảo trên ứng dụng web. Thuật ngữ Clickjacking mô tả việc hacker dụ người dùng click vào các liên kết độc hại, nguy hiểm, được ẩn mình dưới vẻ ngoài là một trang web an toàn. Việc click vào các liên kết đó có thể đơn giản là bị điều hướng sang các trang web khác, tăng view cho một quảng cáo giúp kiếm tiền cho hacker, hay nặng hơn là bị đánh cắp các thông tin bí mật, nhạy cảm và chiếm quyền điều khiển máy tính. Điều đáng ngại là hình thức lừa đảo này xuất hiện nhiều trên web đến mức người ta xem đó là một phần hiển nhiên khi truy cập Internet. Các thiệt hại thường xẩy ra đối với các cá nhân sử dụng internet hơn là nhà cung cấp dịch vụ hoặc doanh nghiệp nên phương thức tấn công này ít được truyền thông chú ý so với các dạng tấn công khác như SQL injection, DoS hay DDoS…. Một số giải pháp phòng chống Clickjacking đã được nghiên cứu trước đây. Trong [2], tác giả đề xuất một phương pháp trong đó tại thời điểm ban đầu, hành động truy cập vào từng đường dẫn của trang web được mô phỏng. Sau đó hệ thống sẽ phân tích mô phỏng này và đưa ra lời cảnh báo đối với người dùng rằng có khả năng đây là trang web tấn công Clickjacking hay không. Guvstav và cộng sự [3] đã trình bày phương pháp trong đó sử dụng kĩ thuật frame-busting và áp dụng cho một số trang web. Ngày nhận bài: 19/2/2017. Ngày nhận đăng: 20/3/2017. Tác giả liên hệ: Nguyễn Đăng Tiến, email: ndtient36@gmail.com 69 Nguyễn Đăng Tiến Trong [4-6], các tác giả tập trung vào phân tích các chiến thuật hacker sử dụng trong phương pháp Clickjacking và cách phòng các kĩ thuật phòng chống loại tấn công này. Nhằm nâng cao nhận thức của người sử dụng internet về Clickjacking, trong bài báo này tôi trình bày một số nghiên cứu về các kĩ thuật tấn công, mối nguy hiểm của phương thức này và cuối cùng là một số hướng dẫn cách thức phòng chống. 2. Nội dung nghiên cứu 2.1. Phương pháp tấn công Clickjacking và cách phòng trống 2.1.1. Kịch bản tấn công Clickjacking Ở phần này, tôi mô tả kịch bản của một cuộc tấn công Clickjacking đơn giản. Quá trình có thể được thực hiện như sau: Hacker dụ người dùng truy cập vào một trang web đã được tạo sẵn, trang web này có thể là một tin thông báo nhận thưởng với các tài sản hấp dẫn, hay các trang có nội dung nhạy cảm thu hút người xem… Chúng thường có dạng như sau: Hình 1. Trang trúng thưởng nhằm thu hút người dùng Truy cập web để trúng thưởng một chiếc iPhone? Phần thưởng này đủ hấp dẫn để khiến người dùng dễ dàng nhấn chuột vào nút “NHẬN THƯỞNG” mà không biết rằng đang bị đưa vào nguy hiểm. Thứ hiện ra sau cú click chuột sẽ là: Hình 2. Giao dịch chuyển khoản đã được thực hiện 70 Đề xuất một số biện pháp phòng chống phương thức tấn công Clickjacking Chuyện gì đã xảy ra? Người dùng đang tương tác với trang web thông báo trúng thưởng, click vào nút “NHẬN THƯỞNG” chứ không sử dụng gì đến dịch vụ ngân hàng, vậy thông báo chuyển khoản thành công ở đâu? Tại sao số dư trong tài khoản đã biến mất 500 USD? Xem xét kĩ hơn một chút, ở đây rõ ràng người dùng đang tương tác với dịch vụ Internet Banking của ngân hàng, với một nút “CHUYỂN KHOẢN” nằm ở trên đó. Nhưng thứ hiển thị lên trên màn hình máy tính của nạn nhân lại là một trang web không liên quan gì đến nội dung. Khi người dùng click vào nút “NHẬN THƯỞNG” được hiển thị trên màn hình thì thực sự hacker đã điều hướng click vào nút “CHUYỂN KHOẢN”, do đó giao dịch chuyển tiền được thực hiện, tiền trong tài khoản bị mất. Kĩ thuật này có thể thực hiện được là do một số tính chất của ngôn ngữ HyperText Markup Language (HTML) đã bị lợi dụng. Ngôn ngữ HTML cung cấp thẻ iframe có chức năng hiển thị nội dung của các trang web khác trên trang web hiện tại. Mỗi phần tử của một trang web (HTML Element) có ba chế độ đó là hiển thị, làm mờ và bị ẩn. Nếu các HTML Element chồng lên nhau thì thứ tự của nó được quyết định bởi một tham số gọi là z-index. Như vậy ở trong trường hợp này, trang giao dịch ngân hàng đã được dùng thẻ iframe để tải về và chạy trên trang web của hacker, đồng thời được thiết lập z-index để đặt trước tất cả các thành phần khác nhưng lại tồn tại ở trạng thái ẩn. Một trang web thông báo trúng thưởng được cho hiển thị trên màn hình nhưng hoàn toàn không có ý nghĩa, vị trí của nút “NHẬN THƯỞNG” chính là vị trí của nút “CHUYỂN KHOẢN” đã được ẩn đi. Chúng ta có thể hình dung trang web như sau: Hình 3. Mô tả cách m ...