Facebook clickjacking - pozor na útoky

Relatívne nedávno sa objavili správy o útokoch, ktoré boli podniknuté proti sociálnej sieti Facebook ako aj proti jej užívateľom. Jedná sa o tzv. „clickjacking“. Zatiaľ boli všetky útoky v rovine zábavy a skúšania čo by útok mohol dokázať a koľko ľudí dokáže ovplyvniť. Nie je však vylúčené, že hackeri zneužijú takýto útok v budúcnosti pre vlastný prospech či obohatenie.

Čo je to „clickjacking“

Jedná sa o formu útoku, ktorá využíva transparentné vrstvy web stránok, ktoré sú cez seba preložené tak, aby mali spoločné určité časti. Na spodnej stránke (tú ktorú vidíte) kliknete na odkaz* – na vrchnej stránke (tú ktorú nevidíte kvôli jej transparentnosti) je na mieste tohto linku preložené napríklad tlačidlo „Like“ alebo „Share“. Automaticky teda do svojho profilu pridávate novú „fun page“, ktorej ste sa stali fanúšikom, alebo zdieľate obsah, o ktorom ste ani netušili. Na základe toho ponúkate svojim priateľom aby takýto obsah videli a mali možnosť tiež sa pripojiť na „fun page“ alebo zdieľať obsah.

*Linky, na ktoré môžete kliknúť sú najčastejšie v podobe rôznych pútavých a aktuálnych názvov, ktoré Vás lákajú aby ste sa dozvedeli čo sa skrýva na tej či onej stránke. (Témy ako World Cup 2010, Najsexi ženy alebo muži planéty a podobne)

Ochrana proti útoku

Proti podobným typom útoku sa bojuje len veľmi ťažko. Facebook má vybudovaný systém pre detekovanie a blokovanie potenciálne škodlivých linkov naprieč celou stránkou. Tento systém funguje na báze „blacklistu“ - čiernej listiny, kde sú evidované všetky škodlivé linky tak, aby nemohli byť ďalej rozširované.
Je otázkou nakoľko je tento systém efektívny. Preto je najlepšie držať sa starých dobrých zásad na internete a jednoducho neklikať na odkazy, obrázky alebo súbory, ktoré sú Vám neznáme alebo podozrivé.
Užívatelia prehliadača Firefox sa môžu navyše chrániť ešte nainštalovaním doplnku NoScript, ktorý okrem iného upozorňuje aj na potenciálne „clickjacks“ útoky.