무료 iPhone 제공 링크를 클릭하는 것을 거부하기 어렵습니다. 하지만 조심하세요. 클릭이 쉽게 하이재킹될 수 있으며 그 결과는 재앙이 될 수 있습니다.
클릭재킹은 사용자가 생각하는 것과 다른 행동을 하도록 속이는 오버레이로 링크를 위장(또는 교정)함으로써 설정되기 때문에 사용자 인터페이스 교정이라고도 하는 공격 방법입니다.
대부분의 소셜 네트워크 사용자는 항상 로그인 상태를 유지하는 편리함을 즐깁니다. 공격자는 이 습관을 쉽게 이용하여 사용자가 알지 못하는 사이에 무언가를 좋아하거나 팔로우하도록 강요할 수 있습니다. 이를 위해 사이버 범죄자는 자신의 웹 페이지에 “무료 iPhone – 기간 한정 제공”과 같은 호소력 있는 텍스트가 포함된 매력적인 버튼을 배치하고 소셜 네트워크 페이지가 포함된 보이지 않는 프레임을 오버레이할 수 있습니다. “좋아요” 또는 “공유” 버튼이 무료 iPhone 버튼 위에 놓이는 방식입니다.
이 간단한 클릭재킹 트릭은 Facebook 사용자가 모르는 사이에 그룹이나 팬 페이지를 좋아하게 만들 수 있습니다.
설명된 시나리오는 피해자에 대한 유일한 결과가 소셜 네트워크 그룹에 추가된다는 점에서 상당히 결백합니다. 그러나 약간의 추가 노력으로 동일한 기술을 사용하여 사용자가 은행 계좌에 로그인했는지 확인하고 일부 소셜 미디어 항목을 좋아하거나 공유하는 대신 자금을 이체하는 버튼을 클릭하도록 할 수 있습니다. 예를 들어 공격자의 계정. 최악의 부분은 사용자가 자신의 은행 계좌에 합법적으로 로그인하고 자발적으로 이체 버튼을 클릭했기 때문에 악의적인 행동을 추적할 수 없다는 것입니다.
대부분의 클릭재킹 기술에는 사회 공학이 필요하기 때문에 소셜 네트워크는 이상적인 공격 벡터가 됩니다.
그들이 어떻게 사용되는지 봅시다.
목차
Twitter에서 클릭재킹
약 10년 전 트위터 소셜 네트워크는 메시지를 빠르게 퍼뜨리는 대규모 공격을 겪었고, 사용자는 자연스러운 호기심을 이용하여 링크를 클릭하게 되었습니다.
“클릭하지 마세요”라는 텍스트와 링크가 포함된 트윗이 수천 개의 트위터 계정에 빠르게 퍼졌습니다. 사용자가 링크를 클릭한 다음 대상 페이지에서 아무 문제 없어 보이는 버튼을 클릭하면 해당 계정에서 트윗이 전송되었습니다. 해당 트윗에는 “클릭하지 마세요”라는 텍스트와 악성 링크가 포함되어 있습니다.
Twitter 엔지니어는 클릭재킹 공격이 시작된 지 얼마 되지 않아 패치를 적용했습니다. 공격 자체는 무해한 것으로 판명되었으며 Twitter 클릭재킹 이니셔티브와 관련된 잠재적 위험을 알리는 경보 역할을 했습니다. 악성 링크는 사용자를 숨겨진 iframe이 있는 웹 페이지로 이동시켰습니다. 프레임 안에는 피해자의 계정에서 악의적인 트윗을 보낸 보이지 않는 버튼이 있었습니다.
Facebook에서 클릭재킹
모바일 Facebook 앱 사용자는 스패머가 동의 없이 자신의 타임라인에 클릭 가능한 콘텐츠를 게시할 수 있는 버그에 노출됩니다. 이 버그는 스팸 캠페인을 분석하던 보안 전문가가 발견했습니다. 전문가는 그의 연락처 중 많은 사람들이 재미있는 사진이 있는 페이지에 대한 링크를 게시하고 있음을 관찰했습니다. 사진에 도달하기 전에 사용자에게 성년 선언을 클릭하도록 요청했습니다.
그들이 몰랐던 것은 그 선언이 보이지 않는 틀 아래 있었다는 것입니다.
사용자가 선언을 수락하면 재미있는 사진이 있는 페이지로 이동합니다. 하지만 그동안 사용자의 Facebook 타임 라인에 링크가 게시되었습니다. 이는 Android용 Facebook 앱의 웹 브라우저 구성 요소가 프레임 옵션 헤더(아래에서 설명)와 호환되지 않아 악의적인 프레임 오버레이를 허용하기 때문에 가능했습니다.
Facebook은 사용자의 계정 무결성에 영향을 미치지 않기 때문에 이 문제를 버그로 인식하지 않습니다. 따라서 수정될지 여부는 불확실합니다.
소규모 소셜 네트워크에서 클릭재킹
트위터와 페이스북만이 아니다. 덜 인기 있는 다른 소셜 네트워크 및 블로그 플랫폼에도 클릭재킹을 허용하는 취약점이 있습니다. 예를 들어 LinkedIn에는 공격자가 사용자를 속여 사용자를 대신하여 동의 없이 링크를 공유하고 게시하도록 하는 결함이 있었습니다. 이 결함이 수정되기 전에는 공격자가 LinkedIn ShareArticle 페이지를 숨겨진 프레임에 로드하고 이 프레임을 페이지에 무해하고 매력적으로 보이는 링크나 버튼이 있는 페이지에 오버레이할 수 있었습니다.
또 다른 사례는 공개 웹 블로깅 플랫폼인 Tumblr입니다. 이 사이트는 클릭재킹을 방지하기 위해 JavaScript 코드를 사용합니다. 그러나 이 보호 방법은 페이지가 JavaScript 코드 실행을 방지하는 HTML5 프레임에서 격리될 수 있기 때문에 효과가 없습니다. 세심하게 조작된 기술을 사용하여 언급된 결함을 암호 도우미 브라우저 플러그인과 결합하여 암호를 도용할 수 있습니다.
교차 사이트 요청 위조
클릭재킹 공격의 변종 중 하나는 사이트 간 요청 위조(Cross-site request forgery) 또는 줄여서 CSRF입니다. 사회 공학의 도움으로 사이버 범죄자는 최종 사용자에 대해 CSRF 공격을 지시하여 원하지 않는 작업을 실행하도록 합니다. 공격 벡터는 이메일이나 채팅을 통해 전송되는 링크일 수 있습니다.
CSRF 공격은 공격자가 가짜 요청에 대한 응답을 볼 수 없기 때문에 사용자 데이터를 훔칠 의도가 없습니다. 대신 공격은 암호 변경이나 자금 이체와 같은 상태 변경 요청을 대상으로 합니다. 피해자에게 관리 권한이 있는 경우 공격은 전체 웹 애플리케이션을 손상시킬 가능성이 있습니다.
CSRF 공격은 취약한 웹사이트, 특히 “저장된 CSRF 결함”이 있는 웹사이트에 저장될 수 있습니다. 댓글이나 검색 결과 페이지와 같은 페이지에 나중에 표시되는 입력 필드에 IMG 또는 IFRAME 태그를 입력하면 됩니다.
프레이밍 공격 방지
최신 브라우저는 특정 리소스가 허용되는지 또는 프레임 내에서 로드되지 않는지 알려줄 수 있습니다. 또한 요청이 사용자가 있는 동일한 사이트에서 시작된 경우에만 프레임에 리소스를 로드하도록 선택할 수 있습니다. 이렇게 하면 사용자가 다른 사이트의 콘텐츠가 포함된 보이지 않는 프레임을 클릭하도록 속일 수 없으며 클릭이 하이재킹되지 않습니다.
클라이언트 측 완화 기술을 프레임 버스팅 또는 프레임 킬링이라고 합니다. 경우에 따라 효과적일 수 있지만 쉽게 우회할 수도 있습니다. 이것이 클라이언트 측 방법이 모범 사례로 간주되지 않는 이유입니다. 보안 전문가들은 프레임 버스팅 대신 XFO(X-Frame-Options)와 같은 서버 측 방법이나 콘텐츠 보안 정책과 같은 최신 방법을 권장합니다.
X-Frame-Options는 웹 서버가 웹 페이지에 포함하여 브라우저가 프레임 안에 콘텐츠를 표시하도록 허용되는지 여부를 나타내는 응답 헤더입니다.
X-Frame-Option 헤더는 세 가지 값을 허용합니다.
- 프레임 내에서 페이지 표시를 금지하는 DENY
- 동일한 도메인에 있는 한 프레임 내에 페이지를 표시할 수 있는 SAMEORIGIN
- ALLOW-FROM URI는 프레임 내에서 지정된 URI(Uniform Resource Identifier)에서만, 예를 들어 특정 웹 페이지 내에서만 페이지 표시를 허용합니다.
보다 최근의 클릭재킹 방지 방법에는 frame-ancestors 지시어가 있는 콘텐츠 보안 정책(CSP)이 포함됩니다. 이 옵션은 XFO를 대체하는 데 널리 사용되고 있습니다. XFO와 비교하여 CSP의 주요 이점 중 하나는 웹 서버가 여러 도메인에 권한을 부여하여 콘텐츠를 프레이밍할 수 있다는 것입니다. 그러나 아직 모든 브라우저에서 지원되지는 않습니다.
CSP의 frame-ancestors 지시문은 세 가지 유형의 값을 허용합니다. ‘self’ – 현재 사이트가 프레임의 콘텐츠만 표시하도록 허용하거나 ‘*.some site.com’과 같이 와일드카드가 있는 URL 목록, ‘https://www.example.com/index.html,’ 등을 사용하여 목록의 요소와 일치하는 페이지에서만 프레이밍을 허용합니다.
클릭재킹으로부터 자신을 보호하는 방법
탐색하는 동안 소셜 네트워크에 로그인 상태를 유지하는 것이 편리하지만 그렇게 할 경우 클릭에 주의해야 합니다. 방문하는 사이트 모두가 클릭재킹을 방지하기 위해 필요한 조치를 취하는 것은 아니므로 방문하는 사이트에도 주의를 기울여야 합니다. 방문 중인 웹사이트에 대해 확신이 서지 않는 경우에는 아무리 유혹적일지라도 의심스러운 클릭을 클릭해서는 안 됩니다.
주의해야 할 또 다른 사항은 브라우저 버전입니다. 사이트에서 앞서 언급한 모든 클릭재킹 방지 헤더를 사용하더라도 모든 브라우저가 모든 것을 지원하는 것은 아니므로 최신 버전을 사용하고 클릭재킹 방지 기능을 지원하는지 확인하십시오.
상식은 클릭재킹에 대한 효과적인 자기 보호 장치입니다. 친구가 소셜 네트워크에 게시한 링크를 포함하여 비정상적인 콘텐츠를 본 경우 어떤 조치를 취하기 전에 친구가 게시할 콘텐츠 유형인지 스스로에게 물어봐야 합니다. 그렇지 않은 경우 친구에게 클릭재킹의 피해자가 될 수 있다고 경고해야 합니다.
마지막 조언: 귀하가 인플루언서이거나 소셜 네트워크에 정말 많은 팔로워 또는 친구가 있는 경우 온라인에서 예방 조치를 두 배로 늘리고 책임감 있는 행동을 실천해야 합니다. 클릭재킹 피해자가 되면 그 공격은 결국 많은 사람들에게 영향을 미치게 될 것이기 때문입니다.