Komunikat IOD-y – Zagrożenia podczas przeglądania WWW

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 24 stycznia 2021

24

Sty
2021

Zgodnie z nowym krajobrazem zagrożeń zaprezentowanym przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA) ataki typu „webbased” stanowią bardzo istotne zagrożenie. Ten rodzaj ataku ENISA ulokowała na drugim miejscu TOP współczesnych cyberzagrożeń.  Skutki ataków webowych mogą dotknąć nie tylko administratorów witryn i aplikacji internetowych, ale również samych użytkowników odwiedzający podatną stronę www.

Potencjalnie niebezpieczne spreparowane linki

Załóżmy hipotetycznie, iż strona www.uodo.gov.pl jest niewłaściwie zabezpieczona i zawiera podatność umożliwiającą wykonanie złośliwego kodu JavaScript. W poniższym przykładzie podatność znajduje się w funkcji umożliwiającej przeszukiwanie zasobów witryny internetowej.

www.uodo.gov.pl/?search=””><script>alert(”padłeś ofiarą ataku”)</script>

Pierwsza część linku wskazuje na zaufaną domenę. Nie ma w adresie błędu (np. literówki), który mógłby wskazywać na phishing przekierowujący do witryny www atakującego. Kliknięcie w tak przygotowany link może natomiast spowodować wykonanie kodu JavaScript (o ile strona www faktycznie jest podatna na atak typu „cross site scripting”).

W tym przypadku skutki wykonania kodu będą niegroźne – przeglądarka wyświetli komunikat o treści: „padłeś ofiarą ataku”. Niemniej jednak atakujący może przygotować link zawierający bardziej złośliwy kod, który np. da mu możliwość rejestrowania wszystkich naciskanych przez użytkownika klawiszy (w tym wprowadzanych loginów i haseł) albo przejęcia sesji (tożsamości) zalogowanego użytkownika i dokonywania działań w imieniu.

Co ważne atakujący może próbować zamaskować złośliwy skrypt kodując go kodem URL (wcześniejszy adres wywołujący komunikat „padłeś ofiarą ataku w poniższym przykładzie zakodowano kodem URL).

www.uodo.gov.pl/?search=”%1d%3e%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%1d%7a%6f%73%74%61%42%65%5b%20%73%63%68%61%6b%6f%77%61%6e%79%1d%29%3c%2f%73%63%72%69%70%74%3e

Tak spreparowany link może być wysłany pocztą e-mail, SMS, albo przez komunikatory elektroniczne np. Teams, Skype, Massenger etc. Atakujący mogą nakłaniać do kliknięcia w link posługując się socjotechniką – próbując wywoływać określone emocje.

Potencjalne niebezpieczne / niezaufane witryny

Hackerzy mogą również próbować zastawiać swoje „pułapki” w zasobach potencjalnie niebezpiecznych witryn internetowych. Odtwarzając online film z nielegalnego źródła nasza przeglądarka oprócz video może również wykonać złośliwy kod dołączony przez użytkownika, który udostępnił dany film.

Należy również uważać na strony internetowe, które nie będą budziły zaufania. Widoczne błędy, archaiczna budowa strony, brak „zielonej kłódeczki” – te wszystkie czynniki powinny zdecydowanie ograniczyć nasze zaufanie.

Potencjalnie niebezpieczne są miejsca w sieci, w których użytkownicy wymieniają się zasobami, np. wiedzą. Użytkownik zostawiając komentarz ze złośliwym kodem we wcześniej istniejącym już wątku Bloga, może sprawić, iż każdy, użytkownik, który odwiedzi daną stroną stanie się obiektem ataku.

Dlatego niezwykle ważnym aspektem bezpiecznego serfowania w Internecie jest omijanie potencjalnie niebezpiecznych stron internetowych, które mogą w swojej treści zawierać zasoby z przygotowanymi dla nas „niespodziankami”.

Wykorzystywanie rozwiązań zewnętrznych dostawców

Obecnie wiele witryn internetowych zagnieżdża w swoim kodzie HMTL skrypty zewnętrznych dostawców, co również stanowi potencjalne ryzyko. Wynika to z faktu, iż serwery dostawców same mogą zostać zaatakowane, wskutek czego atakujący mogą dodać złośliwy kod do skryptu pobieranego w czasie sesji użytkownika odwiedzającego zaufaną stronę www. Tak jak to miało miejsce w przypadku Ticketmaster UK Limited, która korzystała z funkcji automatycznego chata (chatbota) zewnętrznego dostawcy. W wyniku ataku uzyskano dostęp do danych dotyczących kart kredytowych blisko 9,4 mln osób (w tym numerów kart, dat ich ważności i numerów CRV). Doprowadziło to do nadużyć w zakresie blisko 66 000 płatności (na marginesie warto wspomnieć, że w/w firma została ukarana przez brytyjski organ nadzorczy karą w wysokości 1,25 mln £).

Omawiany atak XSS znajduje się na liście TOP 10 zagrożeń dla aplikacji internetowych opracowanej przez OWASP (The Open Web Application Security Project – organizacja non-profit działająca na rzecz bezpieczeństwa oprogramowania).

Jak się chronić?

W bezpieczeństwie przeglądania sieci www użytkownikom, oprócz ostrożności i rozwagi, może pomóc dobry program antywirusowy. Te najlepsze wykrywają potencjalnie niebezpieczne strony www lub dają możliwość uruchomienia sesji internetowej w specjalnym, bardziej bezpiecznym trybie, który będzie chronił użytkownika przed działaniem złośliwych skryptów, np. rejestrujących wpisywane znaki.

Dla osób bardziej zdeterminowanych uzyskaniem lepszej ochrony w sieci można zaproponować korzystanie z ustawień przeglądarek internetowych lub ich dodatkowo instalowanych rozszerzeń (wtyczek), które mogą ograniczać wykonywanie kodów JavaScript tylko do stron www, które użytkownik wskazał jako zaufane (np. NoScript Security Suite – dla użytkowników FireFox). Niemniej jednak należy mieć na uwadze, iż obecnie większość stron www wykorzystuje (w mniejszym lub większym stopniu) JavaScript, więc całkowite wyłączenie w przeglądarce jego wykonywania może uniemożliwić zwyczajne surfowanie w Internecie.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


13 + fourteen =