Sklepy internetowe, fora, media społecznościowe… dzisiaj wielu z nas ma przynajmniej kilka osobistych kont na różnego rodzaju portalach, na które przesyłamy swoje dane. Nie ma zatem nic dziwnego w tym, że cyberprzestępcy na różne sposoby starają się nas zaatakować. Jedną z technik, którymi oszuści internetowi „terroryzują” użytkowników już od wielu lat, jest atak CSRF. Na czym on polega i jak się przed nim chronić? Na te pytania odpowiadamy w poniższym artykule.
Co to jest atak CSRF i na czym polega?
Atak CSRF (ang. Cross-Site Request Forgery) polega na fałszowaniu przez cyberprzestępcę określonego zapytania i podesłania jej osobie, która nieświadomie je wykonuje. W ten sposób zostaje wykonana pewna, pożądana przez oszusta akacja. W ataku CSRF chodzi o to, by skłonić użytkownika pewnego serwisu – najczęściej takiego, który wymaga zalogowania – do uruchomienia odnośnika, którego uruchomienie daje dostęp cyberprzestępcy do akcji, która w innym wypadku byłaby poza jego zasięgiem. W ten sposób atakujący może na przykład zdobyć dane administratora danego portalu i przejąć całą stronę.
Jak może przebiegać atak CSRF?
Doskonale zdajemy sobie sprawę z tego, że powyższy opis dla osoby niezbyt zorientowanej w temacie może być nie do końca zrozumiały. Dlatego jego przebieg najłatwiej będzie opisać na konkretnym przykładzie. Wyobraźmy sobie, że pewien użytkownik jest zalogowany na portalu, który nie ma odpowiednich zabezpieczeń. Z jakiegoś powodu chce zmienić hasło logowania do swojego konta. W takich okolicznościach atak CSRF może przebiegać w następujący sposób:
- Użytkownik przeprowadza procedurę zmiany hasła do profilu na stronie, która nie posiada ochrony przed atakami CSRF;
- Żądanie zmiany hasła zostaje wysłane do serwera;
- Po zmienieniu hasła wyświetla się ono w linku widocznym w adresie internetowym;
- Cyberprzestępca, korzystając z linku, zmienia hasło w adresie na nowe, tworząc nowy link;
- W celu urealnienia ataku, oszust może skrócić adres internetowy, by wyglądał on na mniej podejrzany, a jednocześnie bardziej naturalny lub zachęcający dla ofiary;
- Mając nowy link, cyberprzestępca przesyła go ofierze – na przykład w formie wiadomości lub obrazka;
- Użytkownik, będąc zalogowanym na wspomnianym portalu, otwiera otrzymany link, po czym dochodzi do zmiany hasła.
Przytoczony tu przykład opisuje atak CSRF, którego celem jest przejęcie hasła, a co za tym idzie, dostępu do konta na portalu. Pamiętaj jednak, że cele i motywy cyberprzestępcy mogą być bardzo różne. Hakerzy często wykorzystują ataki CSRF do zarejestrowania nowego konta administratora na forum dyskusyjnym czy portalu. Jest to stosunkowo popularna metoda, ponieważ umożliwia stworzenie konta administratora nawet mimo pewnych ograniczeń – na przykład wtedy, gdy do panelu administratorów mogą zostać dodane tylko osoby z określonej puli adresów IP, a atakujący nie zna loginu i hasła administratora.
Atak CSRF – ochrona
Warto mieć świadomość tego, że na różne sposoby można chronić się przed atakami CSRF – a przynajmniej znacząco utrudniać cyberprzestępcom ich przeprowadzenie. Co więcej, część z rad i wskazówek powtarzanych przez specjalistów IT i programistów, to po prostu nawyki, które każdy użytkownik internetu powinien stosować na co dzień.
Najlepszą praktyką jest każdorazowe wylogowywanie się z portalu, z którego korzystasz, po zakończonej sesji. Dzięki temu masz pewność, że wchodząc w link prowadzący do niepożądanej akcji na tym portalu, nie zostanie ona automatycznie wykonana. Każdorazowe wylogowywanie się uniemożliwia również wykradnięcie sesji, na przykład podczas korzystania z publicznych sieci internetowych.
Co jeszcze można zrobić, by zmniejszyć ryzyko skutecznego ataku CSRF? Ochrona może polegać między innymi na:
- nie otwieraniu podejrzanych wiadomości, linków i obrazów, nawet jeśli pochodzą od zaufanych osób;
- stosowaniu weryfikacji dwuetapowej, jeżeli jest taka możliwość – na przykład z uwierzytelnianiem akcji jednorazowym kodem wysyłanym SMS-em;
- stosowaniu jednorazowych haseł dostępu, które uniemożliwiają atak CSRF;
- wymogu krótkiej ważności hasła na stronie;
- stosowanie na stronie internetowej ukrytych pól, w których w ramach potwierdzenia akcji niezbędne jest podanie pseudolosowej liczby.
Podsumowanie – czy jest się czego bać?
Cele i motywy przeprowadzenia ataku CSRF mogą być różne, tak samo zresztą jak konsekwencje – w zależności od tego, na jakiej stronie przeprowadzany jest atak. Warto mieć świadomość tego, że nawet jeśli wydaje Ci się, że Twoja osoba w żaden sposób nie powinna wzbudzać zainteresowania cyberprzestępcy, z jakiegoś powodu możesz paść jego ofiarą. Dlatego niezbędne jest zachowanie ostrożności w internecie i stosowanie się do powyższych wskazówek.