Cross-Site Request Forgery (CSRF) -hyökkäys tuo entistä enemmän riskejä kalasteluviestien uhreille

Written By Meha Bouazizi

 Cross-Site Request Forgery -hyökkäys hyödyntää web-sovelluksen luottamusta käyttäjän selaimeen. Tämän avulla hyökkääjä saa uhrin suorittamaan haittakoodia web-sovelluksessa uhrin selaimen kautta ilman, että uhri huomaa tätä. 

Esimerkkinä CSRF-hyökkäyksen toiminnasta voidaan ottaa vaikka verkkopankkisovellus, missä käyttäjä siirtää varoja tililtä toiselle. Tässä tapauksessa käyttäjän selain lähettää verkkopankkisovellukselle pyynnön suorittaa tilisiirto käyttäen tietoinaan vastaanottajan tilinumeroa ja siirrettävää summaa. CSRF-hyökkäyksessä hyökkääjä houkuttelee uhrin menemään haitalliselle verkkosivustolle esim. kalastelusähköpostin avulla, joka sisältää linkin tilisiirtopyyntöön verkkopankkisovellukselle. Tämä pyyntö on suunniteltu suorittamaan tilisiirron uhrin käyttämien verkkopankki-istunnon ja todennusevästeiden avulla. Kun uhri on kirjautuneena verkkopankkisovellukseensa ja tunnistautunut palveluun omilla pankkitunnuksillaan, hyökkääjän etukäteen luoma luvaton tilisiirtopyyntö vaikuttaa verkkopankkisovelluksen kannalta aidolta ja oikealta. 

Lyhyesti sanottuna, kun uhri käyttää kalasteluviestissä olevaa haitallista linkkiä, uhrin selain lähettää automaattisesti tilisiirtopyynnön pankkisovellukseen ja suorittaa rahansiirron uhrin tietämättä silloin kun uhri on jo kirjautunut palveluun sisään. Verkkopankkisovellus, joka pitää pyyntöä aitona, käsittelee sen ja siirtää varoja uhrin tililtä hyökkääjän tilille. 

 

Vaikka tässä käytetään verkkopankkisovellusta esimerkkinä, ei CSRF-hyökkäyksiä välttämättä käytetä kuluttajien pankkitilien tyhjentämiseen, koska pankeilla on käytössä lisävahvistuksia, joilla hyökkäyksen käytännön riskejä voidaan vähentää. Tilanne ei ole kuitenkaan yhtä hyvä muissa web-sovelluksissa, missä CSRF-hyökkäyksiä voidaan hyödyntää huomaamattomasti koska perinteiset suojausmenetelmät ovat vaikeita, työläitä ja kalliita toteuttaa sekä ylläpitää. Mikä pahinta, perinteiset suojausmenetelmät eivät edes anna täydellistä suojaa koska viimekädessä käyttäjän inhimillinen virhe on aina mahdollinen.   

 

Voiko siis CSRF-hyökkäykseltä suojautua edullisesti, helposti ja heti? Vastaus on yksinkertaisesti kyllä, FIDO2 suoja-avaimen avulla. 

 

Näin FIDO2 suojaa CSRF-hyökkäyksiltä:

 

FIDO2 ansiosta hyökkääjän luoma haittakoodi ei voi huijata käyttäjän selainta tekemään kirjautumista toisen palvelun puolesta. Tämä suojaus perustuu FIDO2-tunnistusprotokollan ominaisuuksiin.

 

  1. Origin binding (alkuperän sitominen)

FIDO2 sitoo tunnistautumispyynnön siihen verkkosivuston alkuperään (origin), josta pyyntö tulee. Alkuperä (esim. https://example.com) sisältyy selaimen muodostamaan ja FIDO2- avaimen allekirjoittamaan dataan. Verkkopalvelu tarkistaa FIDO2-tunnistuksen yhteydessä, että origin -tieto vastaa sen omaa verkkotunnusta. Hyökkääjä ei voi väärentää tätä arvoa toiselta sivustolta koska.

 

  1. Haaste/vaste -kättely

Jokainen FIDO2-tunnistautuminen sisältää palvelimen luoman satunnaisen haasteen (challenge). FIDO2-avain allekirjoittaa tämän haasteen yhdessä muiden tietojen kanssa. Koska haaste on yksilöllinen jokaiselle kirjautumiselle, hyökkääjä ei voi arvata tai uudelleen käyttää sitä CSRF-hyökkäyksessä.

 

  1. Tunnisteen sidonta palveluun (RP ID)

FIDO2-tunnisteet (credentials) luodaan tietylle palvelulle, jota kutsutaan luottavaksi osapuoleksi (Relying Party / RP). FIDO2- avain suorittaa allekirjoituksen vain, jos pyynnön verkkotunnus vastaa kyseistä RP-tunnistetta. Näin esim. yhden sivuston skripti ei voi pyytää FIDO2-avainta käyttämään toisen palvelun tunnistetta.

 

  1. Selainvälitys ja käyttäjän läsnäolo

FIDO2-tunnistus tapahtuu selaimen välityksellä, joka vaatii käyttäjän aktiivisen toimenpiteen (suoja-avaimen napin painamisen, biometriikan). Tämä estää taustalla tapahtuvat automaattiset tunnistautumispyynnöt, joita CSRF-hyökkäykset yrittävät hyödyntää.

 

Yhdessä tämä tekee FIDO2-tunnistuksesta vastustuskykyisen CSRF-hyökkäyksille ja Man-in-the-Middle hyökkäyksiin.

 

SpearID FIDO2-suojausavaimet antavat täydellisen suojan tietojen kalastelua vastaan, välittömästi, helposti ja edullisesti. Osta SpearID FIDO2-suojausavaimet tästä: https://shop.spear.fi/collections/identification

 

Meha Bouazizi
Next

Companies are treating CRA as a burden. That’s your opportunity.