Il clickjacking si verifica quando un criminale informatico induce un utente a cliccare su un elemento invisibile di una pagina web, "dirottando" così i clic dell'utente per scopi malevoli.
Contenuti:
Per farlo, gli aggressori posizionano un livello trasparente su una pagina legittima che, quando viene cliccato, attiva un'operazione dannosa in background. La cosa peggiore di tutte? Non ti rendi minimamente conto che ciò stia accadendo.
Il clickjacking, noto anche come UI redressing, è stato utilizzato in passato per:
Rubare password
Creare "Mi piace" falsi su Facebook
Spingere truffe online e diffondere malware ingannando le persone a fare clic su link di download dannosi
Ingannare le persone affinché accendano la webcam o il loro microfono
Come funziona questo processo
Affinché un attacco funzioni, è necessario che venga preso di mira un elemento specifico della pagina Web: ad esempio, un collegamento, un pulsante o un'intestazione. Per ottenere il massimo impatto, gli aggressori prenderanno di mira le aree su cui è più probabile che gli utenti clicchino.
In generale, i siti HTTP diventano spesso un campo di battaglia per gli attacchi di clickjacking, poiché non dispongono del livello di sicurezza offerto dai siti HTTPS.
Esempio di clickjacking n° 1: rubarti i soldi
Un aggressore utilizza più livelli per ingannare l'utente e indurlo a trasferire il suo denaro sul proprio conto bancario.
Come esca, l'hacker presenta una pagina attraente che ti promette un viaggio gratuito a Bali se clicchi sul pulsante "Prenota il mio viaggio gratuito".
Nel frattempo, l'hacker controlla se hai effettuato l'accesso al tuo sito bancario. In tal caso, dietro la pagina del viaggio gratuito viene caricata una pagina invisibile di bonifico bancario. L'hacker inserisce le proprie coordinate bancarie nel modulo.
Il pulsante "Conferma trasferimento" è allineato esattamente sul pulsante "Prenota il mio viaggio gratuito".
Tu fai clic sul pulsante "Prenota il mio viaggio gratuito" (che in realtà è il pulsante invisibile "Conferma trasferimento") e trasferisci inconsapevolmente denaro direttamente sul conto dell'hacker.
Sei reindirizzato/a a una pagina fittizia sul tuo presunto "viaggio gratuito", ignaro/a di tutto ciò che è successo in background.
Esempio di clickjacking n°2: falsi "Mi piace" su Facebook
Un aggressore ti inganna facendoti mettere "mi piace" a una pagina Facebook senza che tu te ne accorga, guadagnandosi migliaia di veri follower.
L'aggressore crea un sito web fittizio con un pulsante che dice "Clicca qui per tornare a Google."
Sopra quella pagina, viene caricata una pagina invisibile con il pulsante "Mi piace" di Facebook allineato esattamente sul pulsante "Clicca qui per tornare a Google".
Tu fai clic sul pulsante "Clicca qui per tornare a Google", ma invece si tratta del pulsante "Mi piace" di Facebook invisibile dell'aggressore.
Esempio di clickjacking n° 3: rubare le tue credenziali
Un hacker raccoglie il tuo nome utente e la password sovrapponendo una casella di accesso falsa su una reale.
L'utente malintenzionato posiziona un livello trasparente sul sito Web legittimo, in modo che entrambi i campi di testo si sovrappongano.
Ora, tu non puoi distinguere tra il campo di testo che vedi e quello identico che l'aggressore ha falsificato.
Per la gioia dell'hacker, tu scrivi la tua password direttamente nel suo campo di testo invisibile sovrapposto a quello reale. Tuttavia, tutto ciò che si digita sarà nascosto, quindi la maggior parte delle persone sa che c'è qualcosa che non va quando non vede apparire alcun carattere durante la digitazione.
Ma quanti di noi digitano le password e premono invio senza nemmeno alzare lo sguardo dalla tastiera? È su momenti di fretta come questi che gli aggressori fanno affidamento per carpire le vostre credenziali.
Qual è la differenza tra clickjacking e phishing?
Una truffa di phishing è un po' diversa dal clickjacking poiché comporta una comunicazione diretta con la vittima. Di solito, l'aggressore invia un'e-mail falsa, imitando un'azienda legittima, che induce le persone a rispondere con informazioni personali.
In altri casi, l'e-mail contiene link dannosi a siti web fasulli o apre una finestra pop-up che simula un sito web legittimo. In realtà, si limita a raccogliere le informazioni.
Mitigazione
La maggior parte dei browser protegge dal clickjacking con il criterio della "stessa origine" (Same-Origin). Significa che un browser permetterà agli script in una pagina web di accedere ai dati in una seconda pagina, ma solo se entrambe le pagine hanno la stessa origine. Il browser controlla l'origine delle pagine confrontando i loro schemi URI, nomi host e numeri di porta — tutti questi devono corrispondere.
Per evitare che i clickjacker tentino di rubare le tue informazioni sensibili, un gestore di password è un ottimo punto di partenza. Ad esempio, NordPass rileva siti Web non sicuri (come i siti HTTP, che in genere vengono utilizzati negli attacchi di clickjacking), inviando agli utenti una notifica che li informa che stanno per accedere a un sito Web non protetto.
Ogni giorno vengono create nuove truffe nel tentativo di aggirare la tua sicurezza. In generale, evitare i siti http è un ottimo modo per evitare tutta una serie di attacchi informatici, non solo il clickjacking. NordPass ti segnala i siti web non sicuri, oltre a memorizzare in modo sicuro le tue informazioni più sensibili.