Qué es el clickjacking y cómo prevenirlo

Publicado: 2023-01-17

El secuestro de clics es un exploit web malicioso que ha existido desde que los primeros sitios web llegaron a Internet. Los clickjackers aprovechan los métodos para incrustar una página web dentro de otra. En combinación con la ingeniería social engañosa, los ataques de secuestro de clics mantienen una tasa de éxito ridículamente alta y se dirigen a millones de víctimas desprevenidas todos los días.

Como el marco de creación de sitios web más popular del mundo, WordPress es un gran objetivo para el secuestro de clics. De forma predeterminada, solo la página de inicio de sesión de WordPress y el área de administración no se pueden incrustar en otra página web. Si hay otras partes de su sitio que no desea que se incrusten en otro lugar, debe tomar medidas para protegerlas usted mismo.

Esta guía para el secuestro de clics, o ataques de reparación de la interfaz de usuario, le mostrará cómo funciona el secuestro de clics para que pueda asegurarse de que los atacantes no puedan usar el contenido de su sitio web de WordPress para robar información confidencial o engañar a los usuarios para que hagan algo que los perjudique y/o ayude al secuestrador de clics

¿Qué es el secuestro de clics?

Como sugiere el nombre, el secuestro de clics secuestra los clics y otras acciones de la interfaz web. Permite al secuestrador de clics realizar una acción para sus propios fines en nombre de sus víctimas desprevenidas.

El nombre técnico para el secuestro de clics es "reparación de interfaz". Los secuestradores de clics “revistan” una página web legítima incrustándola en sus propios sitios web, donde su propio código puede modificar sigilosamente lo que sucede cuando los visitantes interactúan con él. Esto se logra incorporando contenido legítimo, como una página de inicio de sesión o una pantalla de pago de un sitio web o servicio legítimo, en una página web maliciosa creada por el delincuente. Los visitantes pueden hacer clic en un botón aparentemente inofensivo, ingresar información en un cuadro de texto o incluso realizar un elemento de arrastrar y soltar. No ven una interfaz oculta que realiza una acción diferente e inesperada que beneficia al atacante.

Al disfrazar su sitio con su contenido, los secuestradores de clics esperan engañar a los visitantes de su sitio para que realicen acciones no deseadas, como proporcionar información confidencial o descargar malware.

¿Cómo funciona el secuestro de clics?

Los ataques de secuestro de clics aprovechan la capacidad de HTML para cargar una página web desde un sitio web dentro de las páginas de otro sitio utilizando los elementos <iframe> o <objects> .

La mayoría de las veces, los ataques de reparación de la interfaz de usuario se basan en que el usuario inicie sesión en un sitio web determinado y crea que está en ese sitio cuando interactúa con el sitio "revisado" de los secuestradores de clics. De esta manera, la persona atraída a la página web maliciosa puede realizar ciertas acciones que el secuestrador de clics desea sin darse cuenta de que no está interactuando con su banco o un sitio familiar de WordPress.

Cinco tipos principales de clickjacking

Existen bastantes tipos de estrategias de secuestro de clics según el objetivo final del atacante. Pueden variar desde actividades relativamente inofensivas (aumentar las vistas de sus sitios de contenido u obtener Me gusta en una publicación o video) hasta robar información de inicio de sesión o incluso dinero de una víctima desprevenida.

El secuestro de clics es una forma muy versátil de realizar una amplia gama de actividades maliciosas. Aunque el secuestro de clics se considera una forma de ataque cibernético, también puede facilitar otros ataques, como XSS o cross-site scripting, ataques e incluso usar cargas útiles XSS para facilitar XSRF o ataques de falsificación de solicitudes entre sitios.

Estos son los cinco tipos más comunes de ataques de clickjacking:

Clickjacking clásico. Implica elegir un sitio web o servicio víctima y usar su contenido para engañar a sus usuarios para que realicen una serie de acciones no deseadas.
Como robar. La antigua variación del secuestro de clics tenía como objetivo aumentar las vistas y los me gusta en una determinada página web o video. Se puede considerar bastante inofensivo y rara vez se ve en estos días.
Cursorjacking. Una técnica utilizada por el atacante para reemplazar el cursor real con uno falso para engañar al usuario para que haga clic en el elemento malicioso sin darse cuenta.
Robo de galletas . Una táctica común que usan los atacantes es obtener cookies almacenadas por el navegador de la víctima. La mayoría de las veces, lo realiza el usuario invitado a realizar una operación aparentemente inofensiva de arrastrar y soltar en la página web del atacante.
Robo de archivos. Un ataque explota la capacidad del navegador para abrir archivos en el dispositivo del usuario, lo que permite al atacante acceder a su sistema de archivos local. Además del sistema de archivos local, el atacante puede acceder al micrófono en su dispositivo o en su ubicación.

Víctimas del secuestro de clics: de las plataformas de redes sociales a los sistemas de pago en línea

El secuestro de clics se hizo especialmente popular hace unos diez años cuando las principales plataformas de redes sociales como Facebook y Twitter fueron víctimas de diferentes variaciones de secuestro de clics. Por ejemplo, un ataque de secuestro de clics realizado a fines de la década de 2000 permitió a los atacantes engañar a la víctima para que enviara spam a toda su lista de amigos de Facebook con un solo clic.

La creciente popularidad de la reparación de la interfaz de usuario en la última década llevó a los gigantes tecnológicos a tomar rápidamente las medidas adecuadas para proteger sus plataformas contra este tipo de ataque. Sin embargo, los investigadores de seguridad siguen informando sobre más vulnerabilidades que afectan a las grandes organizaciones, incluso hoy en día.

Una de las vulnerabilidades más destacadas descubiertas recientemente estaba afectando a Paypal. En 2021, los investigadores de amenazas se toparon con una vulnerabilidad en el servicio de transferencia de dinero de Paypal que podría permitir a los atacantes robar dinero de las cuentas de los usuarios al explotar las transferencias de fondos con un solo clic. Paypal premió al investigador y anunció planes para abordar la situación.

Reciba el informe semanal de vulnerabilidad de WordPress en su bandeja de entrada todos los miércoles.

Suscríbase ahora

La trampa perfecta: preparar un ataque de clickjacking

Cualquier ataque de secuestro de clics implica tres pasos principales: elegir el sitio web objetivo o víctima, crear una página web maliciosa y atraer a los clientes del sitio o servicio objetivo.

Paso 1. Elegir el sitio web de destino

Dado que la gran mayoría de las grandes organizaciones aplican fuertes medidas de seguridad que evitan que los atacantes realicen ataques de secuestro de clics contra sus clientes, los piratas informáticos a menudo se dirigen a empresas más pequeñas. Los sitios web de WordPress son especialmente atractivos para los delincuentes, ya que el software no aplica ninguna medida de seguridad predeterminada que impida que el contenido de WordPress se incruste en el sitio web del atacante.

La página de inicio de sesión de WordPress y el panel de administración sirven como excepciones, pero la responsabilidad de proteger el resto del sitio recae en el propietario del sitio web. La próxima vez que se pregunte por qué un pirata informático atacaría su sitio web, la respuesta es simple: es fácil y conveniente que un pirata informático se dirija a usted, especialmente si no mantiene actualizado su software de WordPress. Gracias a las muchas vulnerabilidades que siempre surgen en los complementos y temas de WordPress, es esencial tomar buenas decisiones sobre qué instalar. Y luego mantenga todo el software actualizado. De lo contrario, se está convirtiendo en un blanco fácil.

Según el tipo de sitio web de WordPress que opere y el contenido que publique, un atacante puede apuntar a diferentes partes del mismo. El secuestro de clics de WordPress a menudo se dirige a formularios web, páginas de inicio de sesión fuera del administrador de WordPress y páginas de pago de WooCommerce con pago con un clic habilitado.

Obtenga el contenido adicional: Lista de verificación de limpieza de sitios web pirateados

Haga clic aquí

Paso 2. Creación de una página web maliciosa

Una vez que se elige el sitio web de destino y se encuentra vulnerable al secuestro de clics, el atacante crea una página web maliciosa para engañar a los usuarios para que realicen una determinada acción. Es probable que el secuestro de clics de WordPress tenga como objetivo la funcionalidad de comercio electrónico, pero robar credenciales y enviar spam sigue siendo un objetivo común establecido por los atacantes.

Un buen ejemplo de clickjacking es una página que afirma que ha ganado un premio y lo invita a reclamarlo. Al hacer clic en el botón "Reclamar mi premio", en realidad estás regalando información personal o confirmando una compra o una transferencia de dinero.

Paso 3. Atraer a los usuarios del sitio web de destino a la trampa

Para que un ataque de clickjacking tenga éxito, el atacante debe hacer que los usuarios abran su página web maliciosa y crean que es parte de un sitio familiar legítimo. Esto se puede lograr de muchas maneras, posiblemente enviando un enlace en un correo electrónico o redirigiendo a un usuario desde un sitio web de un tercero infectado que el atacante pirateó previamente.

Si no hace clic en enlaces en correos electrónicos, mensajes de texto o chats inusuales, inesperados o sospechosos, la probabilidad de que un intento de secuestro de clics tenga éxito es muy baja, incluso si la página web maliciosa del atacante parece perfectamente legítima y no despierta sus sospechas. Los navegadores modernos también emplean una amplia gama de protecciones contra el secuestro de clics, y la combinación de su vigilancia y la tecnología actual del navegador puede reducir significativamente la tasa de éxito de cualquier ataque de reparación de la interfaz de usuario.

Cómo no ser víctima del clickjacking

Para protegerse de todo tipo de secuestro de clics, evite abrir correos electrónicos, anuncios y enlaces a sitios web sospechosos. Nunca instale software de fuentes no verificadas. Dado que el secuestro de clics se basa en prácticas engañosas de ingeniería social, aprender a detectarlas es su mejor defensa. Más allá de eso, debe mantener todos sus navegadores y sistemas operativos actualizados a sus últimas versiones. También puede instalar sólidas extensiones de seguridad del navegador y utilizar software antivirus moderno para asegurarse de no ser víctima de clickjacking y otros ciberataques peligrosos.

Desconfíe de las invitaciones para hacer clic en un enlace

Los secuestradores de clics a menudo envían enlaces a posibles víctimas por correo electrónico, SMS y aplicaciones de mensajería. Si no ha hecho nada para solicitar o activar dicho mensaje, mire su origen. Los secuestradores de clics a menudo envían mensajes desde dominios, subdominios y nombres de cuenta que son similares a un sitio legítimo, como Paypal. Vea si puede detectar las pequeñas diferencias que hacen que estos remitentes sean sospechosos:

[correo electrónico protegido]
http://paypaI.com

En el primer caso, "paypal" es un subdominio que cualquiera puede adjuntar a un dominio principal de nivel superior, que en este caso es "app1.com". Eso no es Paypal.

En el segundo caso, la 'l' minúscula ha sido reemplazada por una 'I' mayúscula, que es idéntica en muchas fuentes comunes. Los ladrones de clics a menudo han registrado dominios ligeramente mal escritos como estos para engañar a las personas haciéndoles creer que son de un remitente legítimo.

También puede mirar los encabezados de correo electrónico para ver el origen de un mensaje. Familiarícese con los dominios y las direcciones de correo electrónico que utilizan sus instituciones financieras y otras cuentas importantes. También tendrán una política que describa cómo se comunicarán o no con usted y cómo se identificarán. No confíe en ninguna comunicación que se encuentre fuera de estos parámetros. ¡Mejor prevenir que lamentar!

Instalar extensiones de navegador Anti-Clickjacking

Además de las funciones de seguridad integradas de su navegador, las extensiones de navegador contra el secuestro de clics pueden brindarle un mayor nivel de protección contra ataques de secuencias de comandos entre sitios y secuestro de clics. NoScript es la extensión multinavegador más popular compatible con Google Chrome, Mozilla Firefox y Microsoft Edge. JS Blocker es una excelente alternativa a NoScript para usuarios de Safari.

Tres pasos para proteger su sitio web de WordPress contra el secuestro de clics

WordPress protege el panel de administración y su página de inicio de sesión contra el secuestro de clics de forma predeterminada, pero todas las demás áreas de su sitio web necesitan protección adicional. La cantidad de ataques que se pueden realizar contra la mayoría de los sitios web en la actualidad hace que la seguridad sea la máxima prioridad para los propietarios de sitios.

Afortunadamente, hay muchas formas de protegerse contra el secuestro de clics de WordPress. , Debe combinar varios enfoques para asegurarse de que sean compatibles con todos los navegadores. Además, una combinación de medidas de seguridad ayudará a garantizar que el contenido de su sitio web esté protegido de todo tipo de actividades maliciosas que pueden facilitar los ataques de reparación de la interfaz de usuario.

Hay tres grandes pasos que puede tomar para proteger su sitio web de WordPress contra el secuestro de clics:

Configure el encabezado X-Frame-Options para evitar que alguien cargue el contenido de su sitio web en marcos en recursos de terceros no confiables.
Configure la directiva de ancestros de marcos de la Política de seguridad de contenido (CSP) para especificar qué sitios web pueden incrustar las páginas de su sitio web en marcos. (Normalmente, esto se puede establecer en "ninguno").
Utilice el atributo de cookie de SameSite del encabezado Set-Cookie para defenderse contra el secuestro de clics y los intentos de falsificación de solicitudes entre sitios (CSRF).

Uso de .htaccess para configurar encabezados de respuesta HTTP para WordPress

Los encabezados de respuesta son encabezados HTTP que se utilizan para definir variables específicas para la comunicación cliente-servidor entre su sitio y los navegadores de sus visitantes. Son invisibles para sus visitantes. X-Frame-Options, Content Security Policy y Set-Cookie son ejemplos de encabezados de respuesta HTTP.

Aunque ciertos complementos de WordPress se pueden usar para configurar encabezados de respuesta HTTP en un sitio web de WordPress, el enfoque más fácil es usar su archivo .htaccess local. (Esto supone que su entorno de servidor usa Apache o Litespeed para atender solicitudes HTTP). La configuración de encabezado especificada en el archivo .htaccess en el directorio raíz del sitio web se aplica a todas las páginas del sitio web.

El módulo de Apache mod_headers le permite configurar encabezados de respuesta en .htaccess usando las declaraciones Header set y Header append . Dado que ciertos encabezados se pueden configurar en la configuración global del servidor web, a veces se recomienda usar la adición de encabezado para fusionar el valor configurado en un encabezado de respuesta existente en lugar de reemplazar la configuración existente.

Como su proveedor de alojamiento puede configurar ciertos encabezados de respuesta HTTP para todos los sitios web de forma predeterminada, es mejor comunicarse con ellos antes de realizar cambios en .htaccess para evitar problemas.

Configurar el encabezado de opciones de X-Frame

El encabezado X-Frame-Options define si una página web se puede representar en un marco y una lista de recursos autorizados para hacerlo. Hay dos directivas para X-Frame-Options: DENY y SAMEORIGIN. La directiva ALLOW-FROM que se usaba anteriormente ahora está obsoleta.

El valor DENY evita efectivamente que cualquier sitio web incruste el contenido de su sitio web en marcos. Establecer X-Frame-Options en SAMEORIGIN permite enmarcar el contenido si la solicitud proviene de otras páginas de su sitio web.

Para configurar el encabezado X-Frame-Options en su sitio web de WordPress, agregue una de las siguientes líneas al archivo .htaccess en el directorio de instalación de WordPress. (Tenga en cuenta que se utiliza la opción de configuración).

 Conjunto de encabezado X-Frame-Options "DENY"

 Conjunto de encabezado X-Frame-Options "SAMEORIGIN"

Aunque los navegadores modernos solo incluyen soporte parcial para X-Frame-Options o incluso lo desaprueban a favor de la directiva de ancestros de marcos CSP, configurarlo en su sitio web de WordPress protegerá a los navegadores más antiguos.

Configurar directiva de antecesores de marco de política de seguridad de contenido

El encabezado de respuesta de la política de seguridad de contenido es una poderosa medida de seguridad que puede ayudar a mitigar una serie de ataques, incluidos el secuestro de clics, las secuencias de comandos entre sitios, la falsificación de solicitudes, la detección de paquetes y los ataques de inyección de datos. La política de seguridad de contenido es compatible con todos los navegadores modernos.

La directiva frame-ancestros de la Política de seguridad de contenido se puede establecer en none o self para denegar el marco de contenido o limitar su uso a los confines del mismo sitio web, o puede especificar la lista de sitios web confiables, junto con la lista de tipos de contenido. cada uno puede enmarcar.

Agregar la siguiente línea a .htaccess restringirá el enmarcado de todo tipo de contenido al sitio web actual:

 Conjunto de encabezado Content-Security-Policy "frame-ancestors 'self'"

La siguiente variación requiere el uso de HTTPS:

 Conjunto de encabezado Content-Security-Policy "frame-ancestors 'self' https://mywpsite.com"

Agregue el encabezado Set-Cookie con el atributo SameSite

El encabezado de respuesta Set-Cookie se utiliza para transferir una cookie del servidor al navegador. La configuración del atributo SameSite le permite restringir el uso de cookies al sitio web actual. Esto ayuda a garantizar la protección contra los ataques de secuestro de clics que requieren que un usuario se autentique en el sitio web objetivo y la falsificación de solicitudes entre sitios.

Configurar SameSite en estricto evita efectivamente que se envíen cookies de sesión si se realiza una solicitud a un sitio web de destino dentro de un marco, incluso si un usuario está autenticado en el recurso de destino. Tenga en cuenta que la medida por sí sola no puede mitigar todos los tipos de ataques de robo de clics y falsificación de secuencias de comandos cruzadas.

Para implementar el atributo SameSite del encabezado Establecer cookie en su sitio de WordPress, agregue la siguiente línea al archivo .htaccess:

 Conjunto de encabezado Set-Cookie ^(.*)$ "$1; SameSite=Estricto; Seguro

Prueba simple de secuestro de clics

Puede verificar si el contenido de su sitio web se puede cargar en marcos desde otro recurso creando una página HTML simple. Cree un archivo HTML con el siguiente código provisto por OWASP y ábralo en su navegador. Si no ve la página web incrustada en el marco, el marco de contenido se ha restringido correctamente

Tenga en cuenta que es mejor subir una página a otro sitio web de su propiedad, a menos que haya deshabilitado por completo el marco de contenido. En ese caso, puede crear uno de los mismos sitios web que está probando.

<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>

Evite el secuestro de clics y otros ataques cibernéticos en su sitio de WordPress con iThemes Security Pro

El secuestro de clics, también conocido como reparación de la interfaz de usuario, explota la capacidad de cargar una página web dentro de otra página web para engañar a los usuarios para que realicen acciones que de otro modo no serían deseadas. El secuestro de clics de WordPress se ha vuelto muy común debido a la falta de protecciones integradas que protegerían las páginas web que no sean la página de inicio de sesión de WordPress y el panel de administración.

Defiéndase contra el secuestro de clics restringiendo la capacidad de otros para enmarcar el contenido de su sitio web utilizando encabezados de respuesta HTTP como X-FRAME-OPTIONS, Política de seguridad de contenido y Set-Cookie. Usando un archivo .htaccess local en su directorio de instalación de WordPress, puede aplicar fácilmente estas políticas de seguridad en todo el sitio.

El secuestro de clics sigue siendo una amenaza de seguridad activa, y las secuencias de comandos entre sitios, junto con la falsificación de solicitudes, a menudo van de la mano. Comience a protegerse contra amenazas de seguridad comunes como estas tomando un enfoque consciente de todos los aspectos de la seguridad de su sitio web de WordPress.

iThemes Security Pro ofrece más de 30 formas de proteger las áreas más vulnerables de su sitio de WordPress, defendiéndolo de una amplia gama de tácticas modernas y sofisticadas que emplean los malintencionados. El potente análisis de vulnerabilidades, la autenticación sin contraseña y la supervisión de la integridad de los archivos le permiten reducir drásticamente la superficie expuesta a ataques.

BackupBuddy e iThemes Sync Pro lo ayudarán a mantener una copia de seguridad periódica de su sitio web de WordPress y brindarán un monitoreo avanzado del tiempo de actividad, así como análisis SEO.

iThemes se asegurará de que se mantenga actualizado con las últimas amenazas de seguridad y noticias en la comunidad de WordPress. Si es nuevo en WordPress, la capacitación gratuita de WordPress de iThemes podría ser exactamente lo que necesita para un gran comienzo.

El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress

Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.

Obtenga iThemes Security Pro

kiki sheldon

Kiki tiene una licenciatura en administración de sistemas de información y más de dos años de experiencia en Linux y WordPress. Actualmente trabaja como especialista en seguridad para Liquid Web y Nexcess. Antes de eso, Kiki formó parte del equipo de soporte de Liquid Web Managed Hosting donde ayudó a cientos de propietarios de sitios web de WordPress y aprendió qué problemas técnicos encuentran a menudo. Su pasión por la escritura le permite compartir su conocimiento y experiencia para ayudar a las personas. Además de la tecnología, a Kiki le gusta aprender sobre el espacio y escuchar podcasts sobre crímenes reales.