Qu'est-ce que le détournement de clic et comment le prévenir
Publié: 2023-01-17Le détournement de clic est un exploit Web malveillant qui existe depuis que les premiers sites Web ont fait leur chemin sur Internet. Les clickjackers exploitent des méthodes pour intégrer une page Web dans une autre. Combinées à une ingénierie sociale trompeuse, les attaques de détournement de clic maintiennent un taux de réussite ridiculement élevé, ciblant quotidiennement des millions de victimes sans méfiance.
En tant que framework de création de sites Web le plus populaire au monde, WordPress est une cible importante pour le détournement de clics. Par défaut, seules la page de connexion WordPress et la zone d'administration ne peuvent pas être intégrées à une autre page Web. S'il y a d'autres parties de votre site que vous ne voulez pas intégrer ailleurs, vous devez prendre des mesures pour les protéger vous-même.
Ce guide sur le détournement de clics, ou les attaques de réparation de l'interface utilisateur, vous montrera comment fonctionne le détournement de clics afin que vous puissiez vous assurer que le contenu de votre site Web WordPress ne peut pas être utilisé par des attaquants pour voler des informations sensibles ou inciter les utilisateurs à faire quelque chose qui leur nuit et/ou aide le clickjacker.
Qu'est-ce que le détournement de clic ?
Comme son nom l'indique, le détournement de clic détourne les clics et autres actions de l'interface Web. Il permet au pirate de clic d'effectuer une action à ses propres fins au nom de ses victimes sans méfiance.
Le nom technique du détournement de clic est "interface redressing". Les pirates de clics "réhabillent" une page Web légitime en l'intégrant dans leurs propres sites Web, où leur propre code peut modifier furtivement ce qui se passe lorsque les visiteurs interagissent avec elle. Ceci est réalisé en incorporant un contenu légitime, tel qu'une page de connexion ou un écran de paiement d'un site Web ou d'un service légitime, sur une page Web malveillante créée par le criminel. Les visiteurs peuvent cliquer sur un bouton apparemment inoffensif, saisir des informations dans une zone de texte ou même effectuer un glisser-déposer. Ils ne voient pas une interface cachée qui exécute une action différente et inattendue qui profite à l'attaquant.
En déguisant leur site avec votre contenu, les pirates de clics espèrent inciter les visiteurs de leur site à effectuer des actions autrement indésirables, telles que divulguer des informations sensibles ou télécharger des logiciels malveillants.
Comment fonctionne le détournement de clic ?
Les attaques de détournement de clic tirent parti de la capacité de HTML à charger une page Web à partir d'un site Web dans les pages d'un autre site en utilisant les éléments <iframe>
ou <objects>
.
La plupart du temps, les attaques de redressement de l'interface utilisateur reposent sur le fait que l'utilisateur est connecté à un certain site Web et croit qu'il se trouve sur ce site lorsqu'il interagit avec le site « redressé » des pirates de clics. De cette façon, la personne attirée vers la page Web malveillante peut effectuer certaines actions souhaitées par le pirate de clic sans se rendre compte qu'elle n'interagit pas avec sa banque ou un site WordPress familier.
Cinq principaux types de détournement de clic
Il existe plusieurs types de stratégies de détournement de clic en fonction de l'objectif final de l'attaquant. Ils peuvent aller d'activités relativement inoffensives (augmenter le nombre de vues pour leurs sites de contenu ou gagner des likes sur une publication ou une vidéo) au vol d'informations de connexion ou même d'argent à une victime sans méfiance.
Le détournement de clic est un moyen très polyvalent de mener un large éventail d'activités malveillantes. Bien que le détournement de clic soit considéré comme une forme de cyberattaque, il peut également faciliter d'autres attaques, telles que XSS, ou des scripts intersites, des attaques, et même utiliser des charges utiles XSS pour faciliter les attaques XSRF ou de falsification de requêtes intersites.
Voici les cinq types d'attaques de détournement de clic les plus courants :
- Clickjacking classique. Cela implique de choisir un site Web ou un service victime et d'utiliser son contenu pour inciter ses utilisateurs à effectuer un certain nombre d'actions indésirables.
- Comme le jacking. L'ancienne variante du détournement de clics visant à augmenter les vues et les likes sur une certaine page Web ou vidéo. Peut être considéré comme plutôt inoffensif et est rarement vu de nos jours.
- Cursorjacking. Technique utilisée par l'attaquant pour remplacer le curseur réel par un faux afin d'inciter l'utilisateur à cliquer sur l'élément malveillant sans s'en rendre compte.
- Cookiejacking . Une tactique courante utilisée par les attaquants consiste à obtenir des cookies stockés par le navigateur de la victime. La plupart du temps, elle est effectuée par l'utilisateur invité à effectuer un glisser-déposer apparemment inoffensif sur la page Web de l'attaquant.
- Filejacking. Une attaque exploite la capacité du navigateur à ouvrir des fichiers sur l'appareil de l'utilisateur, permettant à l'attaquant d'accéder à son système de fichiers local. En plus du système de fichiers local, l'attaquant peut accéder au microphone de votre appareil ou de votre emplacement.
Victimes de détournement de clic : des plateformes de médias sociaux aux systèmes de paiement en ligne
Le détournement de clic est devenu particulièrement populaire il y a une dizaine d'années lorsque les principales plateformes de médias sociaux telles que Facebook et Twitter ont été victimes de différentes variantes de détournement de clic. Par exemple, une attaque de détournement de clic effectuée à la fin des années 2000 a permis aux attaquants d'inciter la victime à envoyer du spam à l'ensemble de sa liste d'amis Facebook en un seul clic.
La popularité croissante de la réparation de l'interface utilisateur au cours de la dernière décennie a conduit les géants de la technologie à prendre rapidement les mesures appropriées pour protéger leurs plates-formes contre ce type d'attaque. Cependant, les chercheurs en sécurité continuent de signaler de plus en plus de vulnérabilités affectant les grandes organisations, même aujourd'hui.
L'une des vulnérabilités les plus importantes découvertes récemment concernait Paypal. En 2021, des chercheurs en menaces sont tombés sur une vulnérabilité du service de transfert d'argent de Paypal qui pourrait potentiellement permettre à des attaquants de voler de l'argent sur les comptes d'utilisateurs en exploitant des transferts de fonds en un clic. Paypal a récompensé le chercheur et a annoncé son intention de remédier à la situation.
Le piège parfait : mise en place d'une attaque de détournement de clic
Toute attaque de détournement de clic implique trois étapes principales : choisir le site Web cible ou victime, créer une page Web malveillante et y attirer les clients du site ou du service ciblé.
Étape 1. Choisir le site Web cible
Étant donné que la grande majorité des grandes organisations appliquent des mesures de sécurité strictes qui empêchent les attaquants d'effectuer des attaques de détournement de clic contre leurs clients, les pirates ciblent souvent les petites entreprises. Les sites Web WordPress sont particulièrement attrayants pour les criminels car le logiciel n'applique aucune mesure de sécurité par défaut empêchant le contenu WordPress d'être intégré au site Web de l'attaquant.
La page de connexion WordPress et le tableau de bord d'administration servent d'exceptions, mais la responsabilité de protéger le reste du site incombe au propriétaire du site Web. La prochaine fois que vous vous demanderez pourquoi un pirate attaquerait votre site Web, la réponse est simple : il est facile et pratique pour un pirate de vous cibler, surtout si vous ne maintenez pas votre logiciel WordPress à jour. Grâce aux nombreuses vulnérabilités qui apparaissent toujours dans les plugins et les thèmes WordPress, il est essentiel de faire les bons choix sur ce qu'il faut installer. Et puis gardez tous les logiciels à jour Sinon, vous vous faites une cible facile.
Selon le type de site Web WordPress que vous exploitez et le contenu que vous publiez, un attaquant peut cibler différentes parties de celui-ci. Le détournement de clics WordPress cible souvent les formulaires Web, les pages de connexion en dehors de l'administrateur WordPress et les pages de paiement WooCommerce avec le paiement en un clic activé.
Étape 2. Création d'une page Web malveillante
Une fois que le site Web cible est choisi et jugé vulnérable au détournement de clics, l'attaquant crée une page Web malveillante pour inciter les utilisateurs à effectuer une certaine action. Le détournement de clics WordPress est susceptible de cibler la fonctionnalité de commerce électronique, mais le vol d'informations d'identification et l'envoi de spam restent un objectif commun fixé par les attaquants.
Un bon exemple de détournement de clic est une page affirmant que vous avez gagné un prix et vous invitant à le réclamer. En cliquant sur le bouton "Réclamer mon prix", vous donnez en fait des informations personnelles ou confirmez un achat ou un transfert d'argent.
Étape 3. Attirer les utilisateurs du site Web cible dans le piège
Pour qu'une attaque par détournement de clic réussisse, l'attaquant doit faire en sorte que les utilisateurs ouvrent leur page Web malveillante et croient qu'elle fait partie d'un site légitime et familier. Cela peut être réalisé de plusieurs façons, éventuellement en envoyant un lien vers celui-ci dans un e-mail ou en redirigeant un utilisateur à partir d'un site Web tiers infecté que l'attaquant a précédemment piraté.
Si vous ne cliquez pas sur des liens dans des e-mails, SMS ou chats inhabituels, inattendus ou suspects, la probabilité qu'une tentative de détournement de clic réussisse est très faible, même si la page Web malveillante de l'attaquant semble parfaitement légitime et n'éveille pas vos soupçons. Les navigateurs modernes utilisent également un large éventail de protections contre le détournement de clics, et la combinaison de votre vigilance et de la technologie actuelle du navigateur peut réduire considérablement le taux de réussite de toute attaque de réparation de l'interface utilisateur.
Comment ne pas être victime du détournement de clic
Pour vous protéger de tous les types de détournement de clics, évitez d'ouvrir des e-mails, des publicités et des liens suspects vers des sites Web. N'installez jamais de logiciels provenant de sources non vérifiées. Étant donné que le détournement de clic repose sur des pratiques d'ingénierie sociale trompeuses, apprendre à les repérer est votre meilleure défense. Au-delà de cela, vous devez maintenir tous vos navigateurs et systèmes d'exploitation à jour avec leurs dernières versions. Vous pouvez également installer des extensions de sécurité de navigateur robustes et utiliser un logiciel antivirus moderne pour vous assurer de ne pas être victime de détournement de clic et d'autres cyberattaques dangereuses.
Méfiez-vous des invitations à cliquer sur un lien
Les pirates de clics envoient souvent des liens aux victimes potentielles par e-mail, SMS et applications de messagerie. Si vous n'avez rien fait pour demander ou déclencher un tel message, regardez son origine. Les pirates de clics envoient souvent des messages à partir de domaines, de sous-domaines et de noms de compte similaires à un site légitime, comme Paypal. Voyez si vous pouvez détecter les petites différences qui rendent ces expéditeurs suspects :
- [courriel protégé]
- http://paypaI.com
Dans le premier cas, "paypal" est un sous-domaine que n'importe qui peut attacher à un domaine de premier niveau principal, qui est "app1.com" dans ce cas. Ce n'est pas Paypal.
Dans le second cas, le « l » minuscule a été remplacé par un « I » majuscule, qui est identique dans de nombreuses polices courantes. Les pirates de clics ont souvent enregistré des domaines légèrement mal orthographiés comme ceux-ci pour faire croire aux gens qu'ils proviennent d'un expéditeur légitime.
Vous pouvez également consulter les en-têtes des e-mails pour voir l'origine d'un message. Familiarisez-vous avec les domaines et les adresses e-mail utilisés par vos institutions financières et autres comptes importants. Ils auront également une politique décrivant comment ils vous contacteront ou non et comment ils s'identifieront. Ne faites pas confiance aux communications qui ne relèvent pas de ces paramètres. Il vaut mieux être prudent que désolé!
Installer les extensions de navigateur anti-clickjacking
En plus des fonctionnalités de sécurité intégrées de votre navigateur, les extensions de navigateur anti-clickjacking peuvent vous offrir un niveau de protection plus élevé contre les attaques de clickjacking et de cross-site scripting. NoScript est l'extension multi-navigateur la plus populaire prise en charge par Google Chrome, Mozilla Firefox et Microsoft Edge. JS Blocker est une excellente alternative à NoScript pour les utilisateurs de Safari.
Trois étapes pour protéger votre site Web WordPress contre le détournement de clic
WordPress protège le tableau de bord d'administration et sa page de connexion contre le détournement de clics par défaut, mais toutes les autres zones de votre site Web nécessitent une protection supplémentaire. Le nombre d'attaques qui peuvent être effectuées contre la plupart des sites Web aujourd'hui fait de la sécurité la priorité absolue pour les propriétaires de sites.
Heureusement, il existe de nombreuses façons de se protéger contre le détournement de clic WordPress. , Vous devez combiner plusieurs approches pour vous assurer qu'elles sont prises en charge par tous les navigateurs. De plus, une combinaison de mesures de sécurité aidera à garantir que le contenu de votre site Web est protégé contre tous les types d'activités malveillantes que les attaques de réparation de l'interface utilisateur peuvent faciliter.
Il y a trois grandes étapes que vous pouvez suivre pour sécuriser votre site WordPress contre le détournement de clic :
- Configurez l'en -tête X-Frame-Options pour empêcher quiconque de charger le contenu de votre site Web dans des cadres sur des ressources tierces non fiables.
- Configurez la directive frame-ancestors de la politique de sécurité du contenu (CSP) pour spécifier quels sites Web peuvent intégrer les pages de votre site Web dans des cadres. (Normalement, cela peut être réglé sur "aucun".)
- Utilisez l' attribut de cookie SameSite de l'en-tête Set-Cookie pour vous défendre contre les tentatives de détournement de clic et de falsification de requête intersite (CSRF).
Utilisation de .htaccess pour configurer les en-têtes de réponse HTTP pour WordPress
Les en-têtes de réponse sont des en-têtes HTTP utilisés pour définir des variables spécifiques pour la communication client-serveur entre votre site et les navigateurs de ses visiteurs. Ils sont invisibles pour vos visiteurs. X-Frame-Options, Content Security Policy et Set-Cookie sont tous des exemples d'en-têtes de réponse HTTP.
Bien que certains plugins WordPress puissent être utilisés pour configurer les en-têtes de réponse HTTP sur un site Web WordPress, l'approche la plus simple consiste à utiliser votre fichier .htaccess local. (Cela suppose que votre environnement de serveur utilise Apache ou Litespeed pour traiter les requêtes HTTP.) La configuration d'en-tête spécifiée dans le fichier .htaccess du répertoire racine du site Web est appliquée à toutes les pages du site Web.
Le module Apache mod_headers vous permet de configurer les en-têtes de réponse dans .htaccess à l'aide des instructions Header set et Header append . Comme certains en-têtes peuvent être configurés dans la configuration globale du serveur Web, il est parfois recommandé d'utiliser Header append pour fusionner la valeur configurée sur un en-tête de réponse existant au lieu de remplacer la configuration existante.
Comme votre fournisseur d'hébergement peut configurer par défaut certains en-têtes de réponse HTTP pour tous les sites Web, il est préférable de le contacter avant d'apporter des modifications à .htaccess pour éviter tout problème.
Configurer l'en-tête X-Frame-Options
L'en-tête X-Frame-Options définit si une page Web peut être rendue dans un cadre et une liste de ressources autorisées à le faire. Il existe deux directives pour X-Frame-Options - DENY et SAMEORIGIN. La directive ALLOW-FROM qui était précédemment utilisée est désormais obsolète.
La valeur DENY empêche efficacement tout site Web d'intégrer le contenu de votre site Web dans des cadres. La définition de X-Frame-Options sur SAMEORIGIN permet le cadrage du contenu si la demande provient d'autres pages de votre site Web.
Pour configurer l'en-tête X-Frame-Options sur votre site Web WordPress, ajoutez l'une des lignes suivantes au fichier .htaccess dans le répertoire d'installation de WordPress. (Veuillez noter que l'option set est utilisée.)
Jeu d'en-tête X-Frame-Options "DENY"
Jeu d'en-tête X-Frame-Options "SAMEORIGIN"
Bien que les navigateurs modernes n'incluent qu'une prise en charge partielle de X-Frame-Options ou même la déprécient en faveur de la directive frame-ancestors CSP, sa configuration sur votre site Web WordPress protégera les anciens navigateurs.
Configurer la directive Frame-Ancestors de la politique de sécurité du contenu
L'en-tête de réponse de la politique de sécurité du contenu est une mesure de sécurité puissante qui peut aider à atténuer un certain nombre d'attaques, notamment le détournement de clics, les scripts intersites, la falsification de requêtes, le reniflage de paquets et les attaques par injection de données. La politique de sécurité du contenu est prise en charge par tous les navigateurs modernes.
La directive frame-ancestors de la politique de sécurité du contenu peut être définie sur none ou self pour refuser le cadrage du contenu ou limiter son utilisation aux limites du même site Web, ou vous pouvez spécifier la liste des sites Web de confiance, ainsi que la liste des types de contenu chacun peut encadrer.
L'ajout de la ligne ci-dessous à .htaccess limitera l'encadrement de tous les types de contenu sur le site Web actuel :
Jeu d'en-tête Content-Security-Policy "frame-ancestors 'self'"
La variante suivante nécessite l'utilisation de HTTPS :
Jeu d'en-tête Content-Security-Policy "frame-ancestors 'self' https://mywpsite.com"
Ajouter l'en-tête Set-Cookie avec l'attribut SameSite
L'en-tête de réponse Set-Cookie est utilisé pour transférer un cookie du serveur vers le navigateur. La configuration de l'attribut SameSite vous permet de limiter l'utilisation des cookies au site Web actuel. Cela permet d'assurer une protection contre les attaques de détournement de clic qui nécessitent qu'un utilisateur soit authentifié sur le site Web ciblé et contre la falsification de requêtes intersites.
La définition de SameSite sur strict empêche efficacement l'envoi de cookies de session si une demande est adressée à un site Web ciblé dans un cadre, même si un utilisateur est authentifié sur la ressource ciblée. Veuillez noter que la mesure seule ne peut pas atténuer tous les types d'attaques de détournement de clics et de falsification de scripts croisés.
Pour implémenter l'attribut SameSite de l'en-tête Set Cookie sur votre site WordPress, ajoutez la ligne suivante au fichier .htaccess :
Ensemble d'en-tête Set-Cookie ^(.*)$ "$1 ; SameSite=Strict ; Secure
Test de détournement de clic simple
Vous pouvez vérifier si le contenu de votre site Web peut être chargé dans des cadres à partir d'une autre ressource en créant une simple page HTML. Créez un fichier HTML avec le code ci-dessous fourni par l'OWASP et ouvrez-le dans votre navigateur. Si vous ne voyez pas la page Web intégrée dans le cadre, le cadrage du contenu a été restreint avec succès
Veuillez noter qu'il est préférable de télécharger une page sur un autre site Web que vous possédez, à moins que vous n'ayez entièrement désactivé le cadrage du contenu. Dans ce cas, vous pouvez créer l'un des mêmes sites Web que vous testez.
<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>
Empêchez le détournement de clics et autres cyberattaques sur votre site WordPress avec iThemes Security Pro
Le détournement de clic, également connu sous le nom de redressement de l'interface utilisateur, exploite la possibilité de charger une page Web dans une autre page Web afin d'inciter les utilisateurs à effectuer des actions autrement indésirables. WordPress Clickjacking est devenu très courant en raison du manque de protections intégrées qui sécuriseraient les pages Web autres que la page de connexion WordPress et le tableau de bord d'administration.
Défendez-vous contre le détournement de clics en limitant la capacité des autres à encadrer le contenu de votre site Web à l'aide d'en-têtes de réponse HTTP tels que X-FRAME-OPTIONS, Content Security Policy et Set-Cookie. En utilisant un fichier .htaccess local dans votre répertoire d'installation WordPress, vous pouvez facilement appliquer ces politiques de sécurité sur tout le site.
Le détournement de clics reste une menace de sécurité active, et les scripts intersites associés à la falsification de requêtes vont souvent de pair avec cela. Commencez à vous protéger contre les menaces de sécurité courantes comme celles-ci en adoptant une approche consciente de tous les aspects de la sécurité de votre site Web WordPress.
iThemes Security Pro propose plus de 30 façons de protéger les zones les plus vulnérables de votre site WordPress, en le défendant contre un large éventail de tactiques modernes et sophistiquées employées par des acteurs malveillants. L'analyse puissante des vulnérabilités, l'authentification sans mot de passe et la surveillance de l'intégrité des fichiers vous permettent de réduire considérablement la surface d'attaque.
BackupBuddy et iThemes Sync Pro vous aideront à sauvegarder régulièrement votre site Web WordPress et à fournir une surveillance avancée de la disponibilité ainsi que des analyses SEO.
iThemes vous assurera de rester à jour avec les dernières menaces de sécurité et les nouvelles de la communauté WordPress. Si vous êtes nouveau sur WordPress, la formation WordPress gratuite iThemes pourrait être exactement ce dont vous avez besoin pour un bon départ.
Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress
WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.
Kiki possède un baccalauréat en gestion des systèmes d'information et plus de deux ans d'expérience sous Linux et WordPress. Elle travaille actuellement comme spécialiste de la sécurité pour Liquid Web et Nexcess. Avant cela, Kiki faisait partie de l'équipe de support de Liquid Web Managed Hosting où elle a aidé des centaines de propriétaires de sites Web WordPress et a appris les problèmes techniques qu'ils rencontrent souvent. Sa passion pour l'écriture lui permet de partager ses connaissances et son expérience pour aider les gens. Outre la technologie, Kiki aime apprendre sur l'espace et écouter de vrais podcasts sur le crime.