Cos'è il clickjacking e come prevenirlo

Pubblicato: 2023-01-17

Il clickjacking è un exploit web dannoso che esiste da quando i primi siti web si sono fatti strada su Internet. I clickjacker sfruttano i metodi per incorporare una pagina web all'interno di un'altra. In combinazione con l'ingegneria sociale ingannevole, gli attacchi di clickjacking mantengono un tasso di successo ridicolmente alto, prendendo di mira milioni di vittime ignare ogni giorno.

Essendo il framework per la creazione di siti Web più popolare al mondo, WordPress è un obiettivo importante per il clickjacking. Per impostazione predefinita, solo la pagina di accesso e l'area di amministrazione di WordPress non possono essere incorporate in un'altra pagina web. Se ci sono altre parti del tuo sito che non vuoi vengano incorporate altrove, devi agire per proteggerle tu stesso.

Questa guida al clickjacking, o attacco di correzione dell'interfaccia utente, ti mostrerà come funziona il clickjacking in modo da assicurarti che il contenuto del tuo sito Web WordPress non possa essere utilizzato dagli aggressori per rubare informazioni sensibili o indurre gli utenti a fare qualcosa che li danneggia e/o aiuta il clickjacker.

Cos'è il clickjacking?

Come suggerisce il nome, il clickjacking dirotta i clic e altre azioni dell'interfaccia web. Consente al clickjacker di eseguire un'azione per i propri scopi per conto delle vittime ignare.

Il nome tecnico per il clickjacking è "correzione dell'interfaccia". I clickjacker "rimodellano" una pagina Web legittima incorporandola nei propri siti Web, dove il proprio codice può modificare furtivamente ciò che accade quando i visitatori interagiscono con essa. Ciò si ottiene incorporando contenuti legittimi, come una pagina di accesso o una schermata di pagamento da un sito Web o servizio legittimo, su una pagina Web dannosa creata dal criminale. I visitatori possono fare clic su un pulsante apparentemente innocuo, inserire alcune informazioni in una casella di testo o persino eseguire un elemento di trascinamento della selezione. Non vedono un'interfaccia nascosta che esegue un'azione diversa e inaspettata a vantaggio dell'attaccante.

Mascherando il loro sito con i tuoi contenuti, i clickjacker sperano di indurre i visitatori del loro sito a compiere azioni altrimenti indesiderate, come la divulgazione di informazioni sensibili o il download di malware.

clickjacking

Come funziona il clickjacking?

Gli attacchi di clickjacking sfruttano la capacità dell'HTML di caricare una pagina Web da un sito Web all'interno delle pagine di un altro sito utilizzando gli elementi <iframe> o <objects> .

La maggior parte delle volte, gli attacchi di correzione dell'interfaccia utente si basano sul fatto che l'utente abbia effettuato l'accesso a un determinato sito Web e creda di trovarsi su quel sito quando interagisce con il sito "rivestito" dei clickjacker. In questo modo, la persona attratta dalla pagina Web dannosa può eseguire determinate azioni richieste dal clickjacker senza rendersi conto che non sta interagendo con la propria banca o con un sito WordPress familiare.

Cinque tipi principali di clickjacking

Esistono diversi tipi di strategie di clickjacking a seconda dell'obiettivo finale dell'attaccante. Possono variare da attività relativamente innocue (aumentare le visualizzazioni per i loro siti di contenuto o ottenere Mi piace su un post o un video) al furto di informazioni di accesso o persino denaro da una vittima ignara.

Il clickjacking è un modo altamente versatile di condurre un'ampia gamma di attività dannose. Sebbene il clickjacking sia considerato una forma di attacco informatico, può anche facilitare altri attacchi, come XSS o cross-site scripting, attacchi e persino utilizzare payload XSS per facilitare XSRF o attacchi di contraffazione di richieste cross-site.

Ecco i cinque tipi più comuni di attacchi di clickjacking:

  • Clickjacking classico. Implica la scelta di un sito Web o servizio della vittima e l'utilizzo del suo contenuto per indurre i suoi utenti a eseguire una serie di azioni indesiderate.
  • Likejacking. La vecchia variante del clickjacking mirava ad aumentare visualizzazioni e Mi piace su una determinata pagina Web o video. Può essere considerato piuttosto innocuo ed è raramente visto in questi giorni.
  • Cursorjacking. Una tecnica utilizzata dall'attaccante per sostituire il cursore effettivo con uno falso per indurre l'utente a fare clic sull'elemento dannoso senza rendersene conto.
  • Cookiejacking . Una tattica comune utilizzata dagli aggressori è ottenere i cookie memorizzati dal browser della vittima. Il più delle volte, viene eseguito dall'utente invitato a eseguire un'operazione di trascinamento della selezione apparentemente innocua sulla pagina Web dell'attaccante.
  • Filejacking. Un attacco sfrutta la capacità del browser di aprire i file sul dispositivo dell'utente, consentendo all'aggressore di accedere al proprio file system locale. Oltre al file system locale, l'attaccante può accedere al microfono sul tuo dispositivo o alla tua posizione.

Vittime del clickjacking: dalle piattaforme di social media ai sistemi di pagamento online

Il clickjacking è diventato particolarmente popolare circa dieci anni fa, quando le principali piattaforme di social media come Facebook e Twitter sono state vittime di diverse varianti del clickjacking. Ad esempio, un attacco di clickjacking eseguito alla fine degli anni 2000 ha consentito agli aggressori di indurre la vittima a inviare spam all'intero elenco di amici di Facebook con un solo clic.

La crescente popolarità della correzione dell'interfaccia utente nell'ultimo decennio ha portato i giganti della tecnologia ad adottare rapidamente le misure appropriate per proteggere le proprie piattaforme da questo tipo di attacco. Tuttavia, i ricercatori di sicurezza continuano a segnalare più vulnerabilità che interessano le grandi organizzazioni, anche oggi.

Una delle vulnerabilità più importanti scoperte di recente riguardava Paypal. Nel 2021, i ricercatori sulle minacce si sono imbattuti in una vulnerabilità nel servizio di trasferimento di denaro di Paypal che potrebbe potenzialmente consentire agli aggressori di rubare denaro dai conti degli utenti sfruttando i trasferimenti di fondi con un clic. Paypal ha premiato il ricercatore e ha annunciato piani per affrontare la situazione.

Ricevi il rapporto settimanale sulla vulnerabilità di WordPress nella tua casella di posta ogni mercoledì.
Iscriviti ora

La trappola perfetta: impostare un attacco di clickjacking

Qualsiasi attacco di clickjacking prevede tre passaggi principali: scegliere il sito Web bersaglio o vittima, creare una pagina Web dannosa e attirare i clienti del sito o del servizio mirato.

Passaggio 1. Scelta del sito Web di destinazione

Poiché la stragrande maggioranza delle grandi organizzazioni applica solide misure di sicurezza che impediscono agli aggressori di eseguire attacchi di clickjacking contro i propri clienti, gli hacker spesso prendono di mira le piccole imprese. I siti Web WordPress sono particolarmente attraenti per i criminali in quanto il software non applica alcuna misura di sicurezza predefinita che impedisca l'incorporamento dei contenuti WordPress nel sito Web dell'attaccante.

La pagina di accesso di WordPress e la dashboard di amministrazione fungono da eccezioni, ma la responsabilità di proteggere il resto del sito ricade sul proprietario del sito web. La prossima volta che ti chiedi perché un hacker attacca il tuo sito web, la risposta è semplice: è facile e conveniente per un hacker prenderti di mira, soprattutto se non mantieni aggiornato il tuo software WordPress. Grazie alle numerose vulnerabilità che emergono sempre nei plugin e nei temi di WordPress, è essenziale fare una buona scelta su cosa installare. E poi mantieni tutto il software aggiornato Altrimenti, ti stai rendendo un bersaglio facile.

A seconda del tipo di sito Web WordPress che gestisci e del contenuto che pubblichi, un utente malintenzionato può prendere di mira diverse parti di esso. Il clickjacking di WordPress prende spesso di mira moduli Web, pagine di accesso al di fuori dell'amministratore di WordPress e pagine di checkout di WooCommerce con checkout con un clic abilitato.

Ottieni il contenuto bonus: Elenco di controllo per la pulizia dei siti Web compromessi
Clicca qui

Passaggio 2. Creazione di una pagina Web dannosa

Una volta scelto il sito Web di destinazione e ritenuto vulnerabile al clickjacking, l'attaccante crea una pagina Web dannosa per indurre gli utenti a eseguire una determinata azione. È probabile che il clickjacking di WordPress prenda di mira la funzionalità di e-commerce, ma il furto di credenziali e l'invio di spam rimane un obiettivo comune fissato dagli aggressori.

Un buon esempio di clickjacking è una pagina che afferma di aver vinto un premio e ti invita a richiederlo. Facendo clic sul pulsante "Richiedi il mio premio", in realtà fornisci informazioni personali o confermi un acquisto o un trasferimento di denaro.

Passaggio 3. Attirare gli utenti del sito Web di destinazione nella trappola

Affinché un attacco di clickjacking abbia successo, l'aggressore deve indurre gli utenti ad aprire la loro pagina Web dannosa e credere che faccia parte di un sito legittimo e familiare. Ciò può essere ottenuto in molti modi, possibilmente inviando un collegamento ad esso in un'e-mail o reindirizzando un utente da un sito Web di terze parti infetto in cui l'attaccante ha precedentemente violato.

Se non fai clic sui collegamenti in e-mail, messaggi o chat insoliti, inaspettati o sospetti, la probabilità che un tentativo di clickjacking abbia successo è molto bassa, anche se la pagina Web dannosa dell'attaccante sembra perfettamente legittima e non solleva il tuo sospetto. I browser moderni impiegano anche un'ampia gamma di protezioni contro il clickjacking e la combinazione della tua vigilanza e dell'attuale tecnologia del browser può ridurre significativamente il tasso di successo di qualsiasi attacco di correzione dell'interfaccia utente.

Come non cadere vittima del clickjacking

Per proteggerti da tutti i tipi di clickjacking, evita di aprire e-mail sospette, pubblicità e collegamenti a siti Web. Non installare mai software da fonti non verificate. Poiché il clickjacking si basa su ingannevoli pratiche di ingegneria sociale, imparare a individuarle è la tua migliore difesa. Oltre a ciò, dovresti mantenere tutti i tuoi browser e sistemi operativi aggiornati alle loro ultime versioni. Puoi anche installare robuste estensioni di sicurezza del browser e utilizzare un moderno software antivirus per assicurarti di non cadere vittima di clickjacking e altri pericolosi attacchi informatici.

Diffidare degli inviti a fare clic su un collegamento

I clickjacker spesso inviano collegamenti a potenziali vittime tramite e-mail, SMS e app di messaggistica. Se non hai fatto nulla per richiedere o attivare un tale messaggio, guarda la sua origine. I clickjacker invieranno spesso messaggi da domini, sottodomini e nomi di account simili a un sito legittimo, come Paypal. Vedi se riesci a rilevare le piccole differenze che rendono questi mittenti sospetti:

  1. [e-mail protetta]
  2. http://paypaI.com

Nel primo caso, "paypal" è un sottodominio che chiunque può collegare a un dominio primario di primo livello, che in questo caso è "app1.com". Non è Paypal.

Nel secondo caso, la 'l' minuscola è stata sostituita con una 'I' maiuscola, identica in molti font comuni. I clickjacker hanno spesso registrato domini con errori di ortografia come questi per indurre le persone a credere che provengano da un mittente legittimo.

Puoi anche guardare le intestazioni delle email per vedere l'origine di un messaggio. Acquisisci familiarità con i domini e gli indirizzi e-mail utilizzati dai tuoi istituti finanziari e da altri account importanti. Avranno anche una politica che delinea come ti contatteranno o meno e come si identificheranno. Non fidarti delle comunicazioni che non rientrano in questi parametri. Meglio prevenire che curare!

Installa le estensioni del browser anti-clickjacking

Oltre alle funzionalità di sicurezza integrate nel tuo browser, le estensioni del browser anti-clickjacking possono offrirti un livello più elevato di protezione contro il clickjacking e gli attacchi di scripting cross-site. NoScript è l'estensione cross-browser più popolare supportata da Google Chrome, Mozilla Firefox e Microsoft Edge. JS Blocker è un'ottima alternativa a NoScript per gli utenti di Safari.

Tre passaggi per proteggere il tuo sito Web WordPress dal clickjacking

WordPress protegge la dashboard di amministrazione e la sua pagina di accesso dal clickjacking per impostazione predefinita, ma tutte le altre aree del tuo sito Web necessitano di protezione aggiuntiva. Il numero di attacchi che oggi possono essere eseguiti contro la maggior parte dei siti Web rende la sicurezza la massima priorità per i proprietari dei siti.

Fortunatamente, ci sono molti modi per proteggersi dal clickjacking di WordPress. , Dovresti combinare diversi approcci per assicurarti che siano supportati da tutti i browser. Inoltre, una combinazione di misure di sicurezza contribuirà a garantire che il contenuto del tuo sito Web sia protetto da tutti i tipi di attività dannose che gli attacchi di correzione dell'interfaccia utente possono facilitare.

Ci sono tre grandi passi che puoi fare per proteggere il tuo sito web WordPress dal clickjacking:

  • Imposta l' intestazione X-Frame-Options per impedire a chiunque di caricare il contenuto del tuo sito Web in frame su risorse di terze parti non attendibili.
  • Configura la direttiva frame-antenati Content Security Policy (CSP) per specificare quali siti Web possono incorporare le pagine del tuo sito Web nei frame. (Normalmente, questo può essere impostato su "nessuno".)
  • Utilizza l' attributo cookie SameSite dell'intestazione Set-Cookie per difenderti dai tentativi di clickjacking e di falsificazione di richieste tra siti (CSRF).

Utilizzo di .htaccess per configurare le intestazioni di risposta HTTP per WordPress

Le intestazioni di risposta sono intestazioni HTTP utilizzate per definire variabili specifiche per la comunicazione client-server tra il tuo sito e i browser dei suoi visitatori. Sono invisibili ai tuoi visitatori. X-Frame-Options, Content Security Policy e Set-Cookie sono tutti esempi di intestazioni di risposta HTTP.

Sebbene alcuni plug-in di WordPress possano essere utilizzati per configurare le intestazioni di risposta HTTP su un sito Web WordPress, l'approccio più semplice è utilizzare il file .htaccess locale. (Ciò presuppone che il tuo ambiente server utilizzi Apache o Litespeed per servire le richieste HTTP.) La configurazione dell'intestazione specificata nel file .htaccess nella directory principale del sito Web viene applicata a tutte le pagine del sito Web.

Il modulo Apache mod_headers consente di configurare le intestazioni di risposta in .htaccess utilizzando le istruzioni Header set e Header append . Poiché alcune intestazioni possono essere configurate nella configurazione globale del server Web, a volte è consigliabile utilizzare Header append per unire il valore configurato in un'intestazione di risposta esistente invece di sostituire la configurazione esistente.

Poiché il tuo provider di hosting può configurare determinate intestazioni di risposta HTTP per tutti i siti Web per impostazione predefinita, è meglio contattarlo prima di apportare modifiche a .htaccess per evitare problemi.

Imposta X-Frame-Options Header

L'intestazione X-Frame-Options definisce se una pagina Web può essere visualizzata in un frame e un elenco di risorse autorizzate a farlo. Esistono due direttive per X-Frame-Options: DENY e SAMEORIGIN. La direttiva ALLOW-FROM precedentemente utilizzata è ora deprecata.

Il valore DENY impedisce efficacemente a qualsiasi sito Web di incorporare il contenuto del tuo sito Web in frame. L'impostazione di X-Frame-Options su SAMEORIGIN consente il framing del contenuto se la richiesta proviene da altre pagine del tuo sito web.

Per configurare l'intestazione X-Frame-Options sul tuo sito Web WordPress, aggiungi una delle seguenti righe al file .htaccess nella directory di installazione di WordPress. (Si prega di notare che viene utilizzata l'opzione set.)

 Set di intestazioni X-Frame-Options "DENY"
 Set intestazione X-Frame-Options "SAMEORIGIN"

Sebbene i browser moderni includano solo un supporto parziale per X-Frame-Options o addirittura lo deprechino a favore della direttiva frame-antenati CSP, configurarlo sul tuo sito Web WordPress proteggerà i browser meno recenti.

Configurare la direttiva frame-antenati della politica di sicurezza dei contenuti

L'intestazione della risposta della Content Security Policy è una potente misura di sicurezza che può aiutare a mitigare una serie di attacchi, tra cui clickjacking, cross-site scripting, contraffazione delle richieste, sniffing di pacchetti e attacchi di data injection. La politica di sicurezza dei contenuti è supportata da tutti i browser moderni.

La direttiva frame-antenati della Content Security Policy può essere impostata su none o self per negare il framing del contenuto o limitarne l'utilizzo ai confini dello stesso sito Web, oppure è possibile specificare l'elenco dei siti Web attendibili, insieme all'elenco dei tipi di contenuto ognuno può incorniciare.

L'aggiunta della riga seguente a .htaccess limiterà l'inquadratura di tutti i tipi di contenuto al sito Web corrente:

 Set di intestazioni Content-Security-Policy "frame-antenati 'self'"

La seguente variante richiede l'utilizzo di HTTPS:

 Set di intestazioni Content-Security-Policy "frame-antenati 'self' https://mywpsite.com" 

Aggiungi l'intestazione Set-Cookie con l'attributo SameSite

L'intestazione della risposta Set-Cookie viene utilizzata per trasferire un cookie dal server al browser. La configurazione dell'attributo SameSite consente di limitare l'utilizzo dei cookie al sito Web corrente. Ciò aiuta a garantire la protezione contro gli attacchi di clickjacking che richiedono l'autenticazione di un utente sul sito Web di destinazione e la falsificazione di richieste tra siti.

L'impostazione di SameSite su strict impedisce in modo efficace l'invio dei cookie di sessione se viene effettuata una richiesta a un sito Web di destinazione all'interno di un frame, anche se un utente è autenticato sulla risorsa di destinazione. Tieni presente che la misura da sola non può mitigare tutti i tipi di attacchi di clickjacking e contraffazione di script incrociati.

Per implementare l'attributo SameSite dell'intestazione Set Cookie sul tuo sito WordPress, aggiungi la seguente riga al file .htaccess:

 Set di intestazioni Set-Cookie ^(.*)$ "$1; SameSite=Strict; Secure 

Semplice test di clickjacking

Puoi verificare se il contenuto del tuo sito web può essere caricato in frame da un'altra risorsa creando una semplice pagina HTML. Crea un file HTML con il codice qui sotto fornito da OWASP e aprilo nel tuo browser. Se non vedi la pagina web incorporata nel frame, il framing del contenuto è stato limitato correttamente

Tieni presente che è meglio caricare una pagina su un altro sito web di tua proprietà, a meno che tu non abbia disabilitato completamente il framing dei contenuti. In tal caso, puoi creare uno degli stessi siti Web che stai testando.

<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>

Previeni il clickjacking e altri attacchi informatici sul tuo sito WordPress con iThemes Security Pro

Il clickjacking, noto anche come correzione dell'interfaccia utente, sfrutta la capacità di caricare una pagina Web all'interno di un'altra pagina Web per indurre gli utenti a eseguire azioni altrimenti indesiderate. Il clickjacking di WordPress è diventato molto comune a causa della mancanza di protezioni integrate che proteggano pagine Web diverse dalla pagina di accesso di WordPress e dalla dashboard di amministrazione.

Difenditi dal clickjacking limitando la capacità di altri di inquadrare il contenuto del tuo sito web utilizzando intestazioni di risposta HTTP come X-FRAME-OPTIONS, Content Security Policy e Set-Cookie. Utilizzando un file .htaccess locale nella directory di installazione di WordPress, puoi facilmente applicare queste politiche di sicurezza a tutto il sito.

Il clickjacking rimane una minaccia alla sicurezza attiva e il cross-site scripting insieme alla contraffazione delle richieste spesso va di pari passo con esso. Inizia a proteggerti da minacce alla sicurezza comuni come queste adottando un approccio consapevole a tutti gli aspetti della sicurezza del tuo sito Web WordPress.

iThemes Security Pro offre più di 30 modi per proteggere le aree più vulnerabili del tuo sito WordPress, difendendolo da una vasta gamma di tattiche moderne e sofisticate impiegate da malintenzionati. La potente scansione delle vulnerabilità, l'autenticazione senza password e il monitoraggio dell'integrità dei file consentono di ridurre drasticamente la superficie di attacco.

BackupBuddy e iThemes Sync Pro ti aiuteranno a mantenere regolarmente il backup del tuo sito Web WordPress e forniranno un monitoraggio avanzato dei tempi di attività e analisi SEO.

iThemes ti assicurerà di rimanere aggiornato con le ultime minacce alla sicurezza e notizie nella comunità di WordPress. Se sei nuovo su WordPress, la formazione WordPress gratuita di iThemes potrebbe essere esattamente ciò di cui hai bisogno per iniziare alla grande.