O que é Clickjacking e como evitá-lo
Publicados: 2023-01-17Clickjacking é uma exploração maliciosa da Web que existe desde que os primeiros sites chegaram à Internet. Clickjackers exploram métodos para incorporar uma página da web dentro de outra. Combinados com engenharia social enganosa, os ataques de clickjacking mantêm uma taxa de sucesso ridiculamente alta, atingindo milhões de vítimas inocentes diariamente.
Como a estrutura de criação de sites mais popular do mundo, o WordPress é um grande alvo de clickjacking. Por padrão, apenas a página de login do WordPress e a área de administração não podem ser incorporadas a outra página da web. Se houver outras partes do seu site que você não deseja que sejam incorporadas em outro lugar, você mesmo deve tomar medidas para protegê-las.
Este guia para clickjacking, ou ataques de correção de interface do usuário, mostrará como o clickjacking funciona para que você possa garantir que o conteúdo do seu site WordPress não possa ser usado por invasores para roubar informações confidenciais ou induzir os usuários a fazer algo que os prejudique e/ou ajude o clickjacker.
O que é Clickjacking?
Como o nome sugere, o clickjacking sequestra cliques e outras ações da interface da web. Ele permite que o clickjacker execute uma ação para seus próprios propósitos em nome de suas vítimas inocentes.
O nome técnico para clickjacking é “correção de interface”. Os clickjackers “revestem” uma página da Web legítima, incorporando-a em seus próprios sites, onde seu próprio código pode modificar furtivamente o que acontece quando os visitantes interagem com ela. Isso é obtido pela incorporação de conteúdo legítimo, como uma página de login ou uma tela de pagamento de um site ou serviço legítimo, em uma página da Web maliciosa criada pelo criminoso. Os visitantes podem clicar em um botão aparentemente inofensivo, inserir algumas informações em uma caixa de texto ou até mesmo executar um elemento de arrastar e soltar. Eles não veem uma interface oculta que executa uma ação diferente e inesperada que beneficia o invasor.
Ao disfarçar o site com seu conteúdo, os clickjackers esperam induzir os visitantes do site a realizar ações indesejadas, como fornecer informações confidenciais ou baixar malware.
Como funciona o clickjacking?
Os ataques de clickjacking aproveitam a capacidade do HTML de carregar uma página da web de um site dentro das páginas de outro site usando os elementos <iframe>
ou <objects>
.
Na maioria das vezes, os ataques de correção da interface do usuário dependem de o usuário estar conectado a um determinado site e acreditar que está nesse site quando está interagindo com o site “reformado” dos clickjackers. Dessa forma, a pessoa atraída para a página da Web maliciosa pode executar certas ações que o clickjacker deseja sem perceber que não está interagindo com seu banco ou com um site WordPress familiar.
Cinco tipos principais de Clickjacking
Existem alguns tipos de estratégias de clickjacking, dependendo do objetivo final do atacante. Eles podem variar de atividades relativamente inofensivas (aumentar as visualizações de seus sites de conteúdo ou obter curtidas em uma postagem ou vídeo) até roubar informações de login ou até mesmo dinheiro de uma vítima inocente.
O clickjacking é uma forma altamente versátil de realizar uma ampla gama de atividades maliciosas. Embora o clickjacking seja considerado uma forma de ataque cibernético, ele também pode facilitar outros ataques, como XSS ou cross-site scripting, ataques e até mesmo usar cargas XSS para facilitar XSRF ou ataques de falsificação de solicitação entre sites.
Aqui estão os cinco tipos mais comuns de ataques de clickjacking:
- Clickjacking clássico. Envolve a escolha de um site ou serviço de vítima e o uso de seu conteúdo para induzir seus usuários a realizar uma série de ações indesejadas.
- Likejacking. A antiga variação de clickjacking visava aumentar as visualizações e curtidas em uma determinada página da web ou vídeo. Pode ser considerado bastante inofensivo e raramente é visto nos dias de hoje.
- Cursorjacking. Uma técnica usada pelo invasor para substituir o cursor real por um falso, a fim de induzir o usuário a clicar no elemento malicioso sem perceber.
- Cookiejacking . Uma tática comum que os invasores usam é obter cookies armazenados pelo navegador da vítima. Na maioria das vezes, é executado pelo usuário convidado a realizar uma operação aparentemente inofensiva de arrastar e soltar na página da Web do invasor.
- Roubo de arquivo. Um ataque explora a capacidade do navegador de abrir arquivos no dispositivo do usuário, permitindo que o invasor acesse seu sistema de arquivos local. Além do sistema de arquivos local, o invasor pode acessar o microfone de seu dispositivo ou de sua localização.
Vítimas de Clickjacking: De plataformas de mídia social a sistemas de pagamento online
O clickjacking tornou-se especialmente popular há cerca de dez anos, quando as principais plataformas de mídia social, como Facebook e Twitter, foram vítimas de diferentes variações de clickjacking. Por exemplo, um ataque de clickjacking realizado no final dos anos 2000 permitiu que os invasores induzissem a vítima a enviar spam para toda a lista de amigos do Facebook com apenas um clique.
A crescente popularidade da correção da interface do usuário na última década levou os gigantes da tecnologia a tomar rapidamente as medidas apropriadas para proteger suas plataformas contra esse tipo de ataque. No entanto, os pesquisadores de segurança continuam relatando mais vulnerabilidades que afetam grandes organizações, até hoje.
Uma das vulnerabilidades mais proeminentes descobertas recentemente estava afetando o Paypal. Em 2021, os pesquisadores de ameaças se depararam com uma vulnerabilidade no serviço de transferência de dinheiro do Paypal que poderia permitir que invasores roubassem dinheiro das contas dos usuários explorando transferências de fundos com um clique. O Paypal premiou o pesquisador e anunciou planos para resolver a situação.
A Armadilha Perfeita: Preparando um Ataque de Clickjacking
Qualquer ataque de clickjacking envolve três etapas principais: escolher o site de destino ou vítima, criar uma página da Web maliciosa e atrair o site de destino ou os clientes do serviço para ele.
Etapa 1. Escolhendo o site de destino
Como a grande maioria das grandes organizações impõe fortes medidas de segurança que impedem os invasores de realizar ataques de clickjacking contra seus clientes, os hackers geralmente visam empresas menores. Os sites do WordPress são especialmente atraentes para os criminosos, pois o software não impõe nenhuma medida de segurança padrão que impeça que o conteúdo do WordPress seja incorporado ao site do invasor.
A página de login do WordPress e o painel de administração servem como exceções, mas a responsabilidade de proteger o restante do site é do proprietário do site. Da próxima vez que você se perguntar por que um hacker atacaria seu site, a resposta é simples - é fácil e conveniente para um hacker atingir você, especialmente se você não estiver mantendo seu software WordPress atualizado. Graças às muitas vulnerabilidades que sempre surgem nos plugins e temas do WordPress, é essencial fazer boas escolhas sobre o que instalar. E, em seguida, mantenha todo o software atualizado. Caso contrário, você estará se tornando um alvo fácil.
Dependendo do tipo de site WordPress que você opera e do conteúdo que publica, um invasor pode atingir diferentes partes dele. O clickjacking do WordPress geralmente visa formulários da web, páginas de login fora do administrador do WordPress e páginas de checkout do WooCommerce com checkout de um clique ativado.
Etapa 2. Criando uma página da Web maliciosa
Depois que o site de destino é escolhido e considerado vulnerável a clickjacking, o invasor cria uma página da Web maliciosa para induzir os usuários a realizar uma determinada ação. É provável que o clickjacking do WordPress tenha como alvo a funcionalidade de comércio eletrônico, mas roubar credenciais e enviar spam continua sendo um objetivo comum definido pelos invasores.
Um bom exemplo de clickjacking é uma página que afirma que você ganhou um prêmio e o convida a resgatá-lo. Ao clicar no botão “Reivindicar meu prêmio”, você está, na verdade, fornecendo informações pessoais ou confirmando uma compra ou transferência de dinheiro.
Etapa 3. Atrair os usuários do site de destino para a armadilha
Para que um ataque de clickjacking seja bem-sucedido, o invasor deve fazer com que os usuários abram sua página da Web maliciosa e acreditem que ela faz parte de um site familiar e legítimo. Isso pode ser feito de várias maneiras, possivelmente enviando um link para ele em um e-mail ou redirecionando um usuário de um site de terceiros infectado que o invasor invadiu anteriormente.
Se você não clicar em links em e-mails, textos ou bate-papos incomuns, inesperados ou suspeitos, a probabilidade de sucesso de uma tentativa de clickjacking é muito baixa, mesmo que a página maliciosa do invasor pareça perfeitamente legítima e não levante sua suspeita. Os navegadores modernos também empregam uma ampla gama de proteções contra clickjacking, e a combinação de sua vigilância e da tecnologia atual do navegador pode reduzir significativamente a taxa de sucesso de qualquer ataque de correção de interface do usuário.
Como não ser vítima de Clickjacking
Para se proteger de todos os tipos de clickjacking, evite abrir e-mails, anúncios e links suspeitos para sites. Nunca instale software de fontes não verificadas. Como o clickjacking depende de práticas enganosas de engenharia social, aprender como identificá-los é sua melhor defesa. Além disso, você deve manter todos os seus navegadores e sistemas operacionais atualizados com as versões mais recentes. Você também pode instalar extensões robustas de segurança do navegador e usar um software antivírus moderno para garantir que não seja vítima de clickjacking e outros ataques cibernéticos perigosos.
Desconfie de convites para clicar em um link
Os clickjackers geralmente enviam links para possíveis vítimas por e-mail, SMS e aplicativos de mensagens. Se você não fez nada para solicitar ou acionar tal mensagem, verifique sua origem. Os clickjackers geralmente enviam mensagens de domínios, subdomínios e nomes de contas semelhantes a um site legítimo, como o Paypal. Veja se consegue detectar as pequenas diferenças que tornam esses remetentes suspeitos:
- [e-mail protegido]
- http://paypaI.com
No primeiro caso, “paypal” é um subdomínio que qualquer pessoa pode anexar a um domínio primário de nível superior, que é “app1.com” neste caso. Isso não é Paypal.
No segundo caso, o 'l' minúsculo foi substituído por um 'I' maiúsculo, que é idêntico em muitas fontes comuns. Os clickjackers costumam registrar domínios com erros ortográficos como esses para induzir as pessoas a acreditar que são de um remetente legítimo.
Você também pode consultar os cabeçalhos de e-mail para ver a origem de uma mensagem. Familiarize-se com os domínios e endereços de e-mail usados por suas instituições financeiras e outras contas importantes. Eles também terão uma política descrevendo como entrarão ou não em contato com você e como se identificarão. Não confie em nenhuma comunicação que esteja fora desses parâmetros. Melhor prevenir do que remediar!
Instalar Extensões de Navegador Anti-Clickjacking
Além dos recursos de segurança integrados do seu navegador, as extensões de navegador anti-clickjacking podem fornecer um nível mais alto de proteção contra ataques de clickjacking e scripts entre sites. NoScript é a extensão cross-browser mais popular suportada pelo Google Chrome, Mozilla Firefox e Microsoft Edge. O JS Blocker é uma ótima alternativa ao NoScript para usuários do Safari.
Três etapas para proteger seu site WordPress contra clickjacking
O WordPress protege o painel de administração e sua página de login de clickjacking por padrão, mas todas as outras áreas do seu site precisam de proteção adicional. O número de ataques que podem ser executados contra a maioria dos sites atualmente torna a segurança a maior prioridade para os proprietários de sites.
Felizmente, existem muitas maneiras de se proteger contra o clickjacking do WordPress. , Você deve combinar várias abordagens para garantir que sejam suportadas por todos os navegadores. Além disso, uma combinação de medidas de segurança ajudará a garantir que o conteúdo do seu site esteja protegido contra todos os tipos de atividades maliciosas que os ataques de correção de interface do usuário podem facilitar.
Existem três grandes etapas que você pode seguir para proteger seu site WordPress contra clickjacking:
- Configure o cabeçalho X-Frame-Options para impedir que alguém carregue o conteúdo do seu site em quadros em recursos de terceiros não confiáveis.
- Configure a diretiva frame-ancestors da Content Security Policy (CSP) para especificar quais sites podem incorporar as páginas do seu site em frames. (Normalmente, isso pode ser definido como "nenhum".)
- Use o atributo SameSite cookie do cabeçalho Set-Cookie para se defender contra tentativas de clickjacking e cross-site request forgery (CSRF).
Usando .htaccess para configurar cabeçalhos de resposta HTTP para WordPress
Cabeçalhos de resposta são cabeçalhos HTTP usados para definir variáveis específicas para a comunicação cliente-servidor entre seu site e os navegadores dos visitantes. Eles são invisíveis para seus visitantes. X-Frame-Options, Content Security Policy e Set-Cookie são exemplos de cabeçalhos de resposta HTTP.
Embora certos plug-ins do WordPress possam ser usados para configurar cabeçalhos de resposta HTTP em um site WordPress, a abordagem mais fácil é usar seu arquivo .htaccess local. (Isso pressupõe que seu ambiente de servidor usa Apache ou Litespeed para atender a solicitações HTTP.) A configuração de cabeçalho especificada no arquivo .htaccess no diretório raiz do site é aplicada a todas as páginas do site.
O módulo Apache mod_headers permite que você configure cabeçalhos de resposta em .htaccess usando as instruções Header set e Header append . Como certos cabeçalhos podem ser configurados na configuração global do servidor da Web, às vezes é recomendável usar o acréscimo de cabeçalho para mesclar o valor configurado em um cabeçalho de resposta existente em vez de substituir a configuração existente.
Como seu provedor de hospedagem pode configurar determinados cabeçalhos de resposta HTTP para todos os sites por padrão, é melhor contatá-los antes de fazer alterações em .htaccess para evitar problemas.
Configurar cabeçalho X-Frame-Options
O cabeçalho X-Frame-Options define se uma página da Web pode ser renderizada em um quadro e uma lista de recursos permitidos para isso. Existem duas diretivas para X-Frame-Options – DENY e SAMEORIGIN. A diretiva ALLOW-FROM que era usada anteriormente agora está obsoleta.
O valor DENY efetivamente impede que qualquer site incorpore o conteúdo do seu site em quadros. Definir X-Frame-Options como SAMEORIGIN permite o enquadramento do conteúdo se a solicitação vier de outras páginas do seu site.
Para configurar o cabeçalho X-Frame-Options em seu site WordPress, adicione uma das seguintes linhas ao arquivo .htaccess no diretório de instalação do WordPress. (Observe que a opção de configuração é usada.)
Conjunto de cabeçalho X-Frame-Options "DENY"
Conjunto de cabeçalho X-Frame-Options "SAMEORIGIN"
Embora os navegadores modernos incluam apenas suporte parcial para X-Frame-Options ou até mesmo o desativem em favor da diretiva CSP frame-ancestors, configurá-lo em seu site WordPress protegerá navegadores mais antigos.
Configurar Diretiva Ancestrais de Estrutura de Política de Segurança de Conteúdo
O cabeçalho de resposta da política de segurança de conteúdo é uma medida de segurança poderosa que pode ajudar a mitigar uma série de ataques, incluindo clickjacking, cross-site scripting, falsificação de solicitação, detecção de pacotes e ataques de injeção de dados. A política de segurança de conteúdo é suportada por todos os navegadores modernos.
A diretiva frame-ancestors da Content Security Policy pode ser definida como none ou self para negar enquadramento de conteúdo ou limitar seu uso aos limites do mesmo site, ou você pode especificar a lista de sites confiáveis, junto com a lista de tipos de conteúdo cada um pode enquadrar.
Adicionar a linha abaixo a .htaccess restringirá o enquadramento de todos os tipos de conteúdo no site atual:
Header set Content-Security-Policy "frame-ancestors 'self'”
A variação a seguir requer o uso de HTTPS:
Header set Content-Security-Policy “frame-ancestors 'self' https://mywpsite.com"
Adicionar o cabeçalho Set-Cookie com o atributo SameSite
O cabeçalho de resposta Set-Cookie é usado para transferir um cookie do servidor para o navegador. A configuração do atributo SameSite permite restringir o uso de cookies para o site atual. Isso ajuda a garantir a proteção contra ataques de clickjacking que exigem que o usuário seja autenticado no site de destino e falsificação de solicitação entre sites.
Definir SameSite como estrito evita efetivamente que cookies de sessão sejam enviados se uma solicitação for feita para um site de destino dentro de um quadro, mesmo se um usuário for autenticado no recurso de destino. Observe que essa medida sozinha não pode mitigar todos os tipos de ataques de clickjacking e falsificação de script cruzado.
Para implementar o atributo SameSite do cabeçalho Set Cookie em seu site WordPress, adicione a seguinte linha ao arquivo .htaccess:
Conjunto de cabeçalho Set-Cookie ^(.*)$ "$1; SameSite=Strict; Secure
Teste Simples de Clickjacking
Você pode verificar se o conteúdo do seu site pode ser carregado em frames de outro recurso criando uma página HTML simples. Crie um arquivo HTML com o código abaixo fornecido pela OWASP e abra-o em seu navegador. Se você não vir a página da Web incorporada no quadro, o enquadramento do conteúdo foi restringido com sucesso
Observe que é melhor fazer upload de uma página para outro site de sua propriedade, a menos que você tenha desativado totalmente o enquadramento de conteúdo. Nesse caso, você pode criar um dos mesmos sites que está testando.
<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>
Evite Clickjacking e outros ataques cibernéticos em seu site WordPress com o iThemes Security Pro
O clickjacking, também conhecido como correção da interface do usuário, explora a capacidade de carregar uma página da Web em outra página da Web para induzir os usuários a realizar ações indesejadas. O WordPress Clickjacking tornou-se muito comum devido à falta de proteções integradas que protegeriam outras páginas da Web além da página de login do WordPress e do painel de administração.
Defenda-se contra o clickjacking restringindo a capacidade de outras pessoas de enquadrar o conteúdo do seu site usando cabeçalhos de resposta HTTP, como X-FRAME-OPTIONS, Política de segurança de conteúdo e Set-Cookie. Usando um arquivo .htaccess local em seu diretório de instalação do WordPress, você pode facilmente aplicar essas políticas de segurança em todo o site.
O clickjacking continua sendo uma ameaça de segurança ativa, e os scripts entre sites, juntamente com a falsificação de solicitações, geralmente andam de mãos dadas com ele. Comece a se proteger contra ameaças de segurança comuns como essas, adotando uma abordagem consciente de todos os aspectos da segurança do seu site WordPress.
O iThemes Security Pro oferece mais de 30 maneiras de proteger as áreas mais vulneráveis do seu site WordPress, defendendo-o de uma ampla variedade de táticas modernas e sofisticadas empregadas por agentes mal-intencionados. Varredura de vulnerabilidade poderosa, autenticação sem senha e monitoramento de integridade de arquivo permitem que você reduza drasticamente a superfície de ataque.
O BackupBuddy e o iThemes Sync Pro ajudarão você a manter o backup regular do seu site WordPress e fornecer monitoramento avançado de tempo de atividade, bem como análises de SEO.
O iThemes garantirá que você fique atualizado com as últimas ameaças de segurança e notícias na comunidade WordPress. Se você é novo no WordPress, o treinamento WordPress gratuito do iThemes pode ser exatamente o que você precisa para um ótimo começo.
O melhor plugin de segurança do WordPress para proteger e proteger o WordPress
Atualmente, o WordPress é responsável por mais de 40% de todos os sites, tornando-se um alvo fácil para hackers com intenções maliciosas. O plug-in iThemes Security Pro elimina as suposições sobre a segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que constantemente monitora e protege seu site WordPress para você.
Kiki é bacharel em gerenciamento de sistemas de informação e tem mais de dois anos de experiência em Linux e WordPress. Ela atualmente trabalha como especialista em segurança para Liquid Web e Nexcess. Antes disso, Kiki fazia parte da equipe de suporte do Liquid Web Managed Hosting, onde ajudou centenas de proprietários de sites WordPress e aprendeu quais problemas técnicos eles costumam encontrar. Sua paixão por escrever permite que ela compartilhe seu conhecimento e experiência para ajudar as pessoas. Além da tecnologia, Kiki gosta de aprender sobre o espaço e ouvir podcasts sobre crimes reais.