Ce este Clickjacking-ul și cum să îl preveniți
Publicat: 2023-01-17Clickjacking-ul este o exploatare web rău intenționată care a existat de când primele site-uri web au ajuns pe internet. Clickjackerii exploatează metode pentru încorporarea unei pagini web în alta. Combinate cu ingineria socială înșelătoare, atacurile de tip clickjacking mențin o rată de succes ridicol de mare, vizând zilnic milioane de victime nebănuite.
Fiind cel mai popular cadru de creare de site-uri web din lume, WordPress este o țintă mare pentru clickjacking. În mod implicit, numai pagina de conectare WordPress și zona de administrare nu pot fi încorporate într-o altă pagină web. Dacă există alte părți ale site-ului dvs. pe care nu doriți să le încorporați în altă parte, trebuie să luați măsuri pentru a le proteja singur.
Acest ghid pentru clickjacking, sau atacurile de remediere a interfeței de utilizator, vă va arăta cum funcționează clickjacking-ul, astfel încât să vă asigurați că conținutul site-ului dvs. WordPress nu poate fi folosit de atacatori pentru a fura informații sensibile sau pentru a păcăli utilizatorii să facă ceva care îi dăunează și/sau îi ajută pe clickjacker.
Ce este Clickjacking?
După cum sugerează și numele, clickjacking-ul deturnează clicurile și alte acțiuni ale interfeței web. Acesta permite clickjacker-ului să efectueze o acțiune în propriile scopuri în numele victimelor lor nebănuite.
Numele tehnic pentru clickjacking este „redresarea interfeței”. Clickjackerii „redresează” o pagină web legitimă prin încorporarea acesteia în propriile lor site-uri web, unde propriul lor cod poate modifica în mod ascuns ceea ce se întâmplă atunci când vizitatorii interacționează cu ea. Acest lucru se realizează prin încorporarea de conținut legitim, cum ar fi o pagină de conectare sau un ecran de plată de pe un site web sau serviciu legitim, pe o pagină web rău intenționată creată de infractor. Vizitatorii pot face clic pe un buton aparent inofensiv, pot introduce anumite informații într-o casetă de text sau chiar pot efectua un element de glisare și plasare. Ei nu văd o interfață ascunsă care efectuează o acțiune diferită, neașteptată, care aduce beneficii atacatorului.
Deghându-și site-ul cu conținutul tău, clickjackerii speră să-și păcălească vizitatorii site-ului pentru a face acțiuni altfel nedorite, cum ar fi oferirea de informații sensibile sau descărcarea de programe malware.
Cum funcționează Clickjacking?
Atacurile de tip clickjacking profită de capacitatea HTML de a încărca o pagină web de pe un site web în paginile altui site utilizând elementele <iframe>
sau <objects>
.
De cele mai multe ori, atacurile de remediere a interfeței utilizatorului se bazează pe utilizatorul autentificat pe un anumit site web și să creadă că se află pe acel site atunci când interacționează cu site-ul „re-imbracat” al clickjackerilor. În acest fel, persoana atrasă către pagina web rău intenționată poate efectua anumite acțiuni pe care clickjackerul le dorește fără să-și dea seama că nu interacționează cu banca sa sau cu un site WordPress familiar.
Cinci tipuri principale de clickjacking
Există destul de multe tipuri de strategii de clickjacking în funcție de scopul final al atacatorului. Acestea pot varia de la activități relativ inofensive (creșterea vizualizărilor pentru site-urile lor de conținut sau obținerea de aprecieri pe o postare sau un videoclip) până la furtul de informații de conectare sau chiar de bani de la o victimă nebănuitoare.
Clickjacking este o modalitate foarte versatilă de a desfășura o gamă largă de activități rău intenționate. Deși clickjacking-ul este considerat o formă de atac cibernetic, acesta poate facilita și alte atacuri, cum ar fi XSS, sau scripturi între site-uri, atacuri și chiar să folosească încărcături utile XSS pentru a facilita atacurile XSRF sau de falsificare a cererilor între site-uri.
Iată cele mai comune cinci tipuri de atacuri de tip clickjacking:
- Clickjacking clasic. Implică alegerea unui site web sau serviciu victimă și utilizarea conținutului acestuia pentru a-și păcăli utilizatorii să efectueze o serie de acțiuni nedorite.
- Likejacking. Vechea variantă a clickjacking-ului urmărea să sporească vizionările și aprecierile pe o anumită pagină web sau videoclip. Poate fi considerat destul de inofensiv și este rar întâlnit în zilele noastre.
- Cursorjacking. O tehnică folosită de atacator pentru a înlocui cursorul real cu unul fals pentru a păcăli utilizatorul să facă clic pe elementul rău intenționat fără să-și dea seama.
- Cookiejacking . O tactică comună folosită de atacatori este obținerea cookie-urilor stocate de browserul victimei. De cele mai multe ori, este efectuată de utilizatorul invitat să efectueze o operațiune de drag-and-drop aparent inofensivă pe pagina web a atacatorului.
- Filejacking. Un atac exploatează capacitatea browserului de a deschide fișiere pe dispozitivul utilizatorului, permițând atacatorului să acceseze sistemul local de fișiere. Pe lângă sistemul de fișiere local, atacatorul poate accesa microfonul de pe dispozitiv sau locația dvs.
Victimele clickjacking-ului: de la platformele de social media la sistemele de plată online
Clickjacking-ul a devenit deosebit de popular în urmă cu aproximativ zece ani, când marile platforme de social media, cum ar fi Facebook și Twitter, au căzut victimele diferitelor variante ale clickjacking-ului. De exemplu, un atac de tip clickjacking efectuat la sfârșitul anilor 2000 a permis atacatorilor să păcălească victima să trimită spam către întreaga lor listă de prieteni de pe Facebook cu un singur clic.
Popularitatea tot mai mare a remedierii interfeței cu utilizatorul în ultimul deceniu i-a determinat pe giganții tehnologiei să ia rapid măsurile adecvate pentru a-și proteja platformele împotriva acestui tip de atac. Cu toate acestea, cercetătorii în securitate continuă să raporteze mai multe vulnerabilități care afectează organizațiile mari, chiar și astăzi.
Una dintre cele mai proeminente vulnerabilități descoperite recent a afectat Paypal. În 2021, cercetătorii amenințărilor au dat peste o vulnerabilitate în serviciul de transfer de bani al Paypal, care ar putea permite atacatorilor să fure bani din conturile utilizatorilor prin exploatarea transferurilor de fonduri cu un singur clic. Paypal a premiat cercetătorul și a anunțat planuri de abordare a situației.
Capcana perfectă: Configurarea unui atac de tip Clickjacking
Orice atac de tip clickjacking implică trei pași principali: alegerea site-ului țintă sau a victimei, crearea unei pagini web rău intenționate și atragerea clienților site-ului sau serviciului vizat.
Pasul 1. Alegerea site-ului web țintă
Deoarece marea majoritate a organizațiilor mari impun măsuri de securitate puternice care împiedică atacatorii să efectueze atacuri de tip clickjacking împotriva clienților lor, hackerii vizează adesea companiile mai mici. Site-urile WordPress sunt deosebit de atractive pentru criminali, deoarece software-ul nu impune măsuri de securitate implicite care să împiedice încorporarea conținutului WordPress în site-ul atacatorului.
Pagina de conectare WordPress și tabloul de bord administrativ servesc ca excepții, dar responsabilitatea pentru protejarea restului site-ului revine proprietarului site-ului. Data viitoare când vă întrebați de ce un hacker v-ar ataca site-ul, răspunsul este simplu – este ușor și convenabil pentru un hacker să vă ținteze, mai ales dacă nu vă mențineți software-ul WordPress actualizat. Datorită numeroaselor vulnerabilități care apar mereu în pluginurile și temele WordPress, este esențial să faceți alegeri bune cu privire la ce să instalați. Și apoi păstrați tot software-ul actualizat. În caz contrar, vă faceți o țintă ușoară.
În funcție de tipul de site web WordPress pe care îl operezi și de conținutul pe care îl publicați, un atacator poate viza diferite părți ale acestuia. Clickjacking WordPress vizează adesea formulare web, pagini de conectare din afara administratorului WordPress și pagini de plată WooCommerce cu finalizarea cu un singur clic activată.
Pasul 2. Crearea unei pagini web rău intenționate
Odată ce site-ul web țintă este ales și găsit vulnerabil la clickjacking, atacatorul creează o pagină web rău intenționată pentru a păcăli utilizatorii să efectueze o anumită acțiune. Clickjacking-ul WordPress este probabil să vizeze funcționalitatea comerțului electronic, dar furtul acreditărilor și trimiterea de spam rămâne un obiectiv comun stabilit de atacatori.
Un bun exemplu de clickjacking este o pagină care susține că ați câștigat un premiu și vă invită să-l revendicați. Făcând clic pe butonul „Revendicați premiul meu”, de fapt oferiți informații personale sau confirmați o achiziție sau un transfer de bani.
Pasul 3. Atragerea utilizatorilor site-ului țintă în capcană
Pentru ca un atac de tip clickjacking să reușească, atacatorul trebuie să-i determine pe utilizatori să-și deschidă pagina web rău intenționată și să creadă că face parte dintr-un site legitim, familiar. Acest lucru poate fi realizat în mai multe moduri, posibil prin trimiterea unui link către acesta într-un e-mail sau redirecționarea unui utilizator de pe un site web terță parte infectat pe care atacatorul l-a piratat anterior.
Dacă nu faceți clic pe linkuri în e-mailuri, texte sau chat-uri neobișnuite, neașteptate sau suspecte, probabilitatea ca o încercare de clickjacking să reușească este foarte mică, chiar dacă pagina web rău intenționată a atacatorului pare perfect legitimă și nu vă ridică suspiciunea. Browserele moderne folosesc, de asemenea, o gamă largă de protecții împotriva clickjacking-ului, iar combinația dintre vigilența dvs. și tehnologia actuală a browserului poate reduce semnificativ rata de succes a oricăror atacuri de remediere a UI.
Cum să nu fii victimă a Clickjacking-ului
Pentru a vă proteja de toate tipurile de clickjacking, evitați să deschideți e-mailuri suspecte, reclame și link-uri către site-uri web. Nu instalați niciodată software din surse neverificate. Deoarece clickjacking-ul se bazează pe practici înșelătoare de inginerie socială, a învăța cum să le depistați este cea mai bună apărare. În plus, ar trebui să păstrați toate browserele și sistemele de operare actualizate la cele mai recente versiuni. Puteți, de asemenea, să instalați extensii robuste de securitate pentru browser și să utilizați un software antivirus modern pentru a vă asigura că nu cădeți victima clickjacking-ului și a altor atacuri cibernetice periculoase.
Fiți suspicios față de invitațiile de a face clic pe un link
Clickjackerii trimit adesea linkuri către potențiale victime prin e-mail, SMS și aplicații de mesagerie. Dacă nu ați făcut nimic pentru a solicita sau a declanșa un astfel de mesaj, uitați-vă la originea acestuia. Clickjackerii vor trimite adesea mesaje de la domenii, subdomenii și nume de cont care sunt similare cu un site legitim, cum ar fi Paypal. Vedeți dacă puteți detecta micile diferențe care îi fac pe acești expeditori suspecti:
- [email protected]
- http://paypaI.com
În primul caz, „paypal” este un subdomeniu pe care oricine îl poate atașa unui domeniu principal de nivel superior, care este „app1.com” în acest caz. Asta nu este Paypal.
În al doilea caz, „l” minuscul a fost înlocuit cu un „I” majuscul, care este identic în multe fonturi comune. Clickjackerii au înregistrat adesea domenii ușor scrise greșit ca acestea pentru a păcăli oamenii să creadă că provin de la un expeditor legitim.
Puteți, de asemenea, să vă uitați la anteturile de e-mail pentru a vedea originea unui mesaj. Familiarizați-vă cu domeniile și adresele de e-mail utilizate de instituțiile dvs. financiare și de alte conturi importante. Ei vor avea, de asemenea, o politică care descrie modul în care vă vor contacta sau nu și cum se vor identifica. Nu aveți încredere în nicio comunicare care nu se încadrează în acești parametri. Mai bine să fii în siguranță decât să-ți pară rău!
Instalați extensii de browser Anti-Clickjacking
În plus față de caracteristicile de securitate încorporate ale browserului dvs., extensiile de browser anti-clickjacking vă pot oferi un nivel mai ridicat de protecție împotriva click-jacking-ului și a atacurilor cu scripturi între site-uri. NoScript este cea mai populară extensie cross-browser acceptată de Google Chrome, Mozilla Firefox și Microsoft Edge. JS Blocker este o alternativă excelentă la NoScript pentru utilizatorii Safari.
Trei pași pentru a vă proteja site-ul WordPress împotriva clickjacking-ului
WordPress protejează în mod implicit tabloul de bord administrativ și pagina sa de conectare împotriva clicurilor, dar toate celelalte zone ale site-ului dvs. au nevoie de protecție suplimentară. Numărul de atacuri care pot fi efectuate împotriva majorității site-urilor web în prezent face ca securitatea să fie cea mai mare prioritate pentru proprietarii de site-uri.
Din fericire, există multe modalități de a vă proteja împotriva clickjacking-ului WordPress. , Ar trebui să combinați mai multe abordări pentru a vă asigura că acestea sunt acceptate de toate browserele. Mai mult, o combinație de măsuri de securitate vă va ajuta să vă asigurați că conținutul site-ului dvs. este protejat de toate tipurile de activități rău intenționate pe care le pot facilita atacurile de remediere a UI.
Există trei pași mari pe care îi puteți face pentru a vă asigura site-ul WordPress împotriva clickjacking-ului:
- Configurați antetul X-Frame-Options pentru a împiedica pe oricine să vă încarce conținutul site-ului dvs. în cadre pe resurse terțe care nu sunt de încredere.
- Configurați directiva privind strămoșii cadrelor Politica de securitate a conținutului (CSP) pentru a specifica ce site-uri web pot încorpora paginile site-ului dvs. în cadre. (În mod normal, acesta poate fi setat la „niciunul”).
- Utilizați atributul cookie SameSite al antetului Set-Cookie pentru a vă apăra atât împotriva încercărilor de falsificare a cererilor pe site-uri (CSRF).
Utilizarea .htaccess pentru a configura anteturile de răspuns HTTP pentru WordPress
Anteturile de răspuns sunt antete HTTP utilizate pentru a defini variabile specifice pentru comunicarea client-server dintre site-ul dvs. și browserele vizitatorilor săi. Sunt invizibile pentru vizitatorii dvs. X-Frame-Options, Politica de securitate a conținutului și Set-Cookie sunt toate exemple de antete de răspuns HTTP.
Deși anumite plugin-uri WordPress pot fi folosite pentru a configura antetele de răspuns HTTP pe un site web WordPress, cea mai ușoară abordare este să utilizați fișierul local .htaccess. (Acest lucru presupune că mediul serverului dumneavoastră utilizează Apache sau Litespeed pentru a servi cererile HTTP.) Configurația antetului specificată în fișierul .htaccess din directorul rădăcină al site-ului web este aplicată tuturor paginilor de pe site.
Modulul mod_headers Apache vă permite să configurați anteturile de răspuns în .htaccess utilizând instrucțiunile Header set și Header append . Deoarece anumite anteturi pot fi configurate în configurația globală a serverului web, uneori se recomandă utilizarea Header append pentru a îmbina valoarea configurată într-un antet de răspuns existent în loc să înlocuiți configurația existentă.
Întrucât furnizorul dvs. de găzduire poate configura anumite anteturi de răspuns HTTP pentru toate site-urile web în mod implicit, este mai bine să-i contactați înainte de a face orice modificări în .htaccess pentru a evita orice probleme.
Configurați antetul X-Frame-Options
Antetul X-Frame-Options definește dacă o pagină web poate fi redată într-un cadru și o listă de resurse permise să facă acest lucru. Există două directive pentru X-Frame-Options – DENY și SAMEORIGIN. Directiva ALLOW-FROM care a fost folosită anterior este acum depreciată.
Valoarea DENY împiedică în mod eficient orice site web să încorporeze conținutul site-ului dvs. în cadre. Setarea X-Frame-Options la SAMEORIGIN permite încadrarea conținutului dacă solicitarea vine de la alte pagini ale site-ului dvs.
Pentru a configura antetul X-Frame-Options pe site-ul dvs. WordPress, adăugați una dintre următoarele rânduri la fișierul .htaccess din directorul de instalare WordPress. (Vă rugăm să rețineți că este utilizată opțiunea de setare.)
Set antet X-Frame-Opțiuni „DENY”
Set antet X-Frame-Options „SAMEORIGIN”
Deși browserele moderne includ doar suport parțial pentru X-Frame-Options sau chiar îl depreciază în favoarea directivei CSP privind strămoșii cadrelor, configurarea acesteia pe site-ul dvs. WordPress va proteja browserele mai vechi.
Configurați politica de securitate a conținutului cadru-directiva strămoși
Antetul de răspuns al Politicii de securitate a conținutului este o măsură de securitate puternică care poate ajuta la atenuarea unui număr de atacuri, inclusiv atacuri de tip clickjacking, scriptare între site-uri, falsificarea cererilor, sniffing de pachete și atacuri cu injecție de date. Politica de securitate a conținutului este acceptată de toate browserele moderne.
Directiva privind strămoșii cadrelor din Politica de securitate a conținutului poate fi setată la niciunul sau la sine pentru a refuza încadrarea conținutului sau a limita utilizarea acestuia la limitele aceluiași site web, sau puteți specifica lista de site-uri web de încredere, împreună cu lista de tipuri de conținut. fiecare poate încadra.
Adăugarea liniei de mai jos la .htaccess va restricționa încadrarea tuturor tipurilor de conținut pe site-ul actual:
Setul de antet Content-Security-Policy „frame-ancestors ‘self’”
Următoarea variantă necesită utilizarea HTTPS:
Set de antet Politica de securitate de conținut „frame-ancestors 'self' https://mywpsite.com"
Adăugați antetul Set-Cookie cu atributul SameSite
Antetul de răspuns Set-Cookie este folosit pentru a transfera un cookie de pe server în browser. Configurarea atributului SameSite vă permite să restricționați utilizarea cookie-urilor la site-ul web curent. Acest lucru ajută la asigurarea protecției împotriva atacurilor de tip clickjacking care necesită autentificarea unui utilizator pe site-ul web vizat și falsificarea cererilor pe mai multe site-uri.
Setarea SameSite la strict împiedică în mod eficient trimiterea cookie-urilor de sesiune dacă se face o solicitare către un site web vizat într-un cadru, chiar dacă un utilizator este autentificat pe resursa vizată. Vă rugăm să rețineți că măsura în sine nu poate atenua toate tipurile de atacuri de tip clickjacking și falsificare încrucișată.
Pentru a implementa atributul SameSite al antetului Set Cookie pe site-ul dvs. WordPress, adăugați următoarea linie în fișierul .htaccess:
Set antet Set-Cookie ^(.*)$ "$1; SameSite=Strict; Securizat
Test simplu Clickjacking
Puteți verifica dacă conținutul site-ului dvs. poate fi încărcat în cadre dintr-o altă resursă prin crearea unei pagini HTML simple. Creați un fișier HTML cu codul de mai jos oferit de OWASP și deschideți-l în browser. Dacă nu vedeți pagina web încorporată în cadru, încadrarea conținutului a fost restricționată cu succes
Rețineți că cel mai bine este să încărcați o pagină pe un alt site web pe care îl dețineți, cu excepția cazului în care ați dezactivat complet încadrarea conținutului. În acest caz, puteți crea unul dintre aceleași site-uri web pe care le testați.
<html>
<head>
<title>Clickjacking Test</title>
</head>
<body>
<iframe src="https://mywpsite.com/some-page" width="500" height="500"></iframe>
</body>
</html>
Preveniți clickjacking-ul și alte atacuri cibernetice pe site-ul dvs. WordPress cu iThemes Security Pro
Clickjacking, cunoscut și sub numele de redresare a interfeței cu utilizatorul, exploatează capacitatea de a încărca o pagină web într-o altă pagină web pentru a păcăli utilizatorii să efectueze acțiuni altfel nedorite. WordPress Clickjacking a devenit foarte comun din cauza lipsei de protecții încorporate care să securizeze alte pagini web decât pagina de conectare WordPress și tabloul de bord administrativ.
Apărați-vă împotriva clickjacking-ului limitând capacitatea altora de a încadra conținutul site-ului dvs. folosind anteturi de răspuns HTTP, cum ar fi X-FRAME-OPTIONS, Politica de securitate a conținutului și Set-Cookie. Folosind un fișier local .htaccess din directorul dvs. de instalare WordPress, puteți aplica cu ușurință aceste politici de securitate pe tot site-ul.
Clickjacking-ul rămâne o amenințare activă de securitate, iar scripturile între site-uri împreună cu falsificarea cererilor merg adesea mână în mână cu aceasta. Începeți să vă protejați împotriva amenințărilor obișnuite de securitate ca acestea adoptând o abordare atentă a tuturor aspectelor securității site-ului dvs. WordPress.
iThemes Security Pro oferă peste 30 de moduri de a proteja zonele cele mai vulnerabile ale site-ului dvs. WordPress, apărându-l de o gamă largă de tactici moderne și sofisticate pe care le folosesc actorii rău intenționați. Scanarea puternică a vulnerabilităților, autentificarea fără parolă și monitorizarea integrității fișierelor vă permit să reduceți dramatic suprafața de atac.
BackupBuddy și iThemes Sync Pro vă vor ajuta să vă păstrați site-ul WordPress în mod regulat și să vă asigurați monitorizarea avansată a timpului de funcționare, precum și analize SEO.
iThemes vă va asigura că rămâneți la curent cu cele mai recente amenințări de securitate și știri din comunitatea WordPress. Dacă sunteți nou în WordPress, instruirea gratuită cu WordPress iThemes ar putea fi exact ceea ce aveți nevoie pentru un început excelent.
Cel mai bun plugin de securitate WordPress pentru a securiza și proteja WordPress
WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. Pluginul iThemes Security Pro elimină presupunerile din securitatea WordPress pentru a facilita securizarea și protejarea site-ului dvs. WordPress. Este ca și cum ai avea în personal un expert în securitate cu normă întreagă care monitorizează și protejează constant site-ul tău WordPress pentru tine.
Kiki are o diplomă de licență în managementul sistemelor informatice și mai mult de doi ani de experiență în Linux și WordPress. În prezent lucrează ca specialist în securitate pentru Liquid Web și Nexcess. Înainte de asta, Kiki a făcut parte din echipa de asistență Liquid Web Managed Hosting, unde a ajutat sute de proprietari de site-uri WordPress și a aflat ce probleme tehnice întâmpină adesea. Pasiunea ei pentru scris îi permite să-și împărtășească cunoștințele și experiența pentru a ajuta oamenii. Pe lângă tehnologie, lui Kiki îi place să învețe despre spațiu și să asculte podcasturi despre crime adevărate.