Clickjacking

Una delle tattiche più comuni utilizzate per ingannare gli utenti è proprio quella del clickjacking.

Letteralmente definito sottrazione di click, il clickjacking è una pratica fraudolenta che individua il click del navigatore per reindirizzarlo verso una pagina terza, a sua insaputa.

L’utente, durante una normale navigazione web, clicca su un oggetto o su un link convinto di accedere ad una determinata pagina.
Nella realtà legata alla pratica di clickjacking, il click della vittima viene reindirizzato ad una pagina diversa da quella prevista. In alternativa, il clickjacking prevede l’avvio di una campagna di spam, il download di un file malevolo o comporta addirittura a compiere pagamenti o ordini online di prodotti non richiesti.

Con il termine clickjacking si fa riferimento anche ad un altro fenomeno: con questa tecnica, infatti, oltre a “rapire i click”, è possibile anche individuare e memorizzare i tasti premuti sulla tastiera durante la compilazione di alcuni campi, come username o password.
Così facendo, hacker e malintenzionati sono in grado di rubarci credenziali di accesso o informazioni riservate e utilizzarli per compiere reati informatici.

Ma come funziona il clickjacking?
E soprattutto, come ci si difende?

Proseguite la lettura e lo scoprirete nei prossimi paragrafi.

La pratica di clickjacking si verifica quando un attaccante utilizza manomette la pagina di un sito web sovrapponendo un livello semi-trasparenti e induce la vittima che visita il sito web a fare clic su un pulsante o un collegamento confondendolo.

In altre parole, il clickjacking è un attacco informatico che induce le vittime a pensare di fare clic su una cosa mentre in realtà stanno facendo clic su un’altra.
La risposta che la vittima riceve dopo il click fraudolento indotto dall’attacco clickjacking sarà totalmente inaspettata.

Il clickjacking stesso non è di per sé l’obiettivo finale dell’attacco;

è semplicemente un mezzo per lanciare qualche altra infezione informatica.
Tra le pratiche malevole che sfruttano l’azione del clickjacking esiste:

1. installazione dei malware;
2. furto di credenziali;
3. aumento statistiche dei clic;
4. aumento di visualizzazioni di un sito web;
5. incrementare il traffico su siti web truffaldini.

1. Definizione di clickjacking

2. Clickjacking: come funziona

3. Cosa vogliono ottenere gli hacker con il clickjacking

4. Prevenire il clickjacking

5. Difendersi dal clickjacking?

Per rendere l’idea, in poche ma chiare parole: quello che vedi non è quello che sembra.
Infatti, non è semplice capire se la pagina web su cui stiamo navigando o i link su cui stiamo per cliccare, sono l’esca di un’attività di clickjacking.

Magari stiamo cercando un file da scaricare, troviamo una pagina web che ci fa capire che cliccando su quel pulsante otterremo ciò di cui abbiamo bisogno.
Se il sito web su cui stiamo navigando è predisposto per un clickjacking attack verremo reindirizzati verso una pagina non richiesta.

Dobbiamo dirlo.

Esistono due differenti strade a cui ricorre la tecnica clickjacking.

Una prima possibilità si basa su codice Javascript: all’interno dell’HTML della pagina web viene inserito il comando Javascript per avviare una azione non prevista. In questo modo, al click dell’utente si verifica un evento, un’azione definita dagli hacker che porta l’utente verso quel che gli serve.

Il secondo metodo utilizzato per rubare i click è quello dell’IFrame (o ai frame HTML). Questa tecnica consiste nella sovrapposizione alla pagina web, di un’altra pagina trasparente ed invisibile. Infatti, l’iframe permette alla vittima di visualizzare pagine web all’interno di altre pagine web tramite frame. Chiaramente i comandi, i link e i pulsanti sono esattamente sovrapposti alla pagina web che vedete “in chiaro”.

Il risultato di questa tecnica comporta un rischio elevatissimo: siamo dunque convinti di fare click su un elemento visibile mentre in realtà ne stiamo cliccando uno non visibile ma posizionato nello stesso punto.

L’Iframe può palesarsi in modi differenti a seconda della tecnica sfruttata dall’attaccante:

un’intera pagina trasparente viene applicata sulla pagina web esistente e visibile.
Ne sono un classico esempio le attività di clickjacking contro la pagina di impostazioni di Adobe Flash che portava gli utenti a concedere le animazioni Flash ma che inconsapevolmente davano anche accesso alla fotocamera e al microfono del pc.

in questo caso si sovrappongono solo singoli elementi nelle aree interessate, tipicamente link e pulsanti.

che sfrutta piccolissimi frame, anche di 1×1 pixel, posizionato sotto il cursore.
In questo caso ogni click effettuato condurrà verso la pagina malevola.

ovvero frame opachi che vengono utilizzati per coprire determinati controlli solo per l’istante del click dell’utente.

L’efficacia del clickjacking sta proprio nella difficoltà, per l’utente, di rendersi conto di essere travolto da un attacco informatico.
Grazie all’utilizzo di fogli di stile, pagine trasparenti, box di inserimento testo, è davvero semplice continuare a credere di essere su una normalissima pagina web. Eppure, può capitare di essere convinti di inserire i propri dati su un form assolutamente innocuo, magari per ordinare dei prodotti o magari per iscriverci ad un determinato sito.

L’obiettivo di un hacker che agisce per mezzo dell’attacco clickjacking può raggiungere diverse sfumature.

Un tipico esempio di clickjacking lo ritroviamo all’interno di e-commerce non famosi.
Succede che l’utente mentre naviga all’interno del sito web clicchi sulla call to action di una pagina web convinto di ottenere un determinato risultato invece, sta cliccando sul pulsante invisibile “acquista in un click”, per esempio.

Un giochetto davvero subdolo: per l’hacker è sufficiente sperare che l’utente sia già loggato sulla piattaforma e-commerce per poter compiere l’acquisto e usufruire della sua carta di credito salvata per il pagamento.

Oltre agli acquisti, si possono attuare altre strategie per ottenere un ritorno economico o di altro genere grazie alla sottrazione di click.
Ad esempio, è possibile attivare il microfono o la webcam dell’ignaro utente per spiarlo a distanza.
Oppure si può sfruttare il clickjacking per ottenere view o like sui social, facendo partire dei video su YouTube per aumentare le visualizzazioni, condividendo link sulla propria bacheca social o tra i messaggi oppure facendo seguire altri utenti su Twitter o su Instagram o apponendo “mi piace” su Facebook.

Come è noto, inoltre, sul web c’è chi guadagna anche solo ottenendo visualizzazioni o click su banner pubblicitari o su landing page. Ecco perché vi è tutto l’interesse, da parte dei professionisti del clickjacking, a farvi aprire multiple pagine pubblicitarie al vostro click, in modo che possiate anche solo visualizzarle.

Uno dei fenomeni sicuramente più frequenti, in termini di clickjacking, è l’iscrizione a newsletter non richieste.

Infine, come ulteriore scopo che gli hacker perseguono, c’è sicuramente da considerare la volontà di diffusione di malware. Al vostro click si avvia il download e così facendo aprite la porta a numerose altre opzioni che un malware è in grado di offrire ad un hacker.

Se pensate di poter riconoscere un attacco di clickjacking semplicemente guardando la pagina web purtroppo dobbiamo dirvelo, rimarrete delusi.
Riuscire a distinguere una pagina tradizionale da una pagina infetta da clickjacking o fraudolenta è pressoché impossibile..

È chiaro però che un attacco di questo genere può avvenire anche a pagine che abbiamo già frequentato e che ben conosciamo. In quel caso saremmo totalmente vulnerabili e cadremmo facilmente nella trappola del click.

Dunque, quali attività di prevenzione è possibile attuare per evitare il clickjacking?

Da parte dell’utente, è possibile attivare delle estensioni sul proprio browser, in grado di aiutare a scovare la presenza di pagine trasparenti.
Ad esempio, su Mozilla è possibile attivare NoScript, per evitare il click su eventuali pagine invisibili. Nel caso di Explorer e Firefox si può utilizzare GuardedID che renderebbe visibili le pagine che non lo sono.

Se invece state pensando che la protezione antivirus sia in grado di proteggervi, ebbene: la risposta è no.
Purtroppo, i software antivirus non ha modo di scansionare la pagina web per individuare eventuali pagine trasparenti.

In conclusione, prestare attenzione ai siti web su cui navighiamo da casa e al lavoro è il modo migliore per bloccare gli attaccanti prima che prendano il sopravvento. Anche in questo caso quindi la formazione rimane il pilastro inamovibile per la propria difesa.

Non esiste una medicina che funzioni al 100% per difendersi dal clickjacking, tutto ciò che possiamo dire è che possiamo ridurre i rischi in modo soddisfacente. Infatti, spesso è semplice per un malintenzionato aggirare le protezioni.

Tuttavia, possiamo assolutamente constatare che il clickjacking è un comportamento lato browser e il successo dell’attacco dipende dalla funzionalità del browser web e dalla conformità agli standard Web. Dal punto di vista più tecnico possiamo dirvi che lato client è possibile disabilitare JavaScript per difendersi efficacemente dal clickjacking. Tuttavia, la maggior parte dei siti web si basano su linguaggio JavaScript e quindi, la sua disattivazione li renderebbe inutilizzabili.

La protezione lato server contro il clickjacking viene fornita definendo e comunicando i vincoli sull’uso di componenti come gli iframe. In altre parole, per coloro che gestiscono o creano siti web è possibile implementare soluzioni di controllo dei contenuti delle pagine web, anche definiti CSP.
Queste soluzioni consentono allo sviluppatore dell’applicazione o del sito web di impedire l’uso di tutti i frame o comunque di specificare in quale aree del sito dove è consentito.

Per arrivare al punto di innestare un attacco clickjacking su un sito, il sito dovrà essere compromesso (o vulnerabile) cosa che il Web Vulnerability Assessment impedisce.

Per richiedere un analisi di sicurezza di un sito web, contatta il nostro team SOC.