Ti è mai capitato di cliccare su un pulsante apparentemente innocuo e di essere reindirizzato in un posto inaspettato? Oppure hai premuto “Play” su un video e hai finito per mettere “Mi piace”? Ti diamo il benvenuto nel clickjacking, un mondo pieno di fumo e di specchi dove ciò che vedi sullo schermo viene manipolato da trucchi informatici. Oltre a essere fastidioso, può avere gravi conseguenze, dall’acquisizione del controllo degli account sui social media al furto di dati personali. Come funziona il clickjacking e come si può evitare? Continua a leggere per scoprire come rimanere più al sicuro online con gli strumenti per la protezione e la privacy di Avira Free Security.
Che cos’è il clickjacking?
È come un dirottamento, ma ad essere “rubati” sono i tuoi clic online e non servono passamontagna (né aerei o auto). Il termine “clickjacking” è una mescolanza di “click” e “hijacking”, il che è esattamente quello che accade. Un criminale informatico dirotta i tuoi clic e li usa per eseguire azioni specifiche a suo favore. Si tratta quindi di un tipo di attacco informatico subdolo, che utilizza un’interfaccia fuorviante o invisibile per indurre gli utenti a cliccare su qualcosa di imprevisto. Esistono vari tipi di attacchi di clickjacking, che hanno nomi leggermente diversi, come “redressing dell’interfaccia utente (UI) ” o “attacchi di redress della UI”.
Comunque lo si chiami, il clickjacking è sempre un’illusione ottica digitale. Pensi di cliccare su un pulsante o un link innocuo, magari per guardare un divertente video di gattini o per ottenere uno sconto eccezionale su un paio di scarpe da corsa, mentre in realtà stai attivando qualcosa di nascosto. Potrebbe trattarsi di:
- Mettere “Mi piace” o condividere un post senza volerlo.
- Attivare la webcam o il microfono senza il tuo permesso.
- Effettuare acquisti online o trasferimenti di denaro.
- Modificare le impostazioni degli account.
- Condividere credenziali di accesso o altre informazioni sensibili.
- Visitare pagine Web dannose o scaricare malware eseguito in background.
Poiché sullo schermo sembra tutto normale, potresti non accorgerti di cosa è successo finché non è troppo tardi.
Come funziona il clickjacking?
Il clickjacking sfrutta un semplice trucco: Aggiungere una pagina Web nascosta e trasparente su un’altra pagina Web per mascherare ciò che si otterrà effettivamente cliccando. Questo è chiamato attacco di overlaying. Il livello contraffatto include del codice JavaScript e gli elementi dell’interfaccia utente, in modo che possa assumere il controllo e funzionare in modo indipendente. È come un silenzioso e malvagio colpo di stato. Gli utenti ignari navigheranno sulla pagina Web, aspettandosi che funzioni normalmente, ma… è lo script dell’autore dell’attacco a essere eseguito!
Gli autori degli attacchi utilizzano frame HTML o frame inline (iframe) per mettere in atto la truffa. Un iframe è un frame all’interno di un frame e consente di incorporare contenuti provenienti da altre origini nelle pagine Web. Ad esempio, se visiti un sito Web con un video di YouTube incorporato segretamente, quel video verrà inserito in un iframe.
I criminali informatici modellano il clickjacking in vari modi, ma ecco la struttura tipica di un attacco:
Passaggio 1. Creano una pagina Web dannosa. Potrebbe trattarsi di qualsiasi cosa, da una falsa pagina di omaggi a un articolo di giornale dall’aspetto innocente. L’iframe invisibile verrà posizionato con cura in modo che il suo pulsante fittizio si trovi direttamente sopra il pulsante reale (attivando il download di un malware). Gli hacker utilizzano varie tecniche per far sì che i siti Web eseguano i loro ordini. Il cross-site scripting (XSS) può essere utilizzato per manipolare moduli online, pagine Web e persino server.
Passaggio 2. Inducono i bersagli a visitare la pagina Web fittizia. Una volta preparata la trappola, gli autori degli attacchi spesso usano tattiche di ingegneria sociale, come e-mail false, truffe WhatsApp e truffe telefoniche per attirare le vittime. Potrebbero dire loro che hanno vinto un iPhone o che devono accedere urgentemente al loro conto bancario per risolvere un problema di sicurezza.
Passaggio 3. La vittima esegue l’azione desiderata. È il momento in cui l’innocente visitatore del sito Web completa il suo lavoro di burattino. Ad esempio, potrebbe cliccare nel punto in cui desidera l’hacker o inserire i propri dati personali. Pensa di interagire con il sito che sta visualizzando, ma i suoi clic e le informazioni inserite finiscono altrove.
Clickjacking e cursorjacking: quali sono le differenze?
Potresti aver sentito parlare anche di cursorjacking. Ecco una rapida spiegazione di come si differenzia dalle altre varianti del clickjacking. Il cursorjacking è un tipo di attacco di clickjacking, quindi appartiene alla stessa dubbia famiglia, ma si verifica quando un malintenzionato (ad esempio un hacker o un altro tipo di criminale informatico) sostituisce un cursore reale con uno falso. La vittima vede il cursore in una certa posizione quando in realtà è attivato un altro elemento, il che la porta a cliccare accidentalmente nel punto previsto dall’hacker (in genere un link dannoso o un allegato infetto).
Quali sono gli scopi del clickjacking?
Le interfacce utente possono essere mascherate con molti tipi di collegamenti e livelli invisibili, offrendo così ampie possibilità agli autori di attacchi informatici più creativi. Cosa sperano di ottenere? Come ormai avrai capito, l’obiettivo è solitamente il furto: dei tuoi soldi o dei tuoi dati.
- Furto delle credenziali di accesso. Pensi di inserire la tua password in un sito attendibile, mentre in realtà viene inviata a un hacker.
- Diffusione di truffe sui social media. Gli autori dell’attacco ti inducono con l’inganno a mettere “Mi piace” o a condividere un post o un link di phishing, in modo che diventi virale e ottengano più visualizzazioni e interazioni.
- Acquisizione di follower sui social media. Quando inavvertitamente metti “Mi piace” a un post, lo condividi o segui un account, contribuisci ad aumentare la popolarità dell’account, conferendogli maggiore credibilità, così come a eventuali prodotti che potrebbe promuovere. Evita di partecipare alla campagna di marketing di qualcun altro! Quando viene manipolato il pulsante “Mi piace” di Facebook, si parla di “likejacking”.
- Acquisti ingannevoli. Potresti pensare di cliccare su un pulsante “Vedi altro”, ma finire per effettuare transazioni reali, come l’acquisto di qualche prodotto scadente.
- Attivazione della webcam o del microfono. In alcuni casi, gli autori degli attacchi utilizzano il clickjacking per ottenere l’accesso alla fotocamera o al microfono del dispositivo (“audiojacking”). Potrebbero quindi registrare riunioni, scoprire di più su di te, sulla tua attività e sui tuoi clienti o persino ricattarti.
- Download di malware. Cliccando su un pulsante mascherato, potresti in realtà accettare di scaricare malware (come adware o anche ransomware), che verrà installato automaticamente sul tuo dispositivo.
- Accesso ai file sul disco rigido della vittima. Questo viene definito “filejacking”. Gli autori dell’attacco utilizzano il browser Web per navigare nel tuo computer e sottrarre dati personali.
- Furto dei cookie del browser. Queste briciole digitali della cronologia di navigazione possono aiutare gli hacker ad accedere in modo non autorizzato ai tuoi account online, dando loro la libertà di effettuare acquisti o addirittura rubare la tua identità. È consigliabile cancellare i cookie per evitare il “cookiejacking”.
- Esposizione della posizione. In base al tuo indirizzo IP, un hacker può spesso determinare la tua posizione approssimativa. Potrebbe anche installare spyware o altri malware per ottenere maggiori informazioni. In base alla tua posizione, i criminali potrebbero potenzialmente prenderti di mira con truffe personalizzate e commettere furti di identità, oltre a tracciare i tuoi movimenti, identificare il tuo indirizzo di casa e persino perseguitarti.
Quali sono gli indicatori di un potenziale clickjacking?
Sebbene le manipolazioni del clickjacking siano progettate per essere invisibili, ci sono comunque alcuni segnali d’allarme a cui prestare attenzione. Ecco alcune rapide domande che possono aiutarti a smascherare un possibile attacco:
- Hai notato attività insolite sui social media? Ad esempio, di recente hai messo “Mi piace” a una pagina o a un post oppure hai seguito un account ma non ricordi di averlo fatto?
- Ti capita improvvisamente di vedere strani pop-up o reindirizzamenti di pagina? Clicchi su qualcosa e ti ritrovi in un nuovo strano posto.
- Clicchi su un pulsante ma non succede nulla? Questo fenomeno è chiamato “clic fantasma” e potrebbe indicare che è presente un livello nascosto.
- Il browser è impazzito? Hai notato download imprevisti, tentativi di accesso sconosciuti o strane richieste di autorizzazione per la fotocamera o il microfono?
- Il design o i pulsanti di un sito Web hanno un aspetto strano? Se un elemento di un sito Web sembra posizionato in modo strano o è leggermente trasparente, potrebbe essere il risultato di un designer poco dotato o indicare la presenza di un overlay. Presta attenzione quando clicchi.
Se hai risposto “sì” a una delle domande precedenti, potresti essere vittima di un attacco di clickjacking. Agisci rapidamente per valutare i danni e prevenire ulteriori problemi. Esegui una scansione con una soluzione anti-malware affidabile come Avira Free Antivirus. Cambia le password degli account interessati e assicurati che siano complesse e univoche. Una soluzione come Avira Password Manager può farlo automaticamente e ti aiuta ad archiviare le password in modo sicuro. Avira Free Security contiene questi e altri strumenti essenziali per la privacy e la protezione online.
Tieni sotto controllo i tuoi estratti conto e quelli della tua carta di credito e contatta immediatamente la tua banca e le autorità locali competenti se sospetti una frode.
Per gli appassionati di tecnologia: protezione contro il clickjacking per il personale IT
Esistono due metodi generali che i team IT implementano per contrastare il clickjacking.
Protezione dal clickjacking lato client
I metodi lato client mirano a impedire agli autori degli attacchi di ingannare gli utenti tramite i loro browser. Un modo efficace è quello di utilizzare tecniche di frame-busting basate su JavaScript. Rilevano quando una pagina è incorporata in un iframe e ne forzano la visualizzazione. Ad esempio, un semplice script può verificare se la pagina è inserita in un frame e reindirizzare l’utente al sito principale. Purtroppo, questi metodi non sono infallibili, poiché i criminali informatici più esperti possono disattivarli o aggirarli.
Protezione dal clickjacking lato server
Le difese lato server sono spesso considerate più solide e affidabili. Un metodo comune è quello di utilizzare le intestazioni HTTP, come la direttiva frame-ancestors, che fa parte di Content Security Policy (CSP). Queste intestazioni indicano al browser se una pagina Web può essere caricata all’interno di un iframe. Anche l’intestazione X-Frame-Options aiuta a controllare questo aspetto, sebbene sia stata ampiamente sostituita dalle direttive CSP. L’intestazione X-Frame-Options supporta valori come SAMEORIGIN, che consente a una pagina Web di essere inserita in un frame solo tra pagine della stessa origine, contribuendo a impedire l’incorporamento dannoso da parte di siti di terze parti.
Per una sicurezza ancora maggiore, i siti Web possono combinare il frame-busting con l’autenticazione utente. Ad esempio, l’implementazione di CAPTCHA prima di eseguire azioni sensibili può impedire agli utenti di apportare modifiche accidentali. Le linee guida sulla sicurezza di organizzazioni come OWASP raccomandano di utilizzare più livelli di protezione per ridurre il rischio di attacchi di clickjacking.
Inoltre, alcuni componenti aggiuntivi del browser aiutano a rilevare e bloccare gli iframe nascosti, offrendo agli utenti un ulteriore livello di difesa contro le minacce di clickjacking.
In combinazione, i metodi lato client e lato server possono contribuire a rendere i siti Web più efficaci nel bloccare gli attacchi di clickjacking, in modo da evitare che i clic degli utenti vengano utilizzati come armi contro di loro.
In che modo le tue azioni online ti aiutano a proteggerti dal clickjacking
Essere consapevoli delle tecniche di ingegneria sociale può rivelarsi molto utile per contrastare il clickjacking, uno dei metodi di attacco preferiti dagli hacker. Come sempre, segui le regole del buon senso e le procedure consigliate per l’utilizzo di Internet per rimanere più al sicuro online.
- Presta attenzione online e monitora attentamente i tuoi profili sui social media e gli account online, così sarà più probabile notare attività insolite.
- Pensa prima di cliccare. Diffida dalle offerte che sembrano troppo belle per essere vere, come un premio a sorpresa o uno sconto incredibile. Inoltre, non cliccare sui pop-up, soprattutto nei siti insoliti. Il clickjacking basato su messaggi di testo (un tipo di frode di smishing) sta diventando sempre più comune. Quindi, evita di rispondere a messaggi di testo provenienti da mittenti sconosciuti. Se sei tentato di cliccare, prima posiziona il mouse sul collegamento per visualizzare l’URL reale e vedere la destinazione.
- Utilizza un ad blocker. Gli annunci pubblicitari dannosi possono essere un veicolo per gli attacchi di clickjacking. Un efficace ad blocker può essere utile per impedire che vengano visualizzati.
- Disattiva gli script sui siti Web sospetti. Alcuni browser come Avira Secure Browser sono dotati di funzionalità di sicurezza integrate e aiutano a bloccare l’esecuzione di script dannosi in background. Possono anche aiutare a bloccare il caricamento di annunci pubblicitari e siti Web pericolosi.
- Abilita le impostazioni di sicurezza del browser. Browser come Chrome e Firefox offrono una certa protezione contro il clickjacking. Mantienili aggiornati e abilita le funzionalità per la sicurezza e la privacy. Non ignorare gli avvisi del browser sui siti che visiti. Se viene indicato di non procedere, ascolta il suggerimento. Consulta la nostra guida su come controllare la sicurezza dei siti Web.
- Attiva l’autenticazione a più fattori. Aggiungendo una seconda linea di difesa con l’autenticazione a due o più fattori (come un codice di accesso inviato tramite SMS o e-mail), i criminali informatici non potranno accedere nemmeno se rubano la tua password.
Ottieni una protezione efficiente e gratuita in una singola soluzione
L’impiego di supporti tecnologici affidabili è fondamentale per proteggersi dai crimini informatici come il clickjacking. Avira Free Security combina un potente antivirus, un Password Manager, uno strumento di aggiornamento software, una VPN e molto altro per creare una difesa a più livelli anche contro le minacce online più recenti. Proteggi tutti i tuoi dispositivi con Free Security per Windows, la soluzione di sicurezza per Mac, l’app di sicurezza per dispositivi iOS o l’app antivirus per telefoni e tablet Android.
Il clickjacking non riceve la stessa attenzione di altre minacce informatiche, come il phishing, ma può essere altrettanto pericoloso, perché potresti non rendertene nemmeno conto. Mantieni alta la sicurezza del browser e del dispositivo e fai attenzione per evitare di cadere in queste trappole nascoste.
E ricorda: solo perché vedi qualcosa sullo schermo non significa che sia reale.
Questo articolo è disponibile anche in: IngleseTedescoFrancese