ℹ️ Clickjacking: què és i com prevenir-ho
Temps aproximat de lectura:
Peu de foto:Imatge d'arxiu (Pixabay)
Els hackers amaguen enllaços maliciosos en pàgines web conegudes o cridaneres i esperen que els usuaris facin clic en ells involuntàriament. A diferència de la versió infantil de l'amagatall, en aquests atacs de redreçament el resultat està predeterminat i l'internauta perd sempre la partida.
Per a protegir-te a tu mateix i als teus dispositius dels ciberdelinqüents és important saber quan i on apareixen els atacs de clickjacking. La nostra guia pot ajudar-te a comprendre millor els perills dels enllaços ocults cap a altres pàgines web.
Què és el clickjacking?
El clickjacking es produeix quan hackers i altres ciberdelinqüents creen capes transparents sobre botons o enllaços, que redirigeixen als usuaris a llocs no desitjats sense el seu coneixement. Aquests atacs desvien clics de pàgines legítimes i fan que els usuaris visitin llocs web o pàgines de destí no autoritzades.
A més de desviar el trànsit, el clickjacking pot provocar:
- El robatori de credencials d'inici de sessió, inclosos noms d'usuari i contrasenyes.
- Accés no autoritzat a càmeres i micròfons.
- La propagació de malware.
- Un augment del nombre d'estafes en línia.
- Compres no sol·licitades.
- Pagaments no autoritzats a llocs d'anuncis i comerç electrònic.
Tipus de clickjacking
L'objectiu fonamental dels atacs de clickjacking és bastant senzill: enganyar l'usuari perquè faci clic en un botó o enllaç maliciós. No obstant això, hi ha diferents variants de clickjacking que els ciberdelinqüents utilitzen per a aconseguir aquest resultat:
- Likejacking: els botons "M'agrada" de les pàgines de xarxes socials són piratejats i fan que els usuaris interactuïn amb pàgines i perfils no desitjats o perillosos.
- Cursorjacking: els ciberdelinqüents emmascaren la ubicació del cursor de l'usuari perquè sembli que es troba en una part de la pàgina diferent de la real.
- Cookiejacking: els pirates informàtics roben les cookies d'un usuari, que contenen dades confidencials que poden utilitzar-se per a imitar-lo.
- Filejacking: els hackers col·loquen marcs sobre els botons "Examinar arxius", la qual cosa provoca que les víctimes donin accés involuntàriament als ciberdelinqüents als seus arxius en línia.
- Mousejacking: els delinqüents controlen a distància les funcions d'un dispositiu i poden fer clic en elements, escriure comandaments i codi.
Atacs de clickjacking
En un atac de clickjacking, els usuaris creuen que estan realitzant una acció, però aquests marcs invisibles els fan realitzar una altra diferent i involuntària. Aquests atacs poden ser des de molestos fins a perillosos, ja que poden ser el desencadenant d'atacs més importants i amb majors riscos.
Atacs autònoms
La majoria dels atacs de clickjacking es consideren atacs autònoms perquè es basen en una única acció. En aquests casos, un usuari fa clic en un marc de pàgina web invisible i realitza una acció desconeguda o no autoritzada.
Atacs de passos múltiples
Similars als autònoms, els atacs clickjacking de múltiples passos utilitzen accions per part del client per a iniciar l'amenaça. Aquests atacs són precisos i requereixen que els usuaris facin clic en diversos marcs invisibles per a tenir èxit. Per exemple, un hacker que vulgui que un usuari faci una compra no autoritzada ha de configurar marcs addicionals que facin que els usuaris afegeixin articles a un carro de la compra abans del seu clic final.
Atacs combinats
Encara que molts atacs de clickjacking són autònoms, també poden utilitzar-se per a executar atacs combinats. En aquests casos, els hackers aconsegueixen enganyar els usuaris perquè caiguin en un primer parany, que també pot executar atacs maliciosos addicionals de major envergadura. Els atacs de clickjacking i DOM XSS -atacs que es dirigeixen al codi del client i fan que les pàgines web actuïn de manera maliciosa- són atacs combinats comuns que modifiquen el codi i executen accions no autoritzades per part del client.
Exemple de clickjacking
Els atacs de clickjacking han tingut èxit contra grans empreses com Facebook, Twitter i PayPal. No obstant això, aquest tipus d'atacs en línia també poden dirigir-se a usuaris individuals.
Per exemple, un ciberdelinqüent pot crear una pàgina de destí fals o segrestar els iframes d'un lloc web legítim. En tots dos casos, un atac de clickjacking pot desenvolupar-se així:
- Els usuaris obren i carreguen un lloc o pàgina web.
- Apareixeran botons atractius com "Juga ara" o "Guanya un viatge gratis".
- Els usuaris intentaran fer clic en un botó.
- Però en realitat faran clic en el marc transparent o segrestat.
- Els usuaris seguiran l'enllaç del delinqüent, la qual cosa pot conduir a la transferència de fons al hacker, l'eliminació del compte o qualsevol altre tipus d'acció negativa.
Prevenció del clickjacking
El clickjacking pot ocórrer en qualsevol lloc web en el qual es puguin crear marcs, per la qual cosa les mesures de prevenció apunten a intentar restringir aquestes possibilitats. Les tècniques de prevenció poden utilitzar-se tant des del costat de l'usuari com del costat del servidor.
Prevenció per part de l'usuari
Les mesures de prevenció que pot aplicar un usuari en els seus propis dispositius o pàgines web, sense l'ajuda o el coneixement d'un servidor de xarxa, es coneixen com a tècniques de prevenció del costat de l'usuari. En general, aquestes tècniques aplicades en solitari poden ser burlades pels hackers, per la qual cosa és preferible utilitzar-les juntament amb altres mètodes de prevenció per part del servidor.
Script d'eliminació de marcs de clickjacking
Els scripts de prevenció se situen i utilitzen dins d'un navegador web. Aquesta defensa contra el clickjacking -també coneguda com a Frame Busting Script- és específica a cada plataforma, i també pot ser neutralitzada fàcilment per atacants amb coneixements d'HTML i JavaScript. No obstant això, els scripts poden:
- Fer visibles els marcs invisibles de les pàgines web.
- Impedir que es pugui fer clic en els marcs invisibles.
- Identificar i protegir contra els intents de clickjacking.
- Assegurar que la finestra desitjada no està coberta per un marc invisible.
Extensions contra el clickjacking
Les extensions de navegador poden ajudar a evitar el clickjacking, però també poden desactivar JavaScript i afectar negativament l'experiència d'usuari d'una pàgina web. Quan s'instal·len, aquests blocadors de JavaScript poden impedir que s'obrin llocs populars com YouTube i Facebook.
També existeixen extensions de navegador malicioses que podrien causar problemes addicionals a alguns usuaris. Si decideixes desactivar JavaScript amb una extensió anti-clickjacking, informa't sobre les teves opcions o tria fonts fiables com ScriptSafe o NoScript.
Programari antivirus
Un programari antivirus fiable treballa les 24 hores del dia per a mantenir els teus dispositius protegits de diversos atacs maliciosos. En el cas del clickjacking, el programari antivirus pot advertir als usuaris abans que entrin en llocs web potencialment perillosos, i pot ajudar a mantenir protegits les dades i la informació en cas que l'atac tingui èxit.
Prevenció per part del servidor
Els mecanismes de defensa que han de ser creats i aplicats per un servidor es coneixen com a tècniques de prevenció en l'àmbit del servidor. Aquestes no poden ser configurades o utilitzades per un client i només tenen èxit quan s'implementen en el servidor.
Opcions de marc X
Creat originalment per a Internet Explorer, X-Frame-Options es va adaptar ràpidament com a mètode de prevenció del clickjacking en altres navegadors. Aquesta tècnica controla els iframes i altres objectes d'una pàgina web mitjançant comandaments com:
- X-Frame-Options deny: impedeix l'ús o canvi de marcs.
- X-Frame-Options sameorigin: restringeix els marcs del lloc a la pàgina original.
- X-Frame-Options allow-from any-site.com: permet canvis de marcs des de llocs específics.
- X-Frame-Options allow-from: només està activa en alguns navegadors, però les altres directives poden combinar-se amb una política de seguretat de continguts per a crear un mètode multidimensional de prevenció del clickjacking.
Política de seguretat de continguts
Els atacs a pàgines web acostumen a prevenir-se mitjançant la Política de Seguretat de Continguts (CSP, per les seves sigles en anglès), que també ajuda a detectar quan i on poden produir-se aquestes amenaces. Aquest mètode de prevenció proporciona a les pàgines web una llista específica de fonts, canvis i usuaris permesos i no permesos.
Igual que X-Frame-Options, CSP té determinades directives de protecció específiques:
- Content-Security-Policy frame-ancestors 'none': impedeix que els actors maliciosos canviïn els marcs.
- Content-Security-Policy frame-ancestors 'self': manté els marcs del lloc en la pàgina original.
- Content-Security-Policy frame-ancestors any-site.com: només permet que llocs específics modifiquin els marcs.
Quan es creen correctament i s'apliquen dins d'una estratègia multicapa, els mètodes de prevenció en el servidor tenen un gran èxit en la protecció contra els intents de clickjacking.
El clickjacking és una amenaça per a tota mena de navegadors en línia. Mantenir els dispositius lliures de malware i un altre programari maliciós pot ajudar a protegir el navegador de l'usuari de clickjacking. Les solucions professionals com a Panda Security pot fins i tot ajudar a adaptar els serveis de ciberseguretat a les necessitats específiques de protecció d'un usuari.
