Taula de continguts:
Definició: què significa Clickjack Attack?
Un atac de clic és una tècnica maliciosa que utilitza un atacant per gravar els clics de l’usuari infectat a Internet. Es pot utilitzar per dirigir el trànsit a un lloc específic o per fer que un usuari agradi o accepti una aplicació de Facebook. Poden ser propòsits més nefastos recopilar informació confidencial guardada en un navegador, com ara contrasenyes o instal·lar contingut maliciós.
Aquest tipus d’atac també es coneix com a clickjacking o readdressing d’UI.
Techopedia explica Clickjack Attack
Normalment, es fa una explotació de clickjack col·locant un enllaç encobert sobre un botó vàlid. No obstant això, l'explotació també pot incloure els següents:
- Atrevir els usuaris a habilitar els seus micròfons i càmeres web mitjançant Flash
- Fer servir els usuaris per fer públics els detalls del seu perfil de xarxes socials
- Fer que els usuaris infectats siguin algú a Twitter sense saber-ho
Es pot implementar un atac de clickjack mitjançant IFRAMEs, que són elements HTML que obtenen contingut d'altres ubicacions, com ara altres llocs web. Els atacants de Clickjack poden incrustar un IFRAME en qualsevol lloc web i sobreposar l'IFRAME invisible a sobre d'un botó legítim. Quan l’usuari fa clic al botó legítim, realment s’està fent clic al botó o a l’enllaç de l’atacant.
El que fa d’aquesta manera una forma molt potent d’atacar és que realment es realitza dins dels límits de l’especificació HTML, cosa que significa que el lloc web funciona com s’esperava. Els atacants només exploten aquesta característica per atacs maliciosos. El World Wide Web Consortium (W3C) està intentant definir un nou estàndard que permetrà que els llocs web no permetin la interferència exterior.
És possible que els administradors del lloc web no sàpiguen que no funciona alguna cosa fins que no es presentin reclamacions per part dels usuaris. És difícil assenyalar que es va produir un atac perquè tot el lloc sembla el mateix i l’element clickjack s’ha disfressat completament d’inofensiu.
El complement NoScript per a Mozilla, el navegador web de Gazelle i el fragment de JavaScript de Framekiller són algunes de les mesures que es poden utilitzar per protegir-se contra un atac de clickjack.
