Che cos’è il clickjacking?

Il clickjacking, noto anche come attacco di clickjacking o clickjack, è un attacco informatico in cui link nascosti inducono gli utenti a compiere un’azione non intenzionale che porta all’esposizione di informazioni sensibili e all’hacking.

Continua a leggere per scoprire di più sul clickjacking e su come funziona.

Comprendere il clickjacking

In un attacco di clickjacking, gli utenti fanno clic su un elemento online aspettandosi di compiere una data operazione senza rendersi conto che in realtà questo si traduce in un’azione diversa e non intenzionale. Per esempio, in questo modo, i cybercriminali possono indurti a scaricare software malevoli (malware), a rendere visibili accidentalmente informazioni d’identificazione personale (PII) sensibili o ad altre gravi conseguenze.

Il clickjacking viene utilizzato per lanciare attacchi informatici di vario tipo. Non è facile da individuare e può portare al furto di password o informazioni sensibili come i numeri del conto bancario, delle carte di credito e di previdenza sociale. Gli obiettivi ultimi di questa raccolta d’informazioni sono rubare denaro, prendere il controllo dei tuoi account o rubare la tua identità.

Come funziona il clickjacking

I cybercriminali utilizzano il clickjacking per ingannarti manipolando quello che vedi sullo schermo. Sovrappongono campi invisibili a quelli apparentemente legittimi per camuffare l’operazione che stai per compiere. Tutto questo può verificarsi su un intero sito web o anche solo su un annuncio pop-up. A volte, gli hacker arrivano al punto di incorporare il sito web legittimo all’interno del loro sito per renderlo il più reale possibile. In questi casi si parla anche di sito web falsificato.

Credendo di trovarti su un sito legittimo, probabilmente farai clic su qualche elemento, inserirai le tue credenziali o fornirai altre informazioni sensibili. Crederai di aver compiuto azioni legittime, ma i campi invisibili ti faranno scaricare accidentalmente malware o inviare le tue informazioni ai cybercriminali.

I cybercriminali ti indirizzano verso la loro interfaccia illegittima pubblicando annunci falsi che apparentemente conducono a siti legittimi, oppure inviandoti messaggi e-mail e SMS fasulli, pubblicando post sui social media o facendo apparire pop-up infetti.

Esempi di clickjacking

Ecco alcuni esempi di come può avvenire un attacco di clickjacking nel mondo reale:

• L’utente riceve un’e-mail da quello che ritiene essere un sito di social media legittimo, come Facebook. Fa clic sul link e viene indirizzato su un sito falso che incorpora al suo interno il vero sito di Facebook. L’utente tenta di accedere al suo account Facebook inserendo le credenziali nei campi. Tuttavia, nel sito falso ai campi di Facebook sono sovrapposti campi invisibili che consentono al cybercriminale di impadronirsi delle credenziali dell’utente.
• L’utente vede un annuncio apparentemente proveniente da una nota banca, come per esempio Chase. Decide di aprire un conto, quindi fa clic sull’annuncio e viene rediretto su un sito web falso al cui interno è incorporato il sito web di Chase. Tenta di creare un account inserendo informazioni sensibili, come il proprio numero di previdenza sociale. Tuttavia, i campi invisibili sovrapposti a quelli reali copiano le informazioni e le inviano al cybercriminale.
• Mentre un utente sta navigando su un sito web, si apre un pop-up. L’utente fa clic sulla “X” per chiudere il pop-up, ma in realtà la “X” è un link di download che installa software malevolo sul computer.

Le conseguenze del clickjacking

Se un attacco di clickjacking va a buon fine, il cybercriminale può impadronirsi di informazioni come PII o credenziali oppure installare malware sul tuo dispositivo. Potrebbe trattarsi di qualsiasi tipo di malware, tra cui uno spyware o un keylogger, ovvero un malware che ruba le password dal tuo browser.

Sia che si impadroniscano dei dati personalmente, sia che installino un software che lo faccia al posto loro, i cybercriminali hanno come obiettivo finale vendere i tuoi dati ad altri cybercriminali o utilizzarli per rubarti denaro o la tua identità.

Dimostrare che la tua identità è stata rubata o che qualcuno ha preso il controllo del tuo conto bancario può risultare difficile e costoso. Possono essere necessari anni prima di riprendersi completamente da questo tipo di attacchi.

Prevenire gli attacchi di clickjacking

La prevenzione degli attacchi di clickjacking è responsabilità del proprietario del sito web in cui potrebbero verificarsi. Esistono metodi per impedire ai cybercriminali di incorporare un sito legittimo in uno falso, come l’utilizzo delle opzioni X-frame, vale a dire un codice che impedisce ai siti web di essere incorporati in un frame. Si tratta di una barriera molto efficace contro questo tipo di attacchi.

Inoltre, sarebbe bene che i proprietari dei siti web vagliassero attentamente i potenziali inserzionisti che intendono avvalersi del loro sito. Devono assicurarsi che gli annunci pubblicati sul loro sito siano legittimi e che non conducano a un attacco di clickjacking.

Come possono proteggersi gli utenti

Sebbene la responsabilità di proteggere gli utenti sia dei proprietari dei siti web, questi a volte commettono errori. Fortunatamente, i consigli di base per la sicurezza su Internet possono aiutarti a proteggerti dal clickjacking.

• Visita solo siti web attendibili. I siti più noti e molto trafficati sono più propensi a proteggere adeguatamente i loro utenti da attacchi come il clickjacking.
• Apri i siti web utilizzando l’URL ufficiale. Se hai dubbi su quale sia l’URL, cercalo su Google. L’URL legittimo, noto anche come indirizzo del sito web, dovrebbe essere il primo risultato del motore di ricerca.
• Evita di fare clic sui pop-up. Dato che ogni clic potrebbe portare a scaricare malware, il modo più sicuro per chiudere un pop-up è chiudere la finestra del browser.
• Indaga sulla veridicità di messaggi e-mail e SMS. Spesso, i cybercriminali formulano i loro messaggi in modo da instillare urgenza in chi legge, per evitare che verifichi con calma la veridicità del messaggio. Contatta sempre direttamente il presunto mittente utilizzando i recapiti ufficiali per verificare se il messaggio proviene effettivamente da lui.
• Scarica app o file da posizioni attendibili. I link trovati casualmente online per scaricare file o app potrebbero contenere malware. Scarica sempre le app dall’Apple App Store o dal Google Play Store ufficiale, anche se costa di più.
• Non fidarti di annunci eccessivamente vantaggiosi. Spesso i cybercriminali inducono gli utenti a fare clic sui loro annunci che li reindirizzano verso siti web falsi attraverso offerte apparentemente imperdibili, come grossi sconti su articoli molto ricercati e costosi.
• Usa un Password Manager. Molti password manager dispongono di una funzione di riempimento automatico che funziona solo sull’URL salvato insieme alla password. Se ti trovi sul sito web falsificato di un’azienda presso cui hai un account, il tuo Password Manager non effettuerà il riempimento automatico delle credenziali, facendoti capire che non si tratta del sito legittimo.

Non abbassare la guardia per non cadere in trappola

Il clickjacking è solo uno dei tanti tipi di attacchi utilizzati dai cybercriminali. Seguire le migliori prassi in materia di sicurezza informatica e restare sempre al passo con le notizie di sicurezza informatica ti consentirà di rimanere al corrente delle ultime novità in fatto di minacce informatiche, oltre che di proteggere i tuoi dati e la tua identità.