¿Qué son los ataques Clickjacking? Consejos de protección y prevención

Clickjacking , también conocido por nombres como Ataque de reparación de la interfaz de usuario , Ataque de reparación de la interfaz de usuario , , Reparación de la interfaz de usuario , , , , Reparación de la interfaz de usuario . Así, el atacante controla con éxito al usuario para que haga clic en un enlace de una fuente externa, mientras que `secuestrándolo de la página original. Esta técnica tiene usos ilimitados cuando se trata de la explotación de los usuarios. Por ejemplo, un ataque de este tipo puede convencer a los clientes de que introduzcan sus datos bancarios en una página de terceros que sea idéntica a la original.

Qué es Clickjacking

Clickjacking es una actividad maliciosa, donde los enlaces maliciosos se ocultan detrás de los botones o enlaces en los que se puede hacer clic, lo que hace que los usuarios activen una acción incorrecta con su clic.

¿Qué son los ataques Clickjacking? Consejos de protección y prevención 1

Un ejemplo común y enormemente destructivo de esta técnica podría ser cuando un atacante que construye un sitio web que tiene un botón que dice » Haga clic aquí para entrar en el concurso «. Sin embargo, justo al lado del botón, ponen un marco casi invisible que enlaza con el Eliminar todos los contactos de tu cuenta de Gmail . La víctima intenta hacer clic en el botón, pero en su lugar hace clic en el botón invisible. Por lo tanto, el atacante ha «secuestrado» el «clic» del usuario, y de ahí el nombre Clickjacking.

En los últimos tiempos, Clickjacking ha llegado a servicios populares como Adobe Flash Player y Twitter. Al cargar esta página en un iframe invisible, un atacante puede engañar a un usuario para que modifique la configuración de seguridad de Flash, dando permiso para que cualquier animación Flash utilice el micrófono y la cámara del ordenador.

Hablando de Twitter, el clickjacking se metió en un gusano de Twitter. Este ataque se dirigió de forma bastante inteligente a los usuarios, obligándoles a volver a twittear una ubicación y a difundirla ampliamente antes de que Twitter interviniera para controlar el virus.

Qué es el Cursorjacking

Un tipo de Clickjacking opera disfrazando el cursor del ratón y convenciendo al usuario para que reemplace sus clics a otra ubicación en la misma página. un incidente popular de Cursorjacking fue descubierto en Mozilla Firefox en sistemas Mac OS X usando código Flash, HTML y JavaScript que también puede llevar al espionaje de la webcam y a la ejecución de un addon malicioso que permite la ejecución de malware en el ordenador del usuario atrapado.

Qué es Likejacking

Aparte de Cursorjacking, también se han reportado incidentes de Likejacking . Hecho popular después de la llegada de Facebook a la cultura pop, este término autoexplicativo significa secuestrar a la persona para que le guste una página de Facebook que se supone que no debe conocer originalmente.

Consejos de protección contra Clickjacking

Opciones de X-Frame

Esta solución de Microsoft es una de las más efectivas contra los ataques de clickjacking en su equipo. Puede incluir el encabezado X-Frame-OptionsHTTP en todas sus páginas web. Esto evitará que su sitio sea colocado dentro de un marco. X-Frame es compatible con las últimas versiones de la mayoría de los navegadores, incluidos Safari, Chrome, IE, pero puede tener algunos problemas con Firefox. La gran ventaja de usar X-Frame es que es extremadamente simple, pero necesita acceso a la configuración del servidor web y al lenguaje de scripting en el servidor.

Mover elementos en sus páginas

El atacante que trata de colocar clickjacking en sus páginas web no es consciente de la ubicación actual de los elementos de su lado. Sólo puede colocar sus elementos infectados en función de la configuración predeterminada. Es una buena idea intentar mover elementos de su página; por ejemplo, los atacantes pueden tener la intención de apuntar al botón Facebook Like. Al mover ese elemento a otra ubicación, puede detectar fácilmente cuándo se produce un incidente de este tipo. El único problema con esta solución es que es extremadamente difícil de llevar a cabo para los usuarios normales.

URLs de una sola vez

Este es un método bastante avanzado de protección contra los clickjackers, que pueden tener el conocimiento suficiente para superar sus filtros básicos. Esto es similar a los noces usados para prevenir CSRF pero de manera única en la forma en que incluye noces en las URLs de las páginas de destino, no en los formularios dentro de esas páginas.

Framebuster Javascript

Otra forma de escapar de las garras de un ataque de clickjacking es comprobar el código Javascript para detectarlo. Este proceso se llama frambusting

Consejos para la prevención de Clickjacking

Evaluar Email Protection

La instalación y comprobación de un fuerte filtro de spam de correo electrónico es una forma eficaz de detectar cualquier tipo de ataque a sus cuentas. Los ataques de Clickjacking suelen comenzar engañando a un usuario a través del correo electrónico para que visite un sitio malicioso. Esto se hace implementando correos electrónicos falsificados o especialmente diseñados que parecen auténticos. El bloqueo de correos electrónicos ilegítimos reduce un posible ataque de clickjacking y un montón de otros ataques también.

Usar cortafuegos de aplicaciones web

Los cortafuegos de aplicaciones Web de los WEFs son un aspecto importante de la seguridad en el caso de las empresas que tienen la mayoría de sus datos en Internet. Algunos de estas empresas tienden a ignorar la necesidad de una y terminan siendo atacadas con incidentes masivos de clickjacking. datos recientes han demostrado que casi el 70 por ciento de todas las PYMES fueron pirateadas de alguna manera en la última década más o menos. Puede quitarle una enorme carga a su plato, reducir en gran medida los riesgos y los costos menos que la pérdida que podría enfrentar.

Desafortunadamente, no hay una solución perfecta para prevenir el clickjacking, ya que los atacantes eventualmente encontrarán formas de superar la mayoría de las técnicas. A pesar de ello, los remedios más efectivos contra tales ataques serán el X-Frame y el FrameBuster Javascript.

Ahora lea : ¿Qué son los Fraudes de Clic y los Fraudes de Publicidad Online?

Contenido Relacionado

Deja un comentario