El clickjacking (secuestro de clic) es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su ordenador cuando hacen clic en páginas web aparentemente inocentes. En un ataque de clickjacking mediante el uso de script, iframe, CSS y cuadros de texto permite que el atacante capture los datos en una capa que controla y el usuario no puede ver, debido a que utilizan diversos métodos para ocultarla.
Descripción
El clickjacking es posible debido a características aparentemente inofensivas de una página web HTML que pueden ser empleadas para realizar acciones inesperadas.
Existen varias formas de ejecutar esta técnica:
Completamente oculto: el ataque original consistía en cargar una pieza de contenido de la víctima en un iframe de 1x1 que evita que el usuario final pueda verla. Luego, el atacante centra el iframe 1x1 debajo del cursor para que el usuario final haga clic en él.
Eventos de puntero: se crea una etiqueta div flotante sobre la interfaz de confianza. Utilizando la propiedad de CSS pointer-events en 'none', los eventos ocurren en el div implantado que recibe toda la información.
Recortar: consiste en ocultar parte del contenido mediante recorte dejando visibles los botones originales de 'permitir' y 'cancelar'. Sin embargo, el atacante superpondría una nueva pregunta encima de la pregunta original. También puede presentarse como variante de este ataque, que se realice superposición de palabras individuales en la pantalla de confianza en lugar de superponer una sección completa.
Superposición transparente: sobre la ventana de confianza se crea una capa transparente. Esto hace que el usuario final crea que está haciendo clic en el contenido que se encuentra debajo de la ventana transparente, cada clic es registrado por la ventana transparente ya que es el contenido más alto en el momento del clic.
Historia
El término clickjacking fue acuñado por Jeremiah Grossman y Robert Hansen en 2008,[1] también conocido como UI redressing. El clickjacking puede ser entendido como una variante del problema de reemplazo confuso.[2] La directiva de la Unión Europea de 2011 sobre privacidad, conocida como ley de cookies, obliga a los sitios web que almacenan datos sobre sus visitantes a incluir una advertencia. Recientemente, se ha comprobado el ataque a sitios web que consiste en modificar la advertencia incluida en el sitio para que su clic sea desviado, abriendo un sitio web diferente. Los ataques detectados incluyen publicidad no visible dentro del aviso de privacidad. Al hacer clic en cualquier parte del aviso aparece la página del sitio publicitado.[3]
UNAM-CERTArchivado el 25 de abril de 2021 en Wayback Machine. Subdirección de Seguridad de la Información UNAM-CERT (noticias, documentos, información para usuarios, revista .Seguridad, alertas de seguridad, Malware UNAM, Honeynet UNAM, etc.)
Clickjacking: Attacks and Defenses. Actas del 21.º Simposio de Seguridad de USENIX. Agosto 2012.Microsoft. Lin-Shung Huang, Alex Moshchuk, Helen Wang, Stuart Schechter, Collin Jackson.