Il clickjacking consente a un hacker di inserire un livello di interfaccia utente invisibile sopra ciò che si vede sullo schermo di un dispositivo, con cui poi l'utente andrà a interagire, eseguendo dei clic senza cognizione.
Poche applicazioni sono sicure come i software bancari sui dispositivi mobili, ma queste applicazioni potrebbero comunque passare agli hacker informazioni preziose e sensibili, come le credenziali di accesso e i dettagli di contatto.
I malintenzionati che usano il clickjacking riescono a rubare informazioni sensibili e riservate quando l'utente esegue l'accesso a un'app. Malware come Svpeng dimostrano l'efficacia e la diffusione di questo tipo di crimini.
Dopo che l'utente ha inserito l'ID e la password, viene visualizzata una schermata che sembra quella dell'applicazione bancaria, ma in realtà è una replica della schermata reale sovrapposta a quella.
Quando l'utente immette le informazioni riservate, i dati non vanno alla banca per la verifica, ma ai file server che i cybercriminali mantengono per rubare le informazioni di accesso agli account.
Uso del clickjacking a scopo di lucro
Nel luglio 2017, Roman Unuchek di Kaspersky Lab, un esperto analista di malware, ha segnalato sul blog SecureList che il malware Svpeng stava "diventando virale". Svpeng era comparso per la prima volta nel 2013 e rubava informazioni bancarie dai dispositivi Android degli utenti. Una volta scaricato sul dispositivo mobile, eseguiva il clickjacking dei dati dell'utente, ma il problema ha implicazioni più profonde.
Quando il malware riesce ad appropriarsi dei privilegi di amministratore, può scegliere quali schermate sovrapporre alla visualizzazione del dispositivo, inviare e ricevere SMS, effettuare chiamate e leggere i contatti.
Attraverso il malware vengono poi inviati screenshot e qualsiasi altro materiale rubato dal dispositivo a un server di comando e controllo gestito dagli hacker. Tale materiale potrebbe comprendere contatti, applicazioni installate, registri di chiamate e SMS, cosa particolarmente problematica se si considera che le banche normalmente usano gli SMS per inviare i codici di verifica agli utenti.
In una sola settimana Svpeng si era diffuso in 23 paesi, secondo Unuchek.
Il clickjacking avviene su quasi tutte le piattaforme
Sebbene i telefoni Android sembrino particolarmente vulnerabili al clickjacking, ne possono rimanere vittima tutti i dispositivi che accedono a Internet: dispositivi mobili, tablet, computer desktop e portatili.
A metà del 2016, Google ha rimosso annunci con strati trasparenti che ingannavano milioni di utenti facendoli cliccare su link che li portavano a siti web indesiderati. In molti casi questi siti web contenevano malware, adware e persino spyware che veniva scaricato e installato, talvolta a insaputa dell'utente.
Aziende senza scrupoli possono utilizzare pagine alterate con clickjacking per indurre gli utenti a effettuare ordini su Amazon mediante un solo clic. I clickjacker, sulle piattaforme social media come Facebook, creano "mi piace" artificiali sui post (tecnica chiamata "likejacking") oppure raccolgono follower inconsapevoli su Twitter. Secondo MarketingLand.com, i clickjacker scaricano anche malware che costringe gli utenti a cliccare su annunci invisibili.
Come difendersi dal clickjacking
Uno dei modi più comuni con cui il software di clickjacking arriva nei dispositivi è attraverso e-mail mirate. Purtroppo, in un mondo in cui gli hacker hanno rubato miliardi di account di clienti con tutti i dettagli di contatto, i criminali informatici possono acquistare queste informazioni con pochi centesimi per account. La probabilità che i cybercriminali conoscano l'account di posta elettronica di un utente e il suo istituto bancario è alta.
Presta attenzione alle e-mail in arrivo in cui si parla di questioni urgenti che richiedono la tua attenzione. Queste e-mail chiedono di cliccare su un link che potrebbe portare a un sito web identico a quello di una banca o a un altro sito ufficiale, per indurre l'utente a scaricare la versione più recente dell'app dell'istituto o a inserire informazioni relative al suo profilo.
Se l'obiettivo è quello di far scaricare all'utente un'app, l'app è probabilmente il malware che acquisisce e ruba tutte le credenziali. In altri casi il sito stesso potrebbe essere la sorgente del malware che si insinua sul dispositivo. Indipendentemente dal modo in cui questo avviene, il malware mostra strati di input falsi che l'utente deve compilare.
È anche importante evitare di cliccare sugli annunci, su Google o Facebook, che offrano qualcosa di troppo bello per essere vero o riportino notizie o storie che sembrino fuori dal comune. In alcuni casi, cliccando su questi elementi si potrebbe passare a un sito web che scarica software di clickjacking sul computer. È preferibile cercare la notizia su un canale alternativo, ad esempio un quotidiano dalla reputazione comprovata. Se la notizia è vera, non sarà difficile trovarla presso fonti affidabili.
Scarica le app sui dispositivi solo da librerie di app autorizzate. Queste librerie impiegano sia agenti software che esseri umani per estirpare i malware e mantenere solo i contenuti appropriati. Non è sempre facile individuare interfacce false o invisibili, ma una sana dose di scetticismo quando si maneggia tutto ciò che è connesso a Internet può contribuire in larga misura a un'esperienza utente soddisfacente.
Articoli correlati:
- Cos'è l'adware?
- Cos'è un trojan?
- Dati concreti e domande frequenti su virus informatici e malware
- Spam e phishing
Prodotti correlati: