Clickjacking to cyberatak, który polega na oszukaniu użytkownika w taki sposób, żeby nieświadomie wykonał on działanie pożądane przez przestępcę – mowa o kliknięciu zamaskowanego elementu na stronie uznawanej za bezpieczną. W wyniku takiego ataku hakerskiego użytkownik może pobrać złośliwe oprogramowanie, udostępnić swoje dane, a nawet autoryzować przelew bankowy.

 

Jako pierwsi clickjacking opisali Jeremiah Grossman i Robert Hansen w 2008 roku. Wykryli podatność na tę formę ataku w odtwarzaczu Adobe Flash Player. Nazwa ataku pochodzi od dwóch słów: „Click” i „Hijacking” – więc na pytanie, co to jest clickjacking, najprościej można odpowiedzieć, że to przejęcie kontroli nad kliknięciem.

 

Zmiana informacji zawartej w blockchainie wymaga ingerencji we wszystkie poprzednie bloki danego łańcucha, co w praktyce prawie uniemożliwia fałszerstwo. Dane zapisane w tej formie nie mogą też zostać usunięte z łańcucha.

 

Do przeprowadzenia clickjackingu wykorzystuje się głównie ramki iframe. To elementy kodu HTML, które pozwalają na osadzenie jednego elementu HTML wewnątrz drugiego. Przykładami są np. osadzone na stronie pliki wideo z serwisów streamingowych, mapy Google lub reklamy. Przestępcy mogą wykorzystać to rozwiązanie do osadzenia fałszywego interfejsu w wewnętrznym systemie firmy czy na stronie logowania do bankowości internetowej, co pozwala im uzyskać nieautoryzowany dostęp do zasobów użytkownika.

 

Podobnie, jak w przypadku innych rodzajów ataków hakerskich, konsekwencje udanego clickjackingu mogą być dla firm poważne – od kradzieży danych po przejęcie kontroli nad krytycznymi systemami IT przedsiębiorstwa. Nawet pozornie niewielkie naruszenie danych może skutkować utratą reputacji i problemami finansowymi.

 

Clickjacking stanowi zagrożenie także dlatego, że trudno go wykryć. Często łączy się z socjotechniką – przestępcy manipulują swoimi ofiarami w taki sposób, aby te nieświadomie kliknęły na podstawiony przez nich element. Testowanie reakcji pracowników pod tym kątem jest realizowane w ramach takich usług, jak Phishing-On-Demand.

   

Clickjacking może przybierać różne formy, w zależności od celu i kreatywności przestępców. Klasyczna technika polega na osadzeniu niewidzialnej strony w ramce iframe tak, aby użytkownik myślał, że klika w widoczne elementy witryny, podczas gdy faktycznie aktywuje ukryte akcje, np. przelewy środków lub uruchomienie złośliwego oprogramowania.

 

Przestępcy sięgają też po inne techniki:

 

• Likejacking – metoda wykorzystywana głównie na platformach społecznościowych. Polega na nakłonieniu użytkownika do polubienia treści innych niż w rzeczywistości chciałby polubić. Może to prowadzić do szerzenia dezinformacji, SPAM-u lub przesyłania szkodliwych linków.


• Cursorjacking – polega na zmianie pozycji kursora na ekranie w taki sposób, żeby kliknięcie prowadziło do niezamierzonej akcji. Efektem cursorjackingu może być kradzież danych lub przejęcie sesji użytkownika.


• Filejacking – atak, w którym przestępca podmienia przycisk „wybierz plik” na fałszywy. Skutkuje to udostępnieniem atakującemu zasobów z urządzenia użytkownika.


• Cookiejacking – w wyniku oszustwa ofiara udostępnia swoje pliki cookie, co może umożliwić przestępcy kradzież tożsamości i dostępów.

 

Wszystkie techniki clickjackingu wykorzystują luki w zabezpieczeniach i nieuwagę użytkownika, żeby sprowokować ofiarę do wykonania działań pożądanych przez przestępców. Z tego wzgledu warto zwiększać poziom security awareness wśród pracowników oraz monitorować aktywność sieciową, czym zajmuje się choćby wyspecjalizowane Security Operations Center.

   

Jednym z najbardziej znanych przypadków clickjackingu był atak na stronę ustawień Adobe Flash. Pozwalał na zmianę ustawień dotyczących bezpieczeństwa wtyczki, przez co przestępcy mogli za jej pośrednictwem uzyskać dostęp do mikrofonu i kamery użytkownika.

 

Ofiarami clickjackingu padały w przeszłości też duże platformy społecznościowe, takie jak Twitter czy Facebook. W wyniku podatności na tę formę ataku użytkownicy wspomnianych serwisów nieświadomie lajkowali i przesyłali posty lub strony, jednocześnie propagując potencjalnie szkodliwe treści.

 

W 2022 roku odkryto lukę w systemie płatności PayPal. Umożliwiała ona osadzenie złośliwego elementu w ramce iframe, czego efektem było nieświadome zatwierdzanie transakcji przez użytkowników. W efekcie tego ataku ofiary przekazywały pieniądze na konta oszustów.

   

Zapobieganie clickjackingowi wymaga zintegrowanej strategii bezpieczeństwa, która łączy różne techniki ochrony. Do podstawowych zabezpieczeń należy stosowanie nagłówków X-Frame-Options. Są one dodawane przez serwer w odpowiedzi na zapytanie przeglądarki. Umieszcza się je w pliku konfiguracyjnym. W przypadku popularnych serwerów Apache jest to plik .htaccess.

 

Zastosowanie nagłówków X-Frame-Options daje kontrolę nad tym, czy strona może być osadzona w ramkach iframe, co pozwala zmniejszyć ryzyko przechwycenia kliknięć przez złośliwe strony udające daną witrynę.

 

Nagłówek X-Frame-Options może przyjąć jedną z trzech wartości:

 

• Deny – uniemożliwia umieszczenie strony w ramce.


• SameOrigin – umożliwia osadzenie strony w ramce wyłącznie na tej samej domenie.


• Allow-From [URL} – pozwala osadzić stronę w ramce tylko z określonego źródła.

 

Warto również stosować nagłówki Content-Security-Policy (CSP) definiujące zasady wyświetlania witryny w ramkach. Implementacja tego rozwiązania również wymaga dodania fragmentu kodu w pliku konfiguracyjnym serwera.

 

W przeciwieństwie do nagłówków X-Frame-Options CSP umożliwia ustawieniae różnych dyrektyw, które określają zasady ładowania określonych rodzajów zasobów. Za kontrolę osadzania witryny w ramkach odpowiada dyrektywa frame-ancestors. Opcja ta zapewnia większą elastyczność, która przydaje się przy bardziej rozbudowanych serwisach i złożonych systemach firmowych.

 

Nie mniej ważne od technicznych rozwiązań z zakresu cyberbezpieczeństwa jest podnoszenie świadomości cyberbezpieczeństwa wśród pracowników firmy. W ramach rozwiązań IT Security Netia zapewnia kompleksowe szkolenia dla pracowników, które zwiększają odporność całej organizacji na różne typy ataków hakerskich. Wszyscy w organizacji powinni wiedzieć nie tylko, co to jest clickjacking, ale też, co powinno wzbudzić ich niepokój, jak zachować się w sytuacji potencjalnego ataku i gdzie zgłosić cyberprzestępstwo.

 

Celami ataków mogą być wtyczki i rozszerzenia, dlatego należy je regularnie skanować w poszukiwaniu luk oraz aktualizować. W połączeniu z monitoringiem aktywności sieciowej i działaniami prowadzonymi przez Security Operations Center zapewnia to wysoki poziom ochrony przed clickjackingiem.

 

Skanować należy także całe aplikacje webowe – można do tego wykorzystać usługę Netia Managed Web Application Firewall. Dzięki filtrowaniu ruchu do i z aplikacji możliwe jest szybkie wychwycenie podejrzanej aktywności i zneutralizowanie zagrożenia. W ramach usługi specjaliści zajmują się też m.in. konfiguracją polityki bezpieczeństwa i wdrożeniem nagłówków chroniących przed clickjackingiem.