ALLERTA PERICOLI INFORMATICI Podcast articoli da ascoltare

ATTENTI AL CLICKJACKING : UN CLICK SU UN ELEMENTO NASCOSTO DI UNA PAGINA CHE ESEGUE UNO SCRIPT DANNOSO

ATTENTI AL CLICKJACKING : UN CLICK SU UN ELEMENTO NASCOSTO DI UNA PAGINA CHE ESEGUE UNO SCRIPT DANNOSO
Written by gestore

Allerta Pericoli Informatici sui Social :
allerta pericoli informatici su facebookallerta pericoli informatici su linkedinallerta pericoli informatici su twitterallerta pericoli informatici su pinterestallerta pericoli informatici su itunes podcast allerta pericoli informatici su telegramallerta pericoli informatici su google newsallerta pericoli informatici su flickr

APP 1 : Allerta Pericoli Informatici
Google Play
Apple Store
APP 2 : AiutamiSi ( tanti servizi gratuiti )
Google Play
Apple Store

Un metodo per ingannare gli utenti del sito web posizionando uno strato trasparente con elementi attivi sul contenuto principale di una pagina. Pensando di fare clic su un pulsante o su un collegamento su un sito legittimo, l’utente può eseguire inavvertitamente uno script dannoso che esegue un’azione del crimine informatico, come un reindirizzamento a un altro indirizzo. Se il truffatore pone una finestra di dialogo invisibile sopra un modulo di accesso, può rubare le credenziali inserite dagli utenti.

Il clickjacking è un attacco che induce un utente a fare clic su un elemento di una pagina Web invisibile o camuffato da un altro elemento. Ciò può indurre gli utenti a scaricare involontariamente malware, visitare pagine Web dannose, fornire credenziali o informazioni sensibili, trasferire denaro o acquistare prodotti online.

Intermezzo promozionale ... continua la lettura dopo il box:

In genere, il clickjacking viene eseguito visualizzando una pagina invisibile o un elemento HTML, all’interno di un iframe, nella parte superiore della pagina visualizzata dall’utente. L’utente crede di fare clic sulla pagina visibile ma in realtà sta facendo clic su un elemento invisibile nella pagina aggiuntiva trasposta sopra di essa.

La pagina invisibile potrebbe essere una pagina dannosa o una pagina legittima che l’utente non intendeva visitare, ad esempio una pagina sul sito bancario dell’utente che autorizza il trasferimento di denaro.

Esistono diverse varianti dell’attacco clickjacking, come ad esempio:

  • Likejacking  – una tecnica in cui il pulsante “Mi piace” di Facebook viene manipolato, facendo sì che gli utenti facciano “Mi piace” su una pagina che in realtà non intendevano gradire.
  • Cursorjacking  : una tecnica di correzione dell’interfaccia utente che cambia il cursore per la posizione che l’utente percepisce in un’altra posizione. Il Cursorjacking si basa sulle vulnerabilità di Flash e del browser Firefox, che ora sono state risolte.

Esempio di attacco di clickjacking

  1. L’aggressore crea una pagina attraente che promette di offrire all’utente un viaggio gratuito a Praga.
  2. In background l’attaccante verifica se l’utente è loggato nel proprio sito bancario e in tal caso carica la schermata che consente il trasferimento di fondi, utilizzando i parametri di query per inserire nel form le coordinate bancarie dell’aggressore.
  3. La pagina del bonifico bancario viene visualizzata in un iframe invisibile sopra la pagina del regalo gratuito, con il pulsante “Conferma trasferimento” esattamente allineato sul pulsante “Ricevi regalo” visibile all’utente.
  4. L’utente visita la pagina e fa clic sul pulsante “Prenota il mio viaggio gratuito”.
  5. In realtà l’utente sta facendo clic sull’iframe invisibile e ha fatto clic sul pulsante “Conferma trasferimento”. I fondi vengono trasferiti all’attaccante.
  6. L’utente viene reindirizzato a una pagina con informazioni sul regalo gratuito (non sapendo cosa è successo in background).

Quali browser ne sono affetti 
Tutti. Questa vulnerabilità deriva dal modo in cui è strutturato e gestito il tag IFRAME e dal modo in cui è stata progettata una parte degli standard del World Wide Web (HTML, Javascript, etc.). Di conseguenza, questo problema riguarda tutti i browser correntemente in uso.

Come fronteggiare il problema ? si possono limitare i rischi disabilitando l’interprete Javascript del browser e disabilitando la gestione del tag IFRAME.  Ad esempio Remove iFrame è una estensione per chrome che ci aiuta in questo [ click qui ]

ANALISI DEI RISCHI INFORMATICI : ELENCO DI TUTTE LE PRINCIPALI MINACCE DELLA RETE

Consulta il glossario dei pericoli informatici che tutti dovrebbero conoscere [ click qui ]

————-

Informatica in Azienda diretta dal Dott. Emanuel Celano

Rss Feeds:

Pubblica anteprima dei nostri articoli sul tuo sito :

  Inserisci questo codice per mostrare anteprima dei nostri articoli nel tuo sito e proteggi i tuoi navigatori dai rischi informatici

Alcuni dei Nostri Servizi più richiesti :

Copia Autentica Pagina Web

Copia Autentica Pagina Web

Il nostro studio fornisce un servizio professionale di autenticazione o copia conforme con valore legale di una pagina web o di una pagina di un social network per ogni tipo di contenuto ( testi, immagini, commenti, video, audio, tag ... ) che viene acquisito in modalità forense.

MONITORAGGIO DELLA REPUTAZIONE ONLINE PERSONALE E AZIENDALE

La nostra società è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale.

Denuncia per diffamazione su internet o sui social

Il nostro studio fornisce un servizio professionale di supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet o sui social network

Estorsione o ricatto sessuale online : cosa fare e cosa non fare

Il nostro studio fornisce un servizio professionale con assistenza legale nei casi di estersione o ricatti online

Servizio professionale per la rimozione di recensioni negative

Il nostro studio fornisce un servizio professionale anche di supporto legale per la rimozioni di recensioni online negative, offensive o comunque inappropriate (recensioni negative su tripadvisor, google ...)

Certificazione Chat WhatsApp anche da Remoto

La certificazione di una chat WhatsApp che conferisce ad un messaggio ricevuto il valore di una prova legale, può essere eseguita anche da remoto da uno studio di informatica forense ( ricordiamo che uno screenshot non è ritenuto una prova valida ai fini legali ).