Proteggiti dagli attacchi DOM-Clickjacking: uno sguardo ai gestori di password più vulnerabili

Proteggiti dagli attacchi DOM-Clickjacking: uno sguardo ai gestori di password più vulnerabili

I gestori di password sono progettati per proteggere le password e i dati sensibili, ma possono anche essere sfruttati, consentendo agli aggressori di accedere a queste informazioni. Un metodo di clickjacking basato su DOM di recente scoperta può indurre alcuni gestori di password a compilare automaticamente le credenziali in moduli dannosi. Di seguito, approfondiamo il funzionamento di questo attacco e come è possibile rafforzare le difese.

Comprendere la vulnerabilità dei gestori di password

Recenti scoperte evidenziano un exploit del Document Object Model (DOM) che facilita una variante del clickjacking, consentendo ai malintenzionati di attivare furtivamente la funzione di compilazione automatica dei gestori di password. Ciò può portare al furto di dati sensibili, come password, codici TOTP/2FA e informazioni sulle carte di credito. La meccanica di questo attacco si sviluppa come segue:

  • L’utente atterra su una pagina web controllata dall’aggressore, che presenta un elemento apparentemente innocuo su cui è possibile cliccare, ad esempio un banner di consenso ai cookie o un pulsante di chiusura pop-up.
  • Utilizzando trucchi di visibilità DOM, l’aggressore posiziona un modulo invisibile sopra l’elemento cliccabile legittimo impostando opacity:0.
  • Cliccando, il gestore delle password dell’utente popola automaticamente il modulo nascosto con le credenziali salvate, consentendo ai criminali informatici di catturarle.

L’intera operazione avviene in modo silenzioso, spesso senza che l’utente si accorga che le sue informazioni sono state compromesse. Un recente studio ha valutato 11 importanti gestori di password, suggerendo che la maggior parte di quelli con funzionalità di compilazione automatica sono vulnerabili. In risposta a queste scoperte, diversi gestori di password hanno rilasciato aggiornamenti che incorporano una richiesta di conferma per la compilazione automatica, ma molti rimangono ancora a rischio.

Tuttavia, la maggior parte di queste patch funziona come soluzione temporanea che non risolve il problema di fondo, radicato nei processi di rendering delle pagine web dei browser. Come evidenziato da 1Password, “il problema principale risiede nel modo in cui i browser visualizzano le pagine web; riteniamo che una soluzione tecnica completa non possa essere fornita esclusivamente dalle estensioni del browser”.

Per mitigare i rischi associati agli attacchi di clickjacking, oltre a mantenere aggiornata l’estensione del gestore delle password, è opportuno prendere in considerazione le seguenti best practice.

Disattiva il riempimento automatico nel tuo gestore password

Poiché il riempimento automatico è la funzionalità principale sfruttata in questi attacchi, disattivarla può migliorare significativamente la sicurezza. Invece di compilare automaticamente i campi, sarà necessario compilarli manualmente cliccando su un pulsante apposito quando necessario.

Disabilitare il riempimento automatico in 1Password

Per disattivare il riempimento automatico, accedi alle impostazioni dell’estensione del gestore password e individua l’interruttore nella sezione Riempimento automatico e salvataggio. Disattiva il riempimento automatico al momento del focus per evitare l’inserimento automatico.

Configurare le estensioni per l’accesso tramite clic o specifico del sito

La maggior parte dei browser consente di configurare le estensioni in modo che si attivino esclusivamente su determinati siti web o solo tramite attivazione manuale tramite l’icona dell’estensione. Impostando questi parametri, è possibile proteggersi efficacemente da azioni di compilazione automatica indesiderate su siti destinati alla navigazione generica.

Visita la pagina Estensioni del tuo browser, quindi accedi ai dettagli del tuo gestore password. Cerca la sezione Accesso al sito, in genere impostata su “Su tutti i siti” per impostazione predefinita. Modificala in ” Al clic” o specifica determinati siti a tua scelta. Selezionando ” Al clic” l’attivazione viene limitata al clic sull’icona, mentre ” Su siti specifici ” la abilita solo su siti web predefiniti.

Abilitazione delle autorizzazioni del sito "Al clic nel browser"

Scegli app desktop o mobili invece di estensioni del browser

Poiché gli attacchi di clickjacking si concentrano principalmente sulle estensioni del browser, sfruttare le applicazioni desktop o mobile native del tuo gestore di password può ridurre la tua vulnerabilità. Queste applicazioni in genere offrono opzioni di ricerca e copia intuitive per semplificare i processi di inserimento manuale.

Quando accedi a una pagina di login, cerca semplicemente le tue credenziali nell’app di gestione delle password e usa la funzione di copia per facilitarne l’inserimento.

Utilizzare un’estensione di blocco degli script

Molti attacchi di clickjacking si basano in larga misura sugli script in esecuzione sulla pagina web, rendendo gli script blocker una linea di difesa efficace. Sebbene il blocco di JavaScript possa contrastare questi attacchi, consigliamo un approccio più ampio, bloccando tutti gli script sui domini non attendibili per una sicurezza ottimale.

Estensione NoScript su maketecheasier.com

NoScript è un’estensione robusta che soddisfa questa esigenza, disponibile sia per Chrome che per Firefox. Blocca automaticamente varie forme di script attivi, incluso JavaScript, consentendo di abilitare selettivamente gli script sui siti attendibili.

Suggerimento bonus: migliora la sicurezza dell’account

Per proteggersi dal furto di credenziali, è fondamentale implementare una misura di sicurezza aggiuntiva. L’autenticazione a due fattori (2FA) è altamente raccomandata; tuttavia, è consigliabile affidarsi a un metodo 2FA affidabile, che vada oltre la semplice verifica tramite SMS, spesso compromessa. TOTP è un buon punto di partenza, ma è necessario assicurarsi che l’app di autenticazione si trovi su un dispositivo diverso. Inoltre, si consiglia di utilizzare passkey o chiavi di sicurezza hardware per una protezione ancora più efficace.

Per limitare potenziali vulnerabilità, evita di affidarti eccessivamente a soluzioni di accesso automatico. Sebbene possa richiedere passaggi aggiuntivi, questo piccolo inconveniente aumenta notevolmente la tua sicurezza, soprattutto se memorizzi molte informazioni sensibili nel tuo gestore di password.

Fonte e immagini

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *