Menu Fermer

Clickjacking : les fraudes et détournement au clic

Clickjacking est une technique d’attaque WEB qui vise à voler les clics des utilisateurs.
Le but est de tromper l’internaute afin de le faire cliquer sur un élément non souhaité.

Cet article vous explique ce qu’est le Clickjacking, comment cela fonctionne.
Enfin quel est le but de ces attaques.

Clickjacking : les fraudes et détournement au clic

Qu’est-ce que le Clickjacking ?

Le mot Clickjacking est la concaténation de click et hijacking.
En français on peut traduite par détournement par clic.
Elle vise à voler et obtenir des clics sans le consentement de l’utilisateur.

En effet sur Internet, les géants du WEB se font la guerre.
Ces derniers se livrent des guerres pour obtenir les avis des internautes, des clics sur les publicités, etc.

Les attaques par Clickjacking visent à obtenir des clics des internautes en les trompant.
On peut par exemple les faire cliquer sur une publicité ou donner la note d’un article (nombre d’étoiles) sans que ce dernier ne le sache.

Les auteurs de ces attaques peuvent donc gagner de l’argent en volant des clics.
Cela rejoint des attaques de type AdFraud (Advertisement Fraud) qui visent les réseaux publicitaires.
Rappelons que ces derniers fonctionnent par du PPC (Pay Per Click).
Ainsi le diffuseur gagne de l’argent sur le nombre de clic sur les publicités.

Enfin le Clickjacking peut se diviser en sous-catégories :

  • Classique : l’attaque se fait à travers le navigateur WEB.
  • LikeJacking : vise à obtenir des clics sur les boutons j’aime Facebook ou autres réseaux sociaux.
  • Cursorjacking : manipuler l’apparence et l’emplacement du curseur de la souris
  • Cookiejacking : obtenir les cookies d’un site dans le navigateur WEB. Cela peut permettre de s’authentifier sur un site, manipuler le caddy d’achat, etc.
  • Password manager attack : Utilise une vulnérabilité lors de la saisie du formulaire du mot de passe navigateur internet.

Ainsi cette attaque n’infecte pas votre ordinateur ou navigateur WEB.
Simplement on utilise ce dernier pour des procédés de fraudes.

Comment fonctionne le Clickjacking ?

Il existe bien entendu plusieurs méthodes.
La plus utilisé est la superposition de fenêtre (iframe) sur un même site.
L’utilisateur pense cliquer sur un bouton alors qu’il s’agit en réalité d’un bouton d’un autre site.

La méthode la plus utilisée est de proposer la lecture d’une vidéo.
Pour lancer la vidéo, un bouton play est présente.
Lorsque l’utilisateur pense cliquer sur ce dernier, il va en réalité cliquer sur une publicité.
L’auteur gagne alors de l’argent.

Comment fonctionne le Clickjacking ?
Source: securityboulevard.com

Les sites de streaming illégaux usent beaucoup du Clickjacking.

Dans cet autre exemple imaginaire, on utilise une iframe avec une opacité basse.
On affiche alors un message qui attire l’attention comme par exemple “vous avez gagné un prix”.
Cette fenêtre est superposée au bouton acheter.
En cliquant sur le bouton vert, il va en réalité cliquer sur le bouton acheter.

ClickJacking et superposition de fenêtres
Source: securityboulevard.com

Enfin dans le même style, Malwarebytes avait rapporté une campagne de Clickjacking visant Google Adsence.
Les auteurs s’arrangeaient pour que des publicités de Google invisible s’affiche par dessus les demandes de confirmation de cookies.
Lorsque l’internaute clic pour accepter ou non les cookies, en réalité, il clic sur la publicité invisible.

Clickjacking sur Facebook

En général le Clickjacking s’appuie sur un bug ou une mauvaise conception du site.
Ainsi en Décembre 2018, Facebook était vulnérable à une attaque Clickjacking : How I accidentally found a clickjacking “feature” in Facebook
Ce bug a permis de publier du contenu sur le mur des utilisateurs.
Il s’agit donc d’une campagne de SPAM.

Voici comment se déroule ce dernier :

  • L’internaute clic sur un lien depuis Facebook. Ce lien mène à une page avec une BD et plein de publicités.
  • Pour pouvoir arriver à cette page, l’internaute doit confirmer qu’il a plus de 16 ans.
  • Lorsque l’internaute clic sur Oui, le message avec le lien est alors posté sur son mur.
Clickjacking sur Facebook

L’auteur de la campagne de spam gagne de l’argent avec les publicités qui s’ouvrent sur la page de la BD.

Le bouton Oui contient une iframe avec le bouton de partage de Facebook.
Ainsi lorsque l’on clic sur Oui, c’est comme si on cliquait sur le bouton Partage de Facebook.
Bien sûr, il existe des protections sur Facebook pour éviter ce type de clic.
En effet, l’attaque ne fonctionnait que sur les appareils mobiles.
Cela provient du fait que le navigateur Facebook ignorait certains composants de sécurité.

Trafic malveillant

On peut aussi aller plus loin en utilisant des malwares afin de rediriger les internautes vers du trafic ou falsifier les pages WEB.

Malwarebytes a détaillé une campagne de Clickjacking : Clickjacking campaign abuses Google Adsense, avoids ad fraud bots.

Voici le procédé utilisée :

  • Les auteurs créés de faux blogs avec des publicités Google.
  • Les internautes sont redirigés vers ces derniers à partir de redirections malveillantes sur les recherches Google, malwares ou autres publicités.
  • Au moment d’arriver sur le faux blogs, une vidéo pour adulte s’affiche. L’internaute doit cliquer sur le bouton lecture pour lancer.
  • En réalité, son clic va cliquer sur les pubs Google du faux blog.
  • Les auteurs de la campagne de Clickjacking gagnent de l’argent avec les clics sur les pubs.

Comment se protéger du Clickjacking ?

Il existe des extensions à adjoindre au navigateur WEB afin de s’en protéger.
La plus connus est NoScript.

Il en existe d’autres :

  • NoClickjack
  • GuardedID

Maintenant, il ne faut pas non plus tomber dans la paranoïa.
Cela ne nécessite pas forcément l’installation d’une extension particulière.
De plus, bloquer les publicités et trackers permet de limiter ces attaques.

Mais surtout pour sécuriser son PC, suivre ce tutoriel :