{"id":387366,"date":"2024-12-03T13:06:30","date_gmt":"2024-12-03T13:06:30","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=content_hub&#038;p=387366"},"modified":"2025-04-09T13:55:51","modified_gmt":"2025-04-09T13:55:51","slug":"cose-un-attacco-clickjacking","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cose-un-attacco-clickjacking\/","title":{"rendered":"Che cos&#8217;\u00e8 un attacco clickjacking?"},"content":{"rendered":"<p>Un\u00a0<strong>attacco clickjacking<\/strong>, a volte indicato semplicemente come &#8220;clickjacking&#8221;, \u00e8 un tipo di\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-un-cyberattacco\/\">attacco informatico<\/a>\u00a0che manipola gli utenti inducendoli a cliccare su un link dannoso, sia per scaricare\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-un-malware\/\">malware<\/a>, fornire informazioni di identificazione personale (<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cosa-sono-le-pii\/\">PII<\/a>), trasferire denaro o acquistare un prodotto online.<\/p>\n<div class=\"in-context-cta\"><p style=\"text-align: center;\">Proteggi i dati e la reputazione della tua organizzazione con NinjaOne.<\/p>\n<p style=\"text-align: center;\">\u2192\u00a0<a href=\"https:\/\/www.ninjaone.com\/building-a-security-first-reputation\/\">Scarica questa guida gratuita.<\/a><\/p>\n<\/div>\n<h2>Come funziona un attacco clickjacking?<\/h2>\n<p>In genere, un attacco clickjacking inizia visualizzando una pagina o un elemento HTML invisibile sullo schermo. Un\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-un-threat-actor\/\">criminale informatico<\/a>\u00a0utilizza pi\u00f9 strati trasparenti o opachi per ingannare gli utenti e farli cliccare su questo schermo invisibile anzich\u00e9 su quello previsto, con il risultato di un &#8220;dirottamento&#8221; del clic che ti porta su un&#8217;altra pagina. Anche se la maggior parte degli attacchi di clickjacking porta a una pagina dannosa, a volte possono essere utilizzati per indirizzare a un&#8217;altra pagina legittima che non volevi visitare. Alcuni esempi sono:<\/p>\n<ul>\n<li><strong>Likejacking:<\/strong>\u00a0Questo accade quando un malintenzionato utilizza il clickjacking su un pulsante &#8216;Mi piace&#8217; di Facebook, facendoti cliccare involontariamente su una pagina a quale non intendevi mettere mi piace.<\/li>\n<li><strong>Cursorjacking:<\/strong>\u00a0Si verifica quando la tua percezione della posizione del cursore \u00e8 diversa da quella reale. Questo si basa su alcune vulnerabilit\u00e0 di strumenti come Flash o il browser Firefox.<\/li>\n<\/ul>\n<p><em>Nota: Mentre il clickjacking pu\u00f2 inizialmente sembrare\u00a0<\/em><a href=\"https:\/\/www.ninjaone.com\/it-hub\/sicurezza-degli-endpoint\/what-is-spoofing\/\"><em>spoofing<\/em><\/a><em>, in cui un malintenzionato ricrea siti web per ingannare gli utenti e far loro credere che una pagina falsa sia una pagina legittima, l&#8217;attacco clickjacking \u00e8 molto pi\u00f9 sofisticato. La vittima di un clickjacking si trova di fronte al vero sito web di un&#8217;entit\u00e0 nota e legittima; tuttavia, un criminale informatico ha aggiunto un ulteriore strato invisibile al suo contenuto utilizzando varie tecnologie HTML.\u00a0<\/em><\/p>\n<h3>Il clickjacking nelle notizie<\/h3>\n<p>Poich\u00e9 l&#8217;attacco clickjacking non \u00e8 un &#8220;tipico&#8221; problema di\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-la-cybersecurity\/\">cybersecurity<\/a>\u00a0, la maggior parte delle persone non ne \u00e8 consapevole. Questo pu\u00f2 spiegare perch\u00e9 molti attacchi di clickjacking si sono verificati su Facebook, dove molti utenti tendono a cliccare su titoli provocatori senza prima valutarne la validit\u00e0.<\/p>\n<p>Ad esempio, in un recente articolo di\u00a0<a href=\"https:\/\/www.darkreading.com\/cyberattacks-data-breaches\/facebook-hit-with-clickjacking-attack\" target=\"_blank\" rel=\"noopener\">Dark Reading<\/a>\u00a0, \u00e8 stato notato un nuovo attacco worm clickjacking quando diversi utenti sono stati reindirizzati a una pagina dannosa dopo aver cliccato su un link che presumibilmente li avrebbe portati a &#8220;<em>101 donne pi\u00f9 sexy del mondo<\/em>&#8220;. Dopo aver cliccato su una foto dell&#8217;attrice Jessica Alba, gli utenti sono stati improvvisamente reindirizzati a un altro sito web completamente diverso e non correlato.<\/p>\n<p>Questo ha scatenato un altro enorme dibattito sul livello e sulla solidit\u00e0 della sicurezza di Facebook, in particolare per quanto riguarda il clickjacking, una questione che, curiosamente, \u00e8 in corso\u00a0<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/the-clickjacking-bug-that-facebook-wont-fix\/\" target=\"_blank\" rel=\"noopener\">dal 2018<\/a>.<\/p>\n<p>Tuttavia, probabilmente l&#8217;esempio pi\u00f9 famoso di attacco clickjacking \u00e8 stato l&#8217;incidente con la\u00a0<a href=\"https:\/\/github.com\/OWASP\/www-community\/blob\/master\/pages\/attacks\/Clickjacking.md\" target=\"_blank\" rel=\"noopener\">pagina delle impostazioni del plugin Adobe Flash.<\/a>\u00a0Secondo gli utenti, un attacco clickjacking li ha indotti a modificare accidentalmente le impostazioni di sicurezza di Flash, consentendo a criminali informatici di utilizzare il microfono e la fotocamera del proprio computer.<\/p>\n<h2>Protezione da un attacco clickjacking<\/h2>\n<p>\u00c8 importante notare che non esiste un modo infallibile per prevenire il clickjacking, ma ci sono strategie per ridurne il rischio nella tua rete IT.<\/p>\n<p>Il pi\u00f9 semplice \u00e8 utilizzare l&#8217;intestazione di risposta X-Frame-Options, che fa parte della risposta HTTP di una pagina web. L&#8217;intestazione X-Frame-Options indica se un browser pu\u00f2 rendere una pagina all&#8217;interno di un &lt;FRAME&gt; o &lt;IFRAME&gt;.<\/p>\n<p>Sono ammessi tre tipi di valori per l&#8217;intestazione X-Frame-Options:<\/p>\n<ul>\n<li>DENY: Questo non consente a nessun dominio di visualizzare una pagina all&#8217;interno di un frame.<\/li>\n<li>SAMEORIGIN: Consente di visualizzare la pagina corrente in un frame di un&#8217;altra pagina.<\/li>\n<li>ALLOW FROM URI: Consente di visualizzare la pagina corrente in un frame, ma solo in un URI specifico.<\/li>\n<\/ul>\n<p>Gli sviluppatori possono prevenire un attacco clickjacking utilizzando l&#8217;opzione SAMEORIGIN.<\/p>\n<p>Per determinare quale sia l&#8217;opzione pi\u00f9 adatta a te, ti consigliamo di verificare innanzitutto se il tuo sito \u00e8 vulnerabile al clickjacking seguendo i passaggi della\u00a0<a href=\"https:\/\/cheatsheetseries.owasp.org\/cheatsheets\/Clickjacking_Defense_Cheat_Sheet.html#Defending_with_X-Frame-Options_Response_Headers\" target=\"_blank\" rel=\"noopener\">OWASP Testing Guide<\/a>.<\/p>\n<h2>Come pu\u00f2 contribuire NinjaOne a ridurre il rischio di clickjacking<\/h2>\n<p><a href=\"https:\/\/www.ninjaone.com\/it\/ransomware\/\">NinjaOne Protect<\/a>\u00a0\u00e8 un software all-in-one per la protezione, la risposta e il recupero dai ransomware. Va oltre l&#8217;antivirus tradizionale e fornisce uno strumento olistico e completo per difendere i tuoi ambienti gestiti e migliorare la tua velocit\u00e0 di risposta e la resilienza.<\/p>\n<p>Se sei pronto, richiedi un \u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/prezzi-per-dispositivo\/\">preventivo gratuito<\/a>, iscriviti a una \u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/prova-gratuita\/\">prova gratuita<\/a> di 14 giorni o \u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/demo-gratuita\/\">guarda una demo<\/a>.<\/p>\n","protected":false},"author":152,"featured_media":0,"parent":0,"template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"hub_categories":[4186],"class_list":["post-387366","content_hub","type-content_hub","status-publish","hentry","content_hub_category-sicurezza-degli-endpoint"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/content_hub\/387366","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/content_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/content_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/152"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=387366"}],"wp:term":[{"taxonomy":"content_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/hub_categories?post=387366"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}