Esta es una gran pregunta porque ambos ataques son formas de hacer que un usuario haga algo diferente de lo que esperaban hacer, pero se ejecutan de maneras muy diferentes.
Clickjacking
Clickjacking funciona así: ¿Sabes cuándo estás en un sitio web y muestra la ubicación de algo en un mapa de Google? Esto se debe a que el sitio web en el que se encuentra también carga una página de Google Maps dentro de sí mismo. Entonces estás en random-restaurant.com, que está cargando maps.google.com dentro de sí mismo, esto se llama iframe . En Clickjacking, el sitio web malicioso hace lo mismo, pero carga una página web como bankofamerica.com. Esto puede ser peligroso porque no tienen que mostrarle toda la página web en el iframe.
- ¿Qué es Siperian Hub Security Services?
- Cómo eliminar el malware FlashMall
- ¿Cuáles son actualmente las áreas de investigación más activas en el campo de la seguridad de la información, la informática y la seguridad de la red?
- ¿Cómo funciona la suplantación de llamadas?
- ¿Cuál es la ventaja de una aplicación de detección de virus?
Aquí hay un ejemplo de cómo podría funcionar: vaya a un sitio web para descargar la película Despicable Me. En la página web, muestra la portada de la película, información sobre los actores que contiene, y luego tiene un botón “Transferir” para descargar la película a su computadora. Sin embargo, en realidad han cargado en secreto el sitio web de Bank of America en un iframe, abrieron una página de Transferir dinero, escribieron $ 1,000 y luego solo le muestran el botón “Transferir” en la parte inferior del formulario de Bank of America. Crees que vas a descargar una película, pero en realidad estás transfiriéndoles $ 1,000.
Ahora, con el tiempo, los navegadores han mejorado mucho para prevenirlo. Hay tres cosas que hacen que este ataque sea mucho más difícil de llevar a cabo en los navegadores modernos:
- Solía ser posible hacer que los iframes fueran transparentes, por lo que ni siquiera tenían que mostrar un botón real. Pensaría que estaba haciendo clic en la página, pero en realidad estaba haciendo clic en un botón invisible en una página diferente. La mayoría de los navegadores ya no permiten eso.
- Los navegadores solían mantenerlo conectado entre su navegación habitual y los iframes; por lo tanto, si inició sesión en Bank of America, aún estaría conectado en el iframe. Ahora, hacen un mejor trabajo al mantener los inicios de sesión separados, por lo que ahora necesitará escribir su contraseña BofA en el sitio antes de que este ataque funcione.
- Los sitios web pueden optar por restringir la forma en que se cargan y no permitir iframes, por lo que si no tiene sentido que una página sea cargada por otro sitio web, el desarrollador puede evitar que eso suceda.
Suplantación de identidad
La suplantación de identidad es cuando un sitio web pretende ser un sitio web diferente. Aquí, el sitio web real no se está cargando en absoluto, pero el sitio web malicioso está diseñado para parecerse al sitio web real. Cuando visita, el sitio web malicioso busca obtener información suya que normalmente solo daría al sitio legítimo, como su contraseña o información de tarjeta de crédito.
Por ejemplo, puede recibir un correo electrónico de [correo electrónico protegido] diciéndole que necesita restablecer su contraseña. Cuando hace clic en el enlace del correo electrónico, lo lleva a bankofamericasupport.com, que se parece al sitio web de Bank of America, pero que en realidad es un sitio web malicioso. Le solicita su contraseña actual de Bank of America, que ingresa, pensando que este es el verdadero sitio web de Bank of America. El sitio web malicioso ahora tiene su nombre de usuario y contraseña reales, para que puedan hacerse cargo de su cuenta de Bank of America.
TL; DR
Clickjacking es cuando estás en un sitio web, pero carga secretamente otro sitio web para convencerte de que tomes alguna acción no deseada en el sitio legítimo.
La suplantación de identidad se produce cuando se encuentra en un sitio web, pero pretende ser un sitio web diferente para lograr que entregue información que solo le daría al sitio legítimo.