Cos'è il Pastejacking? Perché non dovresti copiare incollare dal web?

Il metodo più semplice per ottenere qualsiasi testo e immagine da un sito Web è selezionarlo, copiarlo utilizzando i CTRL+C e quindi incollarlo utilizzando CTRL+V . Cosa succede se il materiale incollato non è quello che hai copiato dal sito web? Sicuramente copierai e incollerai di nuovo e i risultati potrebbero essere gli stessi. È rischioso e parleremo del perché.

Un rapido esempio è copiare un comando da un sito Web e incollarlo sulla console. Si scopre che il comando è stato modificato e questo danneggia i tuoi dati. C'è qualcosa che non va nel modo in cui copi incolla? O è qualcosa di dannoso? Questo articolo parla di cos'è il Pastejacking : l'arte di cambiare ciò che copi dalle pagine web.

pastorizzazione

Cos'è il Pastejacking

Quasi tutti i browser consentono ai siti Web di eseguire comandi sui computer degli utenti. Questa funzione può consentire a siti Web dannosi di prendere il controllo degli appunti dei tuoi computer. Cioè, quando copi qualcosa e lo incolli negli appunti, il sito Web può eseguire uno o più comandi utilizzando il tuo browser. Il metodo può essere utilizzato per modificare il contenuto degli Appunti . Anche se potrebbe non essere molto pericoloso se stai semplicemente copiando su Blocco note(Notepad) o Word , ecc., potrebbe essere un problema per il tuo computer se incolli qualcosa direttamente nel prompt dei comandi(Command Prompt) .

I siti Web eseguono comandi quando l'utente esegue qualcosa di specifico, ad esempio quando si preme un tasto specifico o si fa clic con il pulsante destro del mouse. Quando premi CTRL+C sulla tastiera, si attiva la modalità di comando del sito web. Dopo una piccola attesa, diciamo 800 ms, incolla qualcosa di dannoso negli appunti. L'attesa è di farti usare CTRL+V per incollare il testo originale che hai copiato. Alcuni siti Web possono tenere traccia di CTRL+V e utilizzarlo per attivare un comando che modifica il contenuto degli appunti.

Possono anche tenere traccia dei movimenti del mouse. Se non usi la tastiera ma invece, usa il menu contestuale per copiare, anche loro possono attivare comandi per sostituire il contenuto degli appunti.

In breve, Pastejacking è un metodo che i siti Web dannosi utilizzano per prendere il controllo degli appunti dei tuoi computer e modificarne il contenuto in qualcosa di dannoso a tua insaputa.(In short, Pastejacking is a method that malicious websites employ to take control of your computers’ clipboard and change its content to something harmful without your knowledge.)

Perché il Pastejacking è dannoso

Si supponga(Suppose) di copiare e incollare da un sito Web a Microsoft Word . Quando premi CTRL+C o CTRL+V , il sito Web inserisce pochi comandi negli appunti che possono creare ed eseguire macro dannose.

Peggio è quando incolli il contenuto direttamente su una console come PowerShell o la finestra del prompt dei comandi . (Command Prompt)Gli utenti Mac(Mac) hanno una certa sicurezza se utilizzano iTerm . È un'emulazione che consente agli utenti Mac di sostituire la console predefinita. Quando si utilizza iTerm, chiede agli utenti se desiderano davvero incollare qualcosa che contiene il carattere "newline". Gli utenti possono quindi selezionare "Sì" o "No" a seconda di ciò che stanno facendo.

Il carattere Newline(Newline character) è in realtà la metà del tasto Invio(Enter) . Il tasto Invio(Enter) è rappresentato, generalmente da una freccia che sembra provenire da una riga superiore a una riga inferiore e poi a sinistra. Il tasto Invio(Enter) è una combinazione di Newline (passa alla riga successiva) e Return (leggi "ritorno a capo alla posizione più a sinistra x,0" come nelle macchine da scrivere). Quando si preme il tasto Invio(Enter) , viene eseguito qualsiasi comando su quella riga della console. La richiesta di conferma dipende dalla console.

Il prompt dei comandi di Windows non chiede conferma nel caso della maggior parte dei comandi. Chiede conferma solo nel caso si utilizzi un comando DEL o FORMAT . Per comandi come RENAME ecc., non chiederà conferma. Non ho usato molto Powershell , quindi non so come vengono accettati i comandi lì.

In ogni caso, se il sito Web inserisce comandi negli appunti con il tasto Invio(Enter) ( /n/r dove /n è una nuova riga e /r è il ritorno a capo), la console o qualsiasi applicazione programmabile esegue direttamente i comandi. Se questi comandi sono dannosi, possono creare scompiglio sulla macchina e sulla rete.

Leggi: Impronte digitali del traffico del sito web(Website Traffic Fingerprinting) .

Come evitare il Pastejacking

Se sei un OS X , puoi usare l'emulatore iTerm per sicurezza. Ti verrà chiesto nel caso in cui il pastejacking avvenga con il set di caratteri Enter già aggiunto.(Enter)

Gli utenti Windows(Windows) devono controllare cosa è stato inserito negli appunti dei tuoi computer. Per fare ciò, prima incolla il contenuto nel Blocco note(Notepad) . Incolla gli appunti solo come testo e ti consente di vedere cosa c'è negli appunti. Se vedi cosa hai copiato, puoi andare avanti e incollarlo dove vuoi. Significa un passaggio aggiuntivo, ma è meglio che ottenere Pastejacked . Ricorda(Remember) che l'uso di Word per controllare gli appunti può essere pericoloso in quanto anch'esso è programmabile utilizzando macro ecc.

Ricorda(Remember) che l'uso di Word per controllare gli appunti può essere pericoloso in quanto anch'esso è programmabile utilizzando macro, ecc. Blocco note(Notepad) non è programmabile e quindi è sicuro controllare il contenuto degli appunti. Ovviamente, non vedrai il formato, i caratteri e gli stili, ecc. poiché i contenuti vengono incollati come testo normale.

Per le immagini, anche se non ne sono sicuro, penso che fare clic con il pulsante destro del mouse e selezionare " Salva con nome...(Save As…) " sia meglio che usare il comando " Copia ".(Copy)

Leggi anche: (Also read:) Furto di dati negli Appunti – Rafforza le impostazioni di sicurezza in Internet Explorer .



Azzurra Ferrara

About the author

Sono un software engineer con oltre 10 anni di esperienza nel campo dell'ingegneria Windows. Sono specializzato nello sviluppo di applicazioni basate su Windows, nonché di driver hardware e audio per il sistema operativo Windows di nuova generazione di Microsoft, Windows 11. La mia esperienza nella creazione di app per Windows mi rende una risorsa particolarmente preziosa per qualsiasi azienda che desideri sviluppare prodotti tecnologici innovativi.


Related posts