E’ conosciuta con l’appellativo di “clickjacking” quella particolare tecnica sfruttando la quale un aggressore, durante la normale “navigazione” all’interno di una pagina web, mira a reindirizzare i clic dell’utente verso un altro oggetto, diverso dall’elemento sul quale era stato portato il puntatore del mouse.
L'”Internet Storm Center” (ISC) ha lanciato l’allarme: la pratica sta divenendo molto di moda nell’ultimo periodo ed è utilizzata per indurre i “malcapitati” a “pubblicizzare” inconsapevolmente siti web contenenti malware. Particolarmente bersagliati sono gli utenti di Facebook: coloro che fanno leva sulla pratica fraudolenta del “clickjacking”, infatti, vedono nel social network un ottimo strumento per “accalappiare” nuove vittime.
Il codice d’esempio individuato sul web da ISC è tanto semplice quanto efficace. L’attacco fa uso, innanzi tutto di codice JavaScript offuscato e di un IFRAME che viene reso completamente invisibile inserendolo all’interno di una tag DIV (essa impiega tutte le possibili combinazioni di parametri per rendere l’IFRAME nascosto su tutti i browser web in circolazione).
L’IFRAME punta, a sua volta, al classico ed assolutamente legittimo plug-in “Like” di Facebook. Il parametro “href” dello script che sovrintende il funzionamento di tale plug-in viene però impostato in modo tale da fare riferimento alla pagina web maligna che l’aggressore intende “pubblicizzare”.
Un secondo codice JavaScript, sempre offuscato, compie il resto del “lavoro sporco”: un apposito “event handler” controlla i movimenti del mouse e sposta l’IFRAME nascosto seguendone pedissequamente il puntatore. Cliccando in un qualunque punto della pagina, quindi, l’utente verrebbe a cliccare – inconsapevolmente – il pulsante “Like” o “Mi piace” di Facebook pubblicando così, automaticamente, il suo gradimento per la pagina dal contenuto maligno all’interno della propria bacheca sul social network.
Una volta conclusa l’operazione, viene modificato il valore di un’apposita variabile e non viene così più richiamata la funzione JavaScript che “segue” il movimento del puntatore.
L’aggressione prende di mira gli utenti che “navigano” sul web restando sempre “loggati” a Facebook.