E’ conosciuta con l’appellativo di “clickjacking” quella particolare tecnica sfruttando la quale un aggressore, durante la normale “navigazione” all’interno di una pagina web, mira a reindirizzare i clic dell’utente verso un altro oggetto, diverso dall’elemento sul quale è stato portato il puntatore del mouse. La pratica, già nota da tempo, sta divenendo molto di moda nell’ultimo periodo ed è utilizzata per indurre i “malcapitati” a “pubblicizzare” inconsapevolmente siti web contenenti malware.
Particolarmente bersagliati sono gli utenti di Facebook: coloro che fanno leva sulla pratica fraudolenta del “clickjacking”, infatti, vedono nel social network un ottimo strumento per “accalappiare” nuove vittime. Se i vostri amici, su Facebook, sembrano “pubblicizzare” strani video o contenuti di dubbia natura, è altamente probabile che siano caduti nella trappola.
Il codice utilizzato per mettere in atto attacchi “clickjacking” è tanto semplice quanto efficace. Generalmente viene fatto uso, innanzi tutto, di codice JavaScript “offuscato” e di un IFRAME che viene reso completamente invisibile inserendolo all’interno di una tag DIV (essa impiega tutte le possibili combinazioni di parametri per rendere l’IFRAME nascosto su tutti i browser web in circolazione).
L’IFRAME punta, a sua volta, al classico ed assolutamente legittimo plug-in “Like” di Facebook. Il parametro “href
” dello script che sovrintende il funzionamento di tale plug-in viene però impostato in modo tale da fare riferimento alla pagina web maligna che l’aggressore intende “pubblicizzare”.
Un secondo codice JavaScript, sempre offuscato, compie il resto del “lavoro sporco”: un apposito “event handler” controlla i movimenti del mouse e sposta l’IFRAME nascosto seguendone pedissequamente il puntatore. Cliccando in un qualunque punto della pagina, quindi, l’utente verrebbe a fare clic – inconsapevolmente – sul pulsante “Like” o “Mi piace” nascosto pubblicando così, automaticamente, il suo gradimento per la pagina dal contenuto maligno all’interno della propria bacheca Facebook.
L’aggressione prende di mira gli utenti che “navigano” sul web restando sempre “loggati” su Facebook.
Trappole come quella sin qui illustrata possono essere facilmente smascherate utilizzando, ad esempio, nel caso di Mozilla Firefox, un’estensione come “Web Developer“.