March 20
Un attacco di clickjacking, noto anche come un attacco di risarcimento interfaccia utente (UI), si verifica quando un aggressore tenta di dirottare i clic del mouse del computer per eseguire le azioni che l'utente non aveva l'intenzione. In sostanza, un utente crede interagisce con la pagina Web visualizzata sullo schermo del computer, ma le sue azioni sono in realtà eseguita su un'altra pagina web selezionata dal dirottatore.
Clickjacking attacchi sfruttano una proprietà Hypertext Markup Language (HTML), noto come frame in linea o iFrame. iFrame permette un documento HTML da incorporare, all'interno di una cornice, in un altro documento HTML. Un utente malintenzionato può caricare una pagina maligno in un iFrame e utilizzare i fogli di stile (CSS) per nascondere tutto tranne la regione della pagina su cui vuole gli utenti a fare clic.
Un tipico attacco clickjacking utilizza due, iframe nidificati. Il iFrame esterno è il più piccolo dei due e agisce come una finestra sul iFrame interna, mentre il iFrame interna deve essere abbastanza grande che la regione di destinazione, o elemento, è "visibile" senza scorrere. Il linguaggio di scripting noto come JavaScript può essere utilizzato per creare un invisibile, iFrame in movimento, che si posiziona sotto il cursore del mouse, in modo che l'utente fa clic sul target indipendentemente da dove fa clic sulla pagina; in questo caso, l'iFrame esterno può essere solo 10 o 20 pixel quadrati.
attacchi clickjacking funzionano su tutti i sistemi operativi dei computer, ma, finora, sono stati utilizzati solo per creare un fastidio sui siti di social networking, come Facebook e Twitter. Gli utenti di Facebook, ad esempio, possono vedere i link ai soggetti che i loro amici hanno apparentemente "voluto". I collegamenti, tuttavia, sono del tutto spuria e, di fatto, reindirizzare gli utenti a una pagina contenente una certa istruzione, come ad esempio fare clic su un pulsante di conferma siamo più di 18 anni di età. Quello che gli utenti stanno realmente facendo, però, si cliccando su un invisibile "Mi piace", in modo che anche loro, suggeriscono alla pagina dannoso.
attacchi clickjacking potrebbero non essere stati utilizzati per scopi fraudolenti, come il phishing, o la consegna di software dannoso, o malware, ma secondo Graham Cluley, consulente tecnologico senior di Sophos, il potenziale esiste per loro di essere adattati a farlo. Alcuni browser Web includono piccoli, programmi gratuiti, o plug-in, che mettono in guardia contro potenziali attacchi clickjacking. Questi programmi, tuttavia, in genere richiedono un po 'di know-how tecnico e mette in guardia anche contro cliccando sul video Flash, che sono ampiamente utilizzati, legittimamente, sul web.