Non sempre le truffe o le attività illecite avvengono tramite malware e virus. Siamo abituati a pensare che ogni truffa perpetrata sulla rete abbia a che fare con campagne phishing o con virus che rubano le credenziali d’accesso degli utenti. Ma non sempre è così. Il clickjacking, ad esempio, è una pratica fraudolenta che non utilizza nessun tipo di malware per truffare gli utenti.
Come si può intuire dal nome, il clickjacking ha a che fare con l’attività online degli utenti, in particolar modo quando cliccano su dei link presenti sulle pagine internet. Il clickjacking non è altro che una tecnica fraudolenta che reindirizza il click dell’utente su una pagina differente rispetto a quella segnalata sul link. Questo tipo di tecnica viene utilizzata soprattutto per indirizzare il traffico degli utenti verso banner pubblicitari, in modo che il truffatore guadagni dai click delle persone. Una pratica abbastanza subdola che sfrutta delle vulnerabilità presenti su JavaScript e su IFrame.
Cosa è e come funziona il clickjacking
Il clickjacking fu scoperto per la prima volta nel 2008 da Robert Hansen e Jeremiah Grossman e sembrava essere scomparso dopo il picco registrato tra il 2009 e il 2010. Ma la tecnica fraudolenta ha conosciuto una seconda giovinezza con l’esplosione dei social network, in particolar modo Facebook. Alcuni utenti utilizzano il clikcjacking per aumentare in modo fraudolento i “mi piace” di una pagina. La persona non mette fisicamente il “like” sulla pagina, ma viene “estorto” tramite il clickjacking. I pirati informatici infettano le pagine di alcuni siti internet che eseguono javascript specifici, per dirottare il traffico sulle pagine Facebook e aumentare il numero di “mi piace”. In alcuni casi non è nemmeno necessario cliccare su un link, basta passare con il puntatore del mouse su un oggetto nascosto presente nella pagina web.
Cosa si rischia con il clickjacking
Rispetto ai malware, il clickjacking è molto meno pericoloso per l’utente. Non si rischia di vedersi rubare le credenziali d’accesso a Facebook o al conto corrente online. E inoltre, il clickjacking è impossibile da attuare sui siti di e-commerce. L’unico reale pericolo è di essere inseriti in qualche lista spam e di ritrovarsi la casella di posta elettronica completamente occupata. Inoltre, alcuni truffatori utilizzano il clickjacking per indirizzare il traffico verso i banner pubblicitari: il rischio per gli utenti è di vedere pop-up pubblicitari che si aprono mentre si sta navigando su Internet.
Dato che il clickjacking utilizza delle falle presenti su javascript e IFrame nessun browser è al sicuro.
Come difendersi dal clikcjacking
Il clickjacking non può essere combattuto con i normali antivirus e nella maggior parte dei casi l’utente non ha nessuna colpa. Se notiamo che mentre stiamo navigando su una pagina web, si aprono dei siti internet su cui non abbiamo cliccato, si dovrà immediatamente chiudere la pagina ed effettuare il log out da tutti gli account social. Inoltre, per vedere da cosa deriva il clickjacking è necessario controllare il registro delle attività e vedere se c’è qualcosa di anomalo. Infine, per prevenire il clickjacking è possibile installare delle estensioni sul browser che bloccano gli script utilizzati dai truffatori per mettere in atto la tecnica fraudolenta. Una delle migliori è NoScript.