Un attacco di clickjacking, noto anche come un'interfaccia utente (UI) attacco di ricorso, si verifica quando un utente malintenzionato tenta di dirottare il clic di un mouse del computer per eseguire azioni che l'utente non ha inteso. In sostanza, un utente ritiene lei interagisce con la pagina Web visualizzata sullo schermo del computer, ma le sue azioni sono effettivamente eseguite su un'altra pagina Web selezionata dal dirottatore.
iFrame
Gli attacchi clickjacking approfitta di una proprietà di Hypertext Markup Language (HTML) conosciuta come inline Frame o iFrame. iFrame consente un documento HTML essere incorporato all'interno di una cornice, in un altro documento HTML. Un utente malintenzionato può caricare una pagina dannosa in un iFrame e utilizzare Cascading Style Sheets (CSS) per nascondere tutto tranne la regione della pagina su cui vuole che gli utenti a cliccare.
Creazione di script
Un tipico clickjacking attacco utilizza due, iframe nidificati. L'iFrame esterno è il più piccolo dei due e agisce come una finestra che dava l'iFrame interna, mentre l'iFrame interno deve essere abbastanza grande che la regione di destinazione, o elemento, è "visibile" senza scorrere. Il linguaggio di scripting conosciuto come JavaScript può essere usato per creare un invisibile, lo spostamento di iFrame, che si posiziona sotto il cursore del mouse, in modo che l'utente fa clic sul bersaglio indipendentemente da dove si fa clic sulla pagina; in questo caso, l'iFrame esterno può essere solo 10 o 20 pixel quadrati.
Fastidio
Gli attacchi clickjacking lavoro attraverso tutti i sistemi operativi, ma, finora, sono stati utilizzati solo per creare un fastidio su siti di social networking, come Facebook e Twitter. Gli utenti di Facebook, ad esempio, potrebbero vedere collegamenti ad argomenti che loro amici apparentemente "piaciuto." I collegamenti, tuttavia, sono interamente spuri e, infatti, reindirizzano gli utenti a una pagina che contiene alcune istruzioni, come fare clic su un pulsante di conferma che sono 18 anni di età. Che cosa gli utenti stanno effettivamente facendo, tuttavia, è cliccando su un invisibile "like" button, affinché essi, troppo, consigliamo la pagina dannosa.
Phishing e Malware
Gli attacchi clickjacking potrebbero non sono stati utilizzati per scopi fraudolenti, come il phishing, o la consegna di software dannoso, o malware, ma secondo Graham Cluley, il senior technology consultant presso Sophos, esiste la possibilità per loro di essere adattati a tale scopo. Alcuni browser Web includono programmi piccoli, liberi, o plug-in, che mettere in guardia contro potenziali attacchi clickjacking. Questi programmi, tuttavia, in genere richiedono conoscenze tecniche e mette in guardia anche contro cliccando su video in Flash, che è ampiamente usati, legittimamente, sul Web.