Szkolenia ICT Future

Clickjacking (ang. click hijacking) to rodzaj ataku, w którym użytkownik zostaje podstępnie nakłoniony do kliknięcia na coś innego, niż to, co zamierzał. Atakujący nakłada na stronę ofiary przezroczystą warstwę, która wygląda jak część strony, ale w rzeczywistości to element kontrolowany przez atakującego. Użytkownik myśli, że klika na coś niegroźnego, np. na przycisk "Lubię to" na Facebooku, ale w rzeczywistości kliknięcie wykonuje niepożądaną akcję, jak na przykład przekazanie pieniędzy lub ujawnienie danych.

Przykład clickjackingu:

Wyobraźmy sobie, że użytkownik odwiedza stronę, która oferuje darmowe gry online. Na stronie znajduje się przycisk „Graj teraz!”. Użytkownik klika na przycisk, nieświadomy, że pod nim znajduje się przezroczysta ramka (iframe) z niewidocznym przyciskiem „Zgadzam się na udzielenie dostępu do mojego konta bankowego”. W rzeczywistości użytkownik nie uruchamia gry, ale właśnie udzielił atakującemu dostępu do swojego konta bankowego.

Atak clickjackingowy jest możliwy dzięki technikom webowym, takim jak iframe, oraz CSS do ukrywania lub zmiany wyglądu elementów. Aby chronić się przed clickjackingiem, serwisy internetowe często stosują nagłówki HTTP, takie jak X-Frame-Options, które uniemożliwiają osadzanie strony w ramkach na innych stronach.