Con il termine clickjacking (“furto del click”) si definisce la tecnica svolta a “catturare” in modo fraudolento il click dell’utente e a direzionarlo verso un oggetto diverso da quello che si intendeva cliccare: è una tecnica ormai nota dal 2008 ma tornata di grande attualità atteso l’elevatissimo numero di attacchi di questo tipo perpetrati recentemente tramite Facebook.
Il meccanismo di ri-direzionamento del click è generato mediante JavaScript o utilizzando un Inner Frame ossia una cornice interna alla pagina che viene utilizzata per visualizzare un contenuto che in realtà è esterno alla stessa; tecnica indubbiamente pericolosa perché sfrutta una vulnerabilità che è propria della struttura del WWW e riguarda, quindi, tutti i browser attualmente presenti sul mercato: l’unica protezione attualmente attiva è l’opzione “no script add-on” di Mozilla Firefox che protegge da eventuali “click” su elementi nascosti o su contenuti reindirizzati.
Questi malicious code vengono utilizzati prevalentemente per “usare” gli utenti come sponsor inconsapevoli ed involontari di pagine web che il più delle volte contengono malware; questo il motivo principale per il quale i bersagli prediletti sono gli utenti dei social network: un worm di questo tipo permette, ad esempio, di far diventare un utente twitter un “follower” di qualcuno o costringere un utente Facebook a condividere determinati contenuti.
Un esempio eclatante per numero di infezioni è stato il caso del presunto video relativo all’esecuzione di Osama Bin Laden apparso in milioni di bacheche Facebook: l’utente cliccando sul video, anziché avviarlo, involontariamente manifesta un “like” al contenuto che veniva, quindi, pubblicato sulla propria bacheca.
Non solo: l’utente deviato verso un altro sito con un nuovo messaggio veniva indotto ad inserire un “codice di verifica” che in realtà installava un software in grado di analizzare la lista dei contatti e utilizzarla per inviare loro il messaggio originario (pubblicandolo sulla bacheca e inviandolo mediante chat).
Tale particolare tecnica di clickjacking su Facebook è stata ribattezzata “likejacking” proprio perché la frode si manifesta con un inconsapevole “like” dell’utente su di un contenuto; così facendo l’utente non solo non visualizza il contenuto sperato (in Italia sono proliferati numerosissimi finti contenuti sull’edizione 2011 del Grande Fratello) ma installa un worm che condivide sulla bacheca il medesimo link e, nella maggior parte dei casi, si impossessa dei dati personali dell’utente.
Secondo G Data, società leader in Germania nella produzione di antivirus, le falle di sicurezza nei plug-in dei browser stanno giocando un ruolo sempre più grande nell’infezione dei sistemi Windows e l’industria del malware si sta focalizzando sulle vulnerabilità di Java (circa il 50% dei malware in circolazione).
Inoltre, vi è un preoccupante aumento della presenza di siti manipolati nelle classifiche dei motori di ricerca con l’evidente scopo di ingannare gli utenti degli stessi motori di ricerca o dei social network facendo cliccare loro dei siti infetti: con la tecnica di clickjacking i malware manipolano i click sui siti Internet in modo da consentire che ne venga migliorato il ranking (ad esempio, Trojan.JS.Clickjack, uno dei 10 programmi malware di questo tipo più diffusi nel mese di 2011).
Come afferma Bruce Schneier, noto esperto in sicurezza informatica statunitense: «La sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l’efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta di vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole».
Se la sicurezza informatica è una catena, formata da Hardware, Software e “Humanware” è indubbio che quest’ultimo elemento è sempre il più critico: questi programmi, come le c.d. “catene di sant’antonio” nella maggior parte dei casi sfruttano la curiosità e l’ignoranza dell’utente che rimane l’anello debole del processo di sicurezza.