L’ultimna novità in ambito Spam, per i proprietari di un account su facebook ha lasciato parecchi dubbi. Facebook ha ingaggiato gli uomini migliori per capire di cosa si trattasse.
Secondo una dichiarazione ufficiale, varie statistiche fatte sugli utenti, ha portato alla luce la tecnica più comunemente usata dagli hacker, per fare dello spam!
Il Clickjacking. Una sorta di script maligno propagatosi a livelli sorprendenti, in un arco di tempo cortissimo.

Il funzionamento di questo script è relativamente molto semplice. Prende il sopravvento su una pagina web, mascherandone il contenuto con una pagina nuova, ma rendendo i controlli sotto ancora attivi! Questo dunque, all’insaputa dell’utente, fa in modo che clikkando A, in realtà si clikki B. Ad una funzione apparente, se ne associa un’altra, a nostra insaputa (ma siamo stati noi stessi ad attivarla!).

Spesso gli utenti non si accorgo di ciò che in realtà sta succedendo, sono ignari. Più raramente gli utenti se ne accorgono invece.
Ci sono dunque, alcune cose che bisogna conoscere sul clickjacking per evitare che questa minaccia e capirne lo scopo:

1) Il Clickjacking è possibile quando un sito web è integrato con altro proveniente dall’esterno (un caso classico potrebbe essere una semplice pagina di facebook, o un’applicazione, che si integrano a facebook). Questi script malevoli stanno sotto il nostro mouse, nella pagina o in un link. E spesso ce ne accorgiamo perchè clikkando qualcosa di apparentemente normale, ci si apre una nuova finestra di navigazione, o peggio ancora inizia il download di eseguibili a noi sconosciuti.

2) E’ un codice maligno che gira virtualmente su un sito web senza che il proprietario possa effettivamente accorgersene o abbia la possibilità di fermarlo. E’ un tipo di attacco che le grandi compagnie con molte pagine e contenuti conoscono bene.

3) Il clickjacking è studiato per carpire quante più informazioni personali possibili.

4) Soltanto browser che non fanno utilizzo di interfaccia grafica sono immuni a questo tipo di attacco. Quindi VERAMENTE pochi.

5) Il clickjacking può sottrarre anche numeri di previdenza sociale, numeri di carta di credito e credenziali bancarie.

6) Lo script malevolo può funzionare senza la consapevolezza che l’utente lo sappia, ed installare svariati software dannosi per il nostro PC. Virus, adware, trojan e qualsiasi sorta di malware.

7) Un nuovo script per il clickjacking è stato recentemente scoperto. Esso può essere utilizzato per spiare nella webcam degli utenti, e attivare persino il microfono. Il tutto attraverso il software adobe flash. Infatti anch’esso è vulnerabile se permette al clickjacking ti attivare webcam e microfono. Mentre l’utente naviga ignaro sulla pagina, lo script per il clickjacking, se ne sta buono, in attesa che l’utente schiacci ignaro il bottone trasparente per dare l’autorizzazione ad usare attraverso adobe flash, la sua webcam e il suo microfono. E poi nulla impedisce di salvare lo stream di dati che si stabilisce fra la webcam dell’utente e il server.

Qui di seguito alcune truffe basate sul clickjacking, che hanno veramente spopolato, sul famoso social network in blu:







Non sono molti i suggerimenti disponibili, su come combattere il clickjacking. Molte compagnie di sicurezza informatica ci stanno lavorando su.
Gli unici suggerimenti che arrivano per neutralizzare il clickjacking, che in alcuni casi possono risultare efficaci, sono quelli di installare l’add-on NoScript per Firefox (e permettere solo a siti fidati di eseguire contenuti attivi).
Oppure l’alternativa più drastica, è quella di disattivare Javascript sul vostro browser, con tutti i lati negativi che comporta nel renderizzare le pagine di ultima generazione. (Quasi sicuramente dovreste rinunciare a visitare tutti i siti più popolari, che costituiscono ormai il cuore del traffico internet, e che fanno cospicuo uso di Javascript).