Proteggersi dal clickjacking: guida completa

TL;DR

Il clickjacking è un attacco che sovrappone elementi invisibili su pagine legittime per indurti a cliccare link o pulsanti dannosi. Mantieni browser e estensioni aggiornati, evita pop-up sospetti, verifica link con scanner URL e segui le checklist qui sotto per utenti, amministratori e sviluppatori.

Che cos’è il clickjacking?

Il clickjacking, chiamato anche attacco di “redress dell’interfaccia utente”, avviene quando un aggressore posiziona livelli trasparenti o elementi nascosti sopra una pagina web legittima. L’utente vede ed interagisce con il sito vero, ma i click vengono intercettati o reindirizzati verso azioni indesiderate.

Un esempio pratico: clicchi su un link per scaricare un ebook gratuito, ma un overlay nascosto trasforma quel clic in un download di malware o nell’attivazione di un’estensione malevola. Questi attacchi sfruttano HTML, iframe e fogli di stile (CSS) per mascherare elementi dannosi.

Importante: la pericolosità del clickjacking deriva dal fatto che l’attacco avviene sulla pagina reale, non su una copia contraffatta. Se sei su un sito affidabile, sei più incline ad abbassare la guardia.

Tipi comuni di clickjacking

• Overlay trasparenti o nascosti che intercettano i click
• Click event dropping: il primo clic sembra non funzionare, ma in realtà abilita l’overlay dannoso
• Spostamento o riposizionamento di elementi cliccabili
• Scorrimento forzato con popup maligni
• Ritaglio di pagine per colpire solo certi controlli (crop)

Esistono varianti meno gravi, come il “likejacking” (dirottamento dei “Mi piace”), e varianti specializzate con nomi come cookiejacking, filejacking o cursorjacking.

Perché l’antivirus e il browser possono non bastare

Molti attacchi di clickjacking non generano download immediati né file eseguibili, quindi gli antivirus tradizionali possono non rilevarli. I browser moderni includono protezioni contro i casi più semplici di clickjacking — tuttavia non tutte le varianti complesse vengono identificate.

Un esempio avanzato è il “double clickjacking”: l’aggressore attende il primo clic dell’utente, inserisce poi un overlay prima della richiesta di conferma e sfrutta il secondo clic (apparente conferma, doppio tap, o CAPTCHA) per eseguire l’azione dannosa, ad esempio installare un plugin che concede al criminale l’accesso all’account.

Questa tecnica può sfuggire ai rilevamenti standard perché spesso non usa un iframe evidente e colpisce sia desktop sia dispositivi mobili (double-tap).

Come proteggersi dal clickjacking (pratiche per tutti gli utenti)

• Mantieni il browser aggiornato: le patch risolvono molte vulnerabilità e migliorano le protezioni contro overlay e iframes malevoli.
• Aggiorna estensioni e plugin: gli aggressori sfruttano spesso plugin che già alterano il comportamento delle pagine.
• Non fidarti dei pop-up: se appare un pop-up che non è mai esistito su un sito che conosci, evita di interagire. Spesso sono trappole di phishing o clickjacking.
• Controlla i link prima di cliccare: se un link non porta da nessuna parte o apre comportamenti strani, non cliccare due volte. Gli ad-blocker possono bloccare pop-up necessari; verifica le impostazioni prima di riprovare.
• Verifica URL e domini: presta attenzione a errori di battitura nel dominio (typosquatting). Un carattere sbagliato può indirizzarti su un sito malevolo mascherato da legittimo.
• Usa scanner URL per pagine sospette o download: servizi come VirusTotal, urlscan.io o Google Transparency Report possono aiutare a valutare la reputazione di una pagina.

Strumenti utili per l’analisi dei link e dei file:

• URL Avoid
• VirusTotal (utile per link di download)
• urlscan.io
• Google Transparency Report
• Hybrid Analysis

Nota: alcune soluzioni antivirus offrono estensioni browser che segnalano siti con reputazione discutibile.

Quando sospettare un attacco

• Il sito inizia a chiedere conferme che prima non apparivano.
• Un pulsante sembra non funzionare al primo clic.
• Compaiono popup o richieste di installazione improvvise.
• I