Scopri cos’è il clickjacking, come funziona questo attacco e quali sono le migliori strategie per proteggere i tuoi dati.
Negli ultimi anni, le minacce informatiche legate a internet hanno registrato un aumento repentino, causando seri danni a imprese e utenti privati. I cybercriminali ricorrono a tecniche sempre più subdole e sofisticate compromettere dispositivi e infrastrutture digitali. Tuttavia, continuano a sfruttare anche metodi noti da tempo che, nonostante la loro anzianità, restano sorprendentemente efficaci.
Una di queste è il clickjacking, na tecnica di attacco nota da oltre vent’anni, ancora oggi utilizzata per manipolare la navigazione degli utenti all’interno delle interfacce web.
In questo articolo analizzeremo cos’è il clickjacking, come funziona, quali sono le sue conseguenze e quali misure adottare per difendersi in modo efficace.
Cos’è il clickjacking
Il clickjacking è una tecnica di attacco che manipola le interazioni dell’utente con una pagina web, intercettando click o tocchi sullo schermo per eseguire azioni dannose a sua insaputa. L’obiettivo è indurre l’utente a visitare siti web fraudolenti, installare malware, inserire dati sensibili, effettuare trasfermienti di denaro, o compiere acquisti, senza che se ne accorga.
Un classico esempio di clickjacking è un sito fraudolento che promette la vincita di uno smartphone o di un tablet di ultima generazione. Quando l’utente clicca sul pulsante per reclamare il suo premio, viene in realtà dirottato su una pagina malevola, o compie involontariamente un’azione dannosa. Per eseguire questo attacco, i cybercriminali sovrappongono elementi invisibili alla pagina legittima. Tra le tecniche più utilizzate troviamo:
- iframe: incorporano una pagina malevola all’interno di quella visualizzata, rendendola invisibile all’utente.
- Trasformazioni CSS: position, z-index, opacity e transform sono utilizzate per posizionare il contenuto fraudolento sopra gli elementi cliccabili.
- Funzioni di timing JavaScript: setTimeout e requestAnimationFrame sincronizzano la comparsa e la scomparsa dei layer malevoli con il comportamento dell’utente, rendendo l’attacco ancora più difficile da rilevare.
Tecniche di clickjacking
I cybercriminali possono mettere in atto diverse varianti di clickjacking, ciascuna basata su meccanismi differenti per innescare azioni malevole. Le più utilizzate sono:
Sovrapposizione trasparente completa
Si tratta di una tecnica in cui i cybercriminali inseriscono un overlay completamente trasparente sopra la pagina web legittima. L’utente interagisce con ciò che vede sullo schermo, ma in realtà i suoi click vengono intercettati dagli elementi nascosti sovrapposti.
Ritaglio (UI Redressing)
Gli attaccanti modificano solo specifiche aree della pagina, come pulsanti o etichette di testo. Possono inoltre nascondere link malevoli dietro pulsanti visibili, sostituire etichette autentiche con comandi ingannevoli o indurre l’utente a cliccare su elementi apparentemente innocui.
Overlay nascosto (1×1 pixel frame)
Un microframe di dimensioni ridotte viene posizionato sotto il cursore. Al clic, questo frame invisibile riceve l’interazione e attiva l’azione dannosa, senza che l’utente se ne accorga.
Sostituzione rapida dei contenuti
Questa tecnica consiste nel posizionare un layer opaco sopra sopra gli elementi della pagina, per poi scomparire per una frazione di secondo proprio nel momento del clic. In quell’istante viene attivato il contenuto malevolo, che poi torna subito a essere mascherato.
Scorrimento fuorischermo (Off-screen scrolling)
Finestre di dialogo o contenuti legittimi vengono fatti scorrere fuori dall’area visibile, lasciando esposti solo alcuni pulsanti, come “OK” e “ANNULLA”. I criminali associano a questi pulsanti azioni diverse da quelle previste, confondendo l’utente.
Drag-and-drop malevolo
Questa tecnica sfrutta elementi trascinabili camuffati o invisibili. Durante l’interazione, l’utente attiva inconsapevolmente l’invio di dati, la compilazione di moduli o l’esecuzione di comandi non autorizzati.
Una nuova forma di clickjacking
Durante la conferenza DEF CON 33 tenutasi a Las Vegas nell’agosto 2025, il ricercatore Marek Tóth ha presentato un attacco clickjacking in grado di compromettere i password manager attraverso l’abuso delle loro funzionalità di riempimento automatico. Questo attacco consente di esfiltrare password, codici 2FA e dati bancari dell’utente, sfruttando elementi invisibili nella pagina.
Secondo la dimostrazione di Tóth, i cybercriminali possono costruire siti web malevoli che sfruttano proprietà CSS come opacity, pointer-events e z-index per nascondere i campi di inserimento o la finestra di autofill del password manager. Successivamente, tramite l’uso di CAPTCHA manipolati o pop-up ingannevoli, inducono l’utente a cliccare su elementi nascosti, innescando il riempimento automatico dei dati da parte del gestore di password. I moduli così compilati possono essere letti ed esfiltrati da script malevoli.
Tóth ha identificato come vulnerabili diversi password manager, tra cui:
- 1Password;
- Bitwarden;
- Enpass;
- iCloudPasswords;
- LastPass;
- LogMeOnce.
L’elemento più critico dell’attacco è la possibilità per i criminali di identificare il password manager in uso nel browser della vittima, adattando di conseguenza il comportamento dell’attacco per massimizzarne l’efficacia.
A seguito della divulgazione, diversi vendor coinvolti hanno rilasciato patch di sicurezza per mitigare la vulnerabilità, sebbene il tema della sicurezza degli autofill resti aperto e oggetto di ulteriore ricerca.
Prevenzione e difesa
Abbiamo visto come il clickjacking rappresenti una minaccia difficile da rilevare. Per questo motivo, è fondamentale adottare delle best practices di sicurezza per prevenire questo tipo di attacco. In particolare, si consiglia di:
- Adottare la direttiva Content-Security-Policy.
Applicare questa direttiva impedisce il caricamento di pagine web in iframe non autorizzati. - Mantenere il proprio browser regolarmente aggiornato.
Gli aggiornamenti contengono patch di sicurezza che aiutano a prevenire gli attacchi informatici che si possono verificare in rete. - Installare estensioni anti-clickjacking nel proprio browser.
Queste estensioni permettono di rilevare e bloccare iframe o overlay sospetti che potrebbero intercettare i clic dell’utente. - Abilitare lo script di frame busting.
Questi script permettono di rilevare se la pagina è stata caricata all’interno di un iframe, forzandone il caricamento come pagina principale. - Prestare attenzione a finestre pop-up durante la navigazione in rete.
Queste finestre contengono spesso overlay e altri elementi grafici nascosti, utilizzati proprio per eseguire attacchi clickjacking.
- Autore articolo
- Gli ultimi articoli
Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.