Guida comparativa a Clickjacking, Tapjacking e Pixnapping. Come funzionano gli attacchi invisibili e quali difese adottare per evitarli.
In sicurezza informatica esistono minacce che non attaccano direttamente il codice, ma la percezione umana. Sono i cosiddetti attacchi invisibili, che non lasciano log, non infettano file e non mostrano finestre sospette. Il loro obiettivo è ingannanare l’occhio dell’utente e non il sistema. In questa categoria rientrano tecniche capaci di trasformare un clic o un semplice tocco sullo schermo in un’azione completamente diversa da quella voluta dall’utente.
Con l’evoluzione delle interfacce grafiche e delle app mobile, questi attacchi non solo hanno conosciuto una diffusione molto più ampia, ma hanno anche subito una serie di miglioramenti di non poco conto. Clickjacking, Tapjacking e, più di recente, Pixnapping sono le tre principali varianti di una stessa logica: sfruttare la fiducia dell’utente nell’interfaccia per prenderne il controllo. Ma come agiscono davvero questi attacchi invisibili? E soprattutto, in che modo è possibile difendersi?
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è il Clickjacking
Il Clickjacking è una tecnica di attacco che manipola l’interfaccia utente di un sito web per indurre l’utente a cliccare su elementi nascosti o sovrapposti. In apparenza, il clic avviene su un pulsante o un link innocuo, laddove l’azione viene eseguita su un contenuto diverso, spesso incorporato tramite frame o livelli trasparenti. L’utente non ha modo di accorgersene, poiché il browser registra un’azione legittima, ma il risultato è controllato dall’attaccante.
Questo meccanismo permette di eseguire operazioni non autorizzate, come l’attivazione di microfoni o webcam, la condivisione di dati sensibili, o la modifica di impostazioni dell’account. Gli attaccanti sfruttano elementi HTML come iframe, CSS con opacità zero o overlay dinamici per nascondere i contenuti malevoli sotto l’interfaccia reale. In questo modo, l’interazione dell’utente diventa una risorsa da dirottare.
Il Clickjacking è piuttosto pericoloso perché non richiede l’esecuzione di codice sul dispositivo della vittima, ma sfrutta esclusivamente la fiducia nel sito visualizzato. Proprio per questo motivo è stato usato in attacchi contro social network, piattaforme bancarie e sistemi di autenticazione a due fattori. Una minaccia invisibile che dimostra quanto la sicurezza non dipenda solo dal codice, ma anche da ciò che l’utente vede e percepisce.
Cos’è il Tapjacking
Il Tapjacking è la variante del Clickjacking destinata ai dispositivi mobili, poiché adattata agli schermi touch di smartphone e tablet. L’utente è convinto di toccare un pulsante o un elemento visibile, ma in realtà sta interagendo con un’interfaccia nascosta posta al di sotto. L’azione compiuta, che può essere l’attivazione di un permesso, l’invio di dati o l’installazione di un’app, viene eseguita inconsapevolmente e senza che l’utente se ne renda conto.
Il Tapjacking sfrutta la possibilità delle app di creare finestre sovrapposte (overlay) con livelli di trasparenza variabile. L’attaccante posiziona elementi invisibili in corrispondenza dei pulsanti legittimi, intercettando il tocco dell’utente. In alcuni casi, l’attacco può persino replicare visivamente l’interfaccia originale, rendendo quasi impossibile distinguere il falso dal reale. Tutto avviene nel pieno rispetto delle API del sistema, motivo per cui il Tapjacking risulta difficile da rilevare.
C’è da dire che questo attacco è molto prolifico su Android, in cui è sempre rivolto ai permessi critici, come accesso alla fotocamera, ai contatti o alla geolocalizzazione. Un singolo tocco sullo schermo può attivare un consenso permanente o eseguire un’azione in background. Per questo Google ha introdotto nel tempo restrizioni sull’uso degli overlay, ma molti dispositivi, soprattutto quelli con versioni personalizzate del sistema operativo, restano vulnerabili.
Cos’è il Pixnapping
Il Pixnapping è una delle minacce più recenti e insidiose dell’ecosistema Android. A differenza del Clickjacking o del Tapjacking, non manipola l’interfaccia grafica ma la osserva. Questo attacco sfrutta vulnerabilità del sistema operativo per leggere i pixel visualizzati sullo schermo e ricostruire ciò che l’utente sta vedendo in tempo reale. In altre parole, basta visualizzare un contenuto perché l’informazione venga catturata.
Attraverso questo metodo, un’app malevola può ricostruire schermate di login, codici OTP, QR code, messaggi o notifiche sensibili, senza violare apparentemente alcun permesso. Il sistema operativo considera legittima l’attività, perché l’app non cattura l’immagine, ma analizza il comportamento dei pixel. È un attacco laterale molto difficile da individuare con antivirus o sistemi EDR convenzionali.
Per una spiegazione completa del suo funzionamento e delle contromisure consigliate, è disponibile la nostra analisi dedicata al Pixnapping. Tuttavia, anche queste brevi informazioni rendono chiaro come le tecniche di attacco moderne stiano virando dalle vulnerabilità del codice a quelle dell’interfaccia grafica.
Differenze e punti in comune
Sebbene le tre tecniche appena descritte condividano la stessa logica, esse operano su livelli differenti dell’interfaccia. Il Clickjacking è nato per il web e sfrutta i frame e i layer grafici del browser. Il Tapjacking ne è la naturale evoluzione in ambiente mobile, dove il tocco sostituisce il clic. Il Pixnapping invece si spinge oltre, poiché osserva l’interfaccia, trasformando lo schermo stesso in una fonte di dati sensibili.
L’elemento in comune è la fiducia implicita che lega l’utente al dispositivo. In tutti i casi, l’attaccante sfrutta la percezione visiva per indurre l’utente in errore, facendo leva su ciò che vede e non su ciò che accade realmente. È una forma di ingegneria sociale rivolta all’interfaccia, in cui il confine tra usabilità e sicurezza diventa estremamente sottile. La vittima non compie errori consapevoli, ma viene semplicemente ingannata da ciò che appare corretto.
Le differenze tecniche emergono, invece, nel vettore. Il Clickjacking si combatte con policy HTTP e controlli lato browser, il Tapjacking con restrizioni agli overlay di sistema, mentre il Pixnapping richiede un intervento a livello di sistema operativo.
Come difendersi dagli attacchi invisibili
Poiché Clickjacking, Tapjacking e Pixnapping condividono la fiducia cieca nell’interfaccia, le contromisure devono partire dal codice sorgente e arrivare alle impostazioni utente. Questo perché l’obiettivo è impedire che elementi nascosti o processi invisibili manipolino o leggano ciò che appare sullo schermo. Di seguito sono riportate una serie di consigli e strategie da applicare autonomamente.
- Abilitare le policy anti-framing nei siti web.
Intestazioni HTTP, come X-Frame-Options, o Content-Security-Policy: frame-ancestors impediscono che un sito venga caricata all’interno di un frame invisibile. Questo neutralizza di fatto il Clickjacking. - Limitare gli overlay di sistema e i permessi di accessibilità.
Su Android e desktop, disattivare o monitorare le app che visualizzano elementi sopra altre applicazioni riduce la possibilità di Tapjacking e spoofing visivo. - Monitorare l’attività grafica anomala.
Analizzare i processi che accedono ai buffer dello schermo o alle API di rendering consente di individuare comportamenti simili a quelli usati nel Pixnapping. - Isolare le app di autenticazione e i servizi critici.
Autenticazioni, wallet e strumenti sensibili devono essere eseguiti in ambienti separati o sandboxati, lontani da app con privilegi grafici o accessibilità elevata. - Aggiornare regolarmente browser e sistemi operativi.
Molte patch di sicurezza includono correzioni per vulnerabilità di interfaccia o di gestione dei permessi grafici; ignorarle espone il sistema a versioni già note di Clickjacking e Tapjacking. - Formare gli utenti e gli sviluppatori sull’inganno visivo.
La consapevolezza è ancora la difesa più efficace. Riconoscere comportamenti anomali, come finestre improvvise, overlay traslucidi o pulsanti inattivi, riduce l’efficacia di queste tecniche. - Applicare politiche di sandboxing e contenimento.
Limitare i privilegi di ogni applicazione impedisce che una singola compromissione visiva possa estendersi a tutto il sistema.
In conclusione
Gli attacchi invisibili dimostrano che la sicurezza non è solo una questione di codice, ma anche di percezione. Oggi il rischio non si nasconde nel malware, ma nei pixel che lo rappresentano. Clickjacking, Tapjacking e Pixnapping aggirano l’attenzione, sfruttano la fiducia e manipolano ciò che vediamo. È una forma di inganno che sposta la battaglia dal sistema operativo all’occhio umano.
In questi casi, la nostra difesa è rappresentata da una maggiore consapevolezza e da controlli mirati sulle interfacce grafiche. L’utente, così come lo sviluppatore, deve imparare a dubitare di ciò che sembra sicuro. Perché la minaccia più efficace non è quella che si nasconde nel codice, ma quella che si nasconde davanti ai nostri occhi.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.