Descripción: El clickjacking hace uso de botones que parecen muy auténticos y atractivos para los usuarios, en los que están más inclinados a hacer clic. Aquí yace el misterio. Los botones pueden tener enlaces ocultos o funciones ocultas.
Por ejemplo, algunos atacantes colocan un iframe oculto en el sitio web. Cuando un usuario realiza un evento de clic sobre algunos botones, se ejecuta un script oculto que podría enviar datos a iframe apuntando a diferentes sitios.
Podría ser cualquier sitio de redes sociales o algún sitio web malicioso.
Esta vulnerabilidad hace que los usuarios hagan clic en un enlace o botón en función de una determinada percepción del comportamiento, pero se realiza una acción diferente sin que el usuario lo sepa.
Un ejemplo simple es una imagen de video con el botón de reproducción. Asumiremos que al hacer clic en el botón de reproducción, el video se reproducirá. Pero lo que sucede es totalmente diferente. Aterrizamos en un sitio web diferente con campos de formulario de suscripción.
En realidad, aquí el video no es el que vemos en YouTube o cualquier otro sitio de videos, pero es solo la imagen del contenedor de video, no el real. En resumen, el secuestro de clics explota al usuario de muchas maneras:
· Hacer que aterricemos en alguna web inesperada para suscribirnos a ella.
· Hacer que sigamos a alguien en Twitter sin nuestro consentimiento.
· Hacer que nos guste alguna página de Facebook sin nuestro conocimiento.
· Hacernos revelar información privada al público.