Facebook pozwał firmę, która wykorzystywała atak clickjacking do nabijania fanów na fanpage’ach swoich klientów.
Atak clickjacking polega na tym, że użytkownikowi po wejściu na jakąś stronę ładowana jest także niewidzialna ramka z inną stroną. Niewidzialna ramka nakładana jest na widzialną stronę, a zatem kiedy użytkownik chce kliknąć (np. w przycisk “rozpocznij grę”) tak naprawdę jego kliknięcie wędruje do niewidzialnej ramki, którą atakujący ustawiają tak, aby w miejscu kliknięcia znalazł się facebookowy przycisk “polub tę stronę” (stąd też inna nazwa ataku — likejacking).
Clicjacking na Twitterze
Jedyna szansa, aby zabezpieczyć się przed tym atakiem od strony użytkownika to korzystanie z rozszerzeń blokujących skrypty do przeglądarek internetowych — na przykład opisywany przez nas niedawno NoScript.
Z kolei właściciele stron mogą zdecydować się na 2 rozwiązania, aby chronić swoje serwisy — pierwszy to Framebusting, czyli dodawanie odpowiedniego JavaScriptu, który wykryje “zramkowanie” strony i spowodoje jej “wyskoczenie” do pełnego okna. Drugi sposób to ustawienie na webserwerze nagłówka X-Frame-Options.