Clickjacking – skrivena prijetnja na internetu

Clickjacking, poznat i kao "UI redressing", predstavlja zlonamjernu tehniku manipulacije korisničkim sučeljem u kojoj napadač prevari korisnika da klikne na nešto drugo od onoga što on misli da klikne. Naziv dolazi od kombinacije riječi click (klik) i hijacking (otmica), što jasno opisuje suštinu problema - otmicu korisničkog klika. Na prvi pogled sve izgleda normalno, no iza kulisa skriva se prevara koja može dovesti do ozbiljnih posljedica.

U praksi, clickjacking se ostvaruje tako da napadač "presvuče" legitimnu web stranicu nevidljivim ili prozirnim slojem preko kojeg korisnik obavlja interakciju. Na primjer, korisnik misli da klikće na gumb "Play video", ali zapravo klikće na gumb "Kupujem" ili "Dozvoljavam pristup kameri". Na taj način, napadač koristi povjerenje koje korisnik ima prema web stranici i iskorištava ga za svoje ciljeve.

Posljedice clickjackinga mogu biti vrlo različite. U blažim slučajevima radi se o neželjenom lajkanju ili dijeljenju sadržaja na društvenim mrežama. Međutim, u ozbiljnijim scenarijima napadač može natjerati korisnika da promijeni sigurnosne postavke, izvrši online kupnju, ili odobri pristup osjetljivim informacijama. U nekim slučajevima, napadač može preuzeti potpunu kontrolu nad korisničkim računom.

Kako bi se spriječio clickjacking, razvijeni su različiti sigurnosni mehanizmi. Jedan od najčešće korištenih je postavljanje HTTP zaglavlja X-Frame-Options, kojim se web stranici zabranjuje učitavanje unutar iframea na drugim domenama. Time se onemogućuje napadaču da prozirnim slojem "prekrije" sadržaj. Modernije rješenje je Content Security Policy (CSP) frame-ancestors direktiva, koja precizno definira koje domene smiju uokviriti stranicu. Također, razvijatelji bi trebali paziti na dizajn korisničkog sučelja i koristiti dodatne provjere za osjetljive akcije (primjerice, potvrde u dva koraka).

I korisnici mogu poduzeti određene mjere opreza. Preporučuje se redovito ažurirati preglednik i koristiti dodatke koji blokiraju sumnjive skripte. Također, treba biti oprezan prilikom klikanja na poveznice koje dolaze s neprovjerenih izvora ili se otvaraju u skočnim prozorima.

Zaključno, clickjacking je sofisticirana metoda internetskih napada koja se oslanja na ljudsku percepciju i povjerenje u vizualno sučelje. Iako se na prvi pogled čini kao sitna smetnja, njegove posljedice mogu biti ozbiljne. Kombinacija tehničkih zaštitnih mjera i svjesnosti korisnika najbolji je način za borbu protiv ove prijetnje.