Facebook scende in campo contro il "clickjacking"

Giro di vite, da parte di Facebook, sulla pratica conosciuta con l’appellativo di “clickjacking“. Con tale termine, si fa riferimento a quella particolare tecnica sfruttando la quale un aggressore, durante la normale “navigazione” all’interno di una pagina web, mira a reindirizzare i clic dell’utente verso un altro oggetto, diverso dall’elemento sul quale è stato portato il puntatore del mouse. La pratica, già nota da tempo, sta divenendo molto di moda nell’ultimo periodo ed è utilizzata per indurre i “malcapitati” a “pubblicizzare” inconsapevolmente siti web contenenti malware. Il codice utilizzato per mettere in atto attacchi “clickjacking” è tanto semplice quanto efficace. Generalmente viene fatto uso, innanzi tutto, di codice JavaScript “offuscato” e di un IFRAME che viene reso completamente invisibile inserendolo all’interno di una tag DIV (essa impiega tutte le possibili combinazioni di parametri per rendere l’IFRAME nascosto su tutti i browser web in circolazione). Nel caso di Facebook, l’IFRAME punta, a sua volta, al classico ed assolutamente legittimo plug-in “Like” di Facebook. Il parametro “href” dello script che sovrintende il funzionamento di tale plug-in viene però impostato in modo tale da fare riferimento alla pagina web maligna che l’aggressore intende “pubblicizzare”.

Un secondo codice JavaScript, sempre offuscato, viene solitamente usato per compiere il resto del “lavoro sporco”: un apposito “event handler” controlla i movimenti del mouse e sposta l’IFRAME nascosto seguendone pedissequamente il puntatore. Cliccando in un qualunque punto della pagina, quindi, l’utente verrebbe a fare clic – inconsapevolmente – sul pulsante “Like” o “Mi piace” nascosto pubblicando così, automaticamente, il suo gradimento per la pagina dal contenuto maligno all’interno della propria bacheca Facebook.
L’aggressione prende di mira, ovviamente, gli utenti che “navigano” sul web restando sempre “loggati” su Facebook.

Risultato? Pensando di cliccare su di un innocuo link o su un’immagine, il clic dell’inconsapevole visitatore viene automaticamente “reindirizzato” verso il pulsante “Mi piace” di Facebook. Se i vostri amici, su Facebook, sembrano “pubblicizzare” strani video o contenuti di dubbia natura, è altamente probabile che siano caduti nella trappola: nel caso di social network di Mark Zuckerberg si usa spesso il termine “likejacking” anziché “clickjacking” proprio per evidenziare come l’attacco sia teso a generare un “Mi piace” che l’utente, diversamente, non avrebbe mai prodotto.

Facebook, in collaborazione col procuratore generale dello stato di Washington, ha deciso di contrastare seriamente il fenomeno ponendo in essere anche una serie di azioni legali. Gli avvocati del social network in blu hanno per il momento avviato una vertenza nei confronti di Adscend Media, una società che avrebbe, secondo la tesi di Facebook, tratto enorme vantaggio economico dalla pratica del “likejacking“. Secondo il procuratore Paula Selis, la società chiamata in causa da Facebook potrebbe aver intascato qualcosa come 1,2 milioni di dollari al mese grazie all’impiego del meccanismo fraudolento.

Solitamente, Facebook riesce a fare la “voce grossa” nei confronti degli spammer e di chi, in generale, rappresenta una minaccia per la sicurezza degli utenti del social network. Due anni fa, per esempio, Facebook chiamò in giudizio Stanford Wallace, che tra l’altro si “autopromuoveva” come “il re dello spam“, ottenendo una condanna ed un risarcimento pari a 711 milioni di dollari.