Du klikker på et link til et kendt websted - og lander i stedet på et skummelt malware-site. Dette scenarie kan allerede blive realitet i dag, hvor clickjacking er ved at udvikle sig til et stigende problem. Problemet blev første gang beskrevet i dette whitepaper fra sidste efterår, skrevet af Jeremiah Grossman og Robert Hansen fra SecTheory. De bruger en kombination af HTML og JavaScript til at lægge et usynligt link i en iFrame hen over et andet link til websiden.
I februar blev den populære tjeneste Twitter ramt af en serie af clickjacking-angreb, hvor brugerne blev lokket til at klikke på en knap med et usynligt link lagt hen over, som automatisk distribuere den samme tweet til alle deres Twitter-kontakter. Det var kun et eksperiment, men det viste potentialet for et skadeligt angreb med usynlige links.
Det grundlæggende trick er at gemme linket i en usynlig iFrame, der lægger sig hen over det legitime link. Det kræver at koden indsættes direkte i websiden. Brugeren har ikke mulighed for at se, at musemarkøren rent faktisk klikker på den skjulte iFrame og ikke det rigtige link. SecTheory har demonstreret, hvordan tricket kan bruges til at åbne et Flash-vindue, der aktiverer computerens webcam og sender live-video tilbage til angriberen.
Der er ikke tale om ét specifikt sikkerhedshul, som uden videre vil kunne lukkes, men en generel svaghed i websidernes design. Website-ejere har mulighed for at bruge en særlig HTML-kode, der blokerer for denne form for iFrames, men det fungerer kun under IE 8. Ellers lyder det generelle råd fra eksperterne at deaktivere JavaScript. Der findes også et add-on til Firefox, NoScript, som har en funktion kaldet ClearClick der netop skal forhindre clickjacking.
Desuden anbefales det at logge ud af sites som Twitter og Facebook når man ikke bruger dem.
