Специалист по безопасности Paypal Брэд Хилл (Brad Hill) опубликовал обзор способов кликджекинга, которые используют мошенники для мошеннических транзакций Paypal, а также исследование методов защиты против таких атак (PDF).
Кликджекинг (clickjacking) основан на том, что под видимую страницу загружается невидимый слой с нужными элементами интерфейса, при этом элемент управления (кнопка, ссылка), необходимый для осуществления требуемого мошеннического действия, совмещается с видимой ссылкой или кнопкой, нажатие на которую ожидается от пользователя.
В качестве иллюстрации Брэд Хилл приводит классический пример с «сонной жабой». Пользователю должен щёлкнуть по одной из трёх жаб, которая выглядит сонной. При этом в изображении жаб участок глаз сделан прозрачным, а сонный вид одной из них обеспечивается фоновой кнопкой Paypal.
По мнению исследователя, подобный вид атак представляет собой серьёзную опасность. В качестве защитной меры он предлагает использовать адаптивную рандомизацию интерфейса в сочетании со статистическим анализом успешных кликов. Это означает, что постоянно меняется местоположение элементов интерфейса на странице, а анализ выполняется с использованием программ для сравнения скриншотов вроде NoScript’s ClearClick.
Статистически анализ успешных кликов требуется для обхода традиционных побочных эффектов рандомизации интерфейса, таких как ухудшение навигации.
