Una nuova minaccia sta mettendo in pericolo milioni di utenti che navigano online ogni giorno. Gli esperti di sicurezza informatica stanno denunciando un attacco informatico invisibile che con un solo click può compromettere dati sensibili, conti bancari e privacy personale. La definizione tecnica è clickjacking, una tecnica sofisticata con cui i cybercriminali spingono le persone a cliccare su elementi invisibili all’interno di pagine web apparentemente legittime. A differenza di altri attacchi come il phishing, dove è il messaggio ingannevole a trarre in errore la vittima, nel clickjacking è l’interfaccia utente stessa a rappresentare il pericolo. Ciò che appare sullo schermo non corrisponde a ciò che l’utente sta realmente cliccando. Come spiegano gli esperti di Panda Security, questa tecnica esisteva già nei primi anni del web, ma oggi si è evoluta in modo preoccupante. Se in passato sfruttava principalmente iframe nascosti, oggi dispone di un ampio arsenale digitale che include interfacce dinamiche, pop-up, notifiche push e banner per il consenso dei cookie.
I cybercriminali posizionano un elemento trasparente sopra pulsanti, link o immagini che un utente clicca normalmente durante la navigazione. In pratica, si pensa di eseguire un’azione innocua come guardare un video, accettare i cookie o chiudere una finestra pubblicitaria, ma in realtà se ne sta compiendo un’altra completamente diversa. Un doppio livello invisibile agli occhi, ma devastante nelle conseguenze. Gli obiettivi di questo attacco informatico invisibile sono molteplici e tutti pericolosi. Cliccando sul link nascosto, l’utente può essere reindirizzato verso siti pericolosi progettati per rubare credenziali. In altri casi, viene avviato automaticamente il download di file infetti o malware che compromettono l’intero sistema. Le varianti più sofisticate mirano a rubare password, eseguire accessi non autorizzati alla fotocamera o al microfono del dispositivo, oppure effettuare pagamenti e azioni bancarie senza il consenso consapevole della vittima.
Il clickjacking si presenta in diverse forme tecniche, ciascuna con caratteristiche specifiche. Il likejacking sfrutta i pulsanti dei social network per far mettere un Mi piace o condividere contenuti all’insaputa dell’utente, diffondendo contenuti malevoli attraverso la rete di contatti. Il cursorjacking manipola la posizione apparente del puntatore del mouse, facendo sembrare che si stia cliccando in un punto della pagina mentre in realtà l’azione avviene altrove. Ancora più pericoloso è il cookiejacking, una variante che consente di rubare i cookie di sessione e accedere agli account online senza necessità di conoscere le password. I cookie di sessione contengono informazioni temporanee che mantengono attivo l’accesso a servizi come email, home banking o piattaforme di e-commerce. Una volta rubati, i cybercriminali possono impersonare la vittima e compiere operazioni fraudolente. Il filejacking, invece, modifica pulsanti come Carica file o Sfoglia per ottenere accesso ai dati personali memorizzati sul dispositivo.
Parallelamente al clickjacking, un altro caso recente dimostra quanto siano concrete queste minacce. L’attacco hacker ai danni di Booking.com ha esposto i dati personali di un numero imprecisato di utenti della piattaforma, che conta oltre 100 milioni di utenti attivi sull’app mobile e 500 milioni di visite mensili al sito web. L’azienda con sede ad Amsterdam ha iniziato a notificare ai clienti che terze parti non autorizzate avevano avuto accesso ai dati delle prenotazioni. Le informazioni compromesse includono dettagli delle prenotazioni, nomi e cognomi completi, indirizzi email, indirizzi fisici e numeri di telefono. Come sottolineano gli esperti di sicurezza, questo è tutto ciò che serve per impersonare in modo convincente un hotel che contatta un ospite. La violazione apre le porte a campagne di phishing mirate e sofisticate, dove i truffatori possono sfruttare la fiducia degli utenti verso comunicazioni apparentemente legittime.
La strategia degli hacker è collaudata e terribilmente efficace. Possono impossessarsi di una prenotazione fingendosi un hotel, inviare messaggi agli ospiti chiedendo un ulteriore pagamento o i dati della carta di credito per la verifica del pagamento. I dati rubati forniscono loro tutti gli elementi necessari per convincere il cliente dell’hotel della loro legittimità. Secondo l’organizzazione britannica Action Fraud, tra giugno 2023 e settembre 2024 sono state ricevute 532 segnalazioni di truffe simili legate a Booking.com, con vittime che hanno perso complessivamente 370.000 sterline, circa 470.000 dollari. La notifica inviata ai clienti da Booking.com avvertiva che i dati esposti potevano essere utilizzati per campagne di phishing e precisava che l’azienda non avrebbe mai richiesto informazioni sensibili o bonifici bancari tramite email, messaggi di testo o chat WhatsApp. Questa precisazione è fondamentale, perché rappresenta il primo elemento di difesa per gli utenti. Se non è specificata alcuna politica di pagamento anticipato o requisito di deposito nelle condizioni della prenotazione originale, ma viene chiesto di pagare in anticipo per garantire la prenotazione, si tratta quasi certamente di una truffa.
Proteggersi da queste minacce invisibili richiede un approccio multilivello. Prima di tutto, occorre prestare massima attenzione alle comunicazioni tramite email, messaggi di testo e chat che potrebbero ricondurre a prenotazioni o transazioni online. Non bisogna mai effettuare pagamenti al di fuori delle piattaforme ufficiali e sicure, né inviare dati personali o informazioni sensibili come i dettagli di pagamento o i codici della carta di credito tramite link contenuti in messaggi non verificati. Per difendersi dal clickjacking specificamente, gli esperti consigliano di mantenere sempre aggiornati browser e sistemi operativi, poiché le patch di sicurezza includono protezioni contro queste tecniche. È fondamentale diffidare di siti web che richiedono troppi permessi senza una giustificazione chiara, soprattutto per quanto riguarda l’accesso a fotocamera, microfono o file personali. L’installazione di estensioni di sicurezza per il browser può bloccare frame e script sospetti prima che possano causare danni.
Un altro accorgimento importante riguarda la verifica degli URL prima di cliccare. Passare il mouse sopra un link senza cliccare permette di visualizzare nella barra in basso del browser l’indirizzo reale di destinazione. Se questo non corrisponde a quanto ci si aspetta, meglio evitare il click. Anche prestare attenzione ai permessi concessi alle applicazioni e ai siti web è cruciale: se un sito richiede l’accesso a funzionalità del dispositivo senza un motivo evidente, è un segnale d’allarme. La Polizia Postale ha pubblicato alcuni consigli specifici in merito alla vicenda Booking, sottolineando l’importanza di verificare sempre l’autenticità delle comunicazioni ricevute. In caso di dubbi, è consigliabile contattare direttamente la struttura ricettiva o la piattaforma utilizzando i recapiti ufficiali presenti sul sito web, non quelli eventualmente indicati nel messaggio sospetto. Questo semplice passaggio può evitare di cadere in truffe sofisticate.
