Cos’è il clickjacking e come difendersi

Ti è mai capitato di cliccare su un pulsante e ritrovarti su una pagina completamente diversa da quella che ti aspettavi? In alcuni casi non è un errore, ma un tipo di attacco informatico chiamato clickjacking.

Si tratta di una tecnica che sfrutta elementi invisibili nelle pagine web per farti cliccare su link o pulsanti diversi da quelli che vedi. Il risultato può essere un reindirizzamento verso siti pericolosi, il download di malware o l’esposizione di dati sensibili.

In questo articolo vediamo:

• Cos’è il clickjacking
• Come funziona il clickjacking
• Esempio reale di attacco di clickjacking
• Tipi di clickjacking
• Come riconoscere il clickjacking
• Cosa puoi fare per prevenire ed evitare il clickjacking

Buona lettura!

Cos’è il clickjacking

Il clickjacking è un tipo di attacco informatico con cui il cybercriminale induce una persona a cliccare su un elemento invisibile o manipolato all’interno di una pagina web.

A differenza di altri attacchi come il phishing, qui non è tanto il messaggio a ingannare, ma l’interfaccia utente: ciò che vedi sullo schermo non corrisponde a ciò che stai realmente cliccando.

Questa tecnica era già diffusa nei primi anni del web, ma oggi si è evoluta moltissimo. Se in passato sfruttava per lo più iframe nascosti, oggi ha a disposizione un ampio arsenale digitale, tra interfacce dinamiche, pop-up, notifiche e banner per il consenso dei cookie, giusto per fare qualche esempio.

Come funziona il clickjacking

La forma più comune di clickjacking consiste nell’inserire un elemento trasparente sopra pulsanti, link o immagini di una pagina web. Quando una persona fa clic, l’azione viene intercettata da questo elemento invisibile invece che dal contenuto visibile.

In pratica, pensi di fare una cosa, come cliccare su “Guarda il video” o “Accetta”, ma ne fai un’altra.

Questo tipo di attacco può portare a:

• Reindirizzamenti verso siti pericolosi.
• Download di file infetti o malware.
• Furto di password.
• Accesso non autorizzato a fotocamera o microfono.
• Pagamenti o azioni non intenzionali.

Vediamo un esempio di un attacco recente per capire bene come funziona.

Esempio di clickjacking recente

Ad agosto 2025, sono state individuare vulnerabilità nelle estensioni di password manager per i browser, come 1Password o LastPass. In alcuni casi, i ricercatori di sicurezza hanno dimostrato che un attacco di clickjacking poteva essere usato per indurre l’utente a interagire con elementi invisibili, attivando funzioni come l’autocompletamento delle credenziali.

Questo poteva esporre dati sensibili come nome, password o dati della carta di credito, senza che l’utente se ne accorgesse. Vediamo come funziona:

1. L’attaccante crea un sito malevolo con un pop-up invasivo in primo piano, ad esempio un finto banner per il consenso dei cookie o una schermata di login.
2. Sotto quel pop-up nasconde un modulo di login, reso trasparente tramite il codice “opacity: 0”, che il password manager riconosce come campo da compilare automaticamente.
3. L’utente, vedendo solo il pop-up, ci clicca sopra per chiuderlo.
4. In realtà il clic attiva il campo del modulo invisibile: il password manager compila automaticamente le credenziali, che vengono inviate a un server remoto.

Un solo clic basta per esfiltrare nome utente, password, codici 2FA e dati della carta di credito.

LEGGI ANCHE: Phishing bancario: la situazione in Italia

Tipi di clickjacking

L’obiettivo del clickjacking è sempre lo stesso, ossia farti cliccare su un elemento che non vedi o che non hai scelto davvero. Per riuscirci, però, i criminali informatici hanno inventato diverse tecniche e varianti del clickjacking:

• Likejacking: sfrutta i pulsanti dei social per farti mettere un “Mi piace” o condividere contenuti senza volerlo.

• Cursorjacking: fa sembrare che il puntatore del mouse si trovi in un punto della pagina, mentre in realtà stai cliccando altrove.
• Cookiejacking: consente di rubare i cookie di sessione e accedere ai tuoi account senza password.
• Filejacking: modifica pulsanti come “Carica file” o “Sfoglia” per ottenere accesso ai tuoi dati.

Come vedi, il clickjacking si è evoluto molto rispetto ai classici clic involontari di dieci anni fa, e non sono cambiati solo i bersagli, ma anche la struttura stessa degli attacchi.

Infatti, i criminali informatici di oggi lanciano attacchi di clickjacking flessibili, che variano in base alle difese e alla pagina che sfruttano:

• Attacchi a singola azione: richiedono un solo clic, ad esempio per avviare un download malevolo o aprire una pagina di phishing.
• Attacchi multifase: richiedono più interazioni. Un esempio tipico è un falso processo di acquisto: aggiungi un prodotto, confermi i dati e completi un pagamento senza renderti conto di cosa stai facendo davvero.
• Attacchi combinati: il clickjacking è solo il primo passo. Dopo il clic iniziale, l’attacco può evolversi in furto di dati, compromissione di account o installazione di malware.

In pratica, più il sistema è sicuro, più l’attacco deve essere guidato e suddiviso in fasi. Per fare un esempio: un attacco a singola azione può servire ad aumentare artificialmente il traffico su un sito o i like a un profilo (azioni semplici che non richiedono conferma da parte dell’utente). Per attacchi più complessi, come un acquisto fraudolento, servono invece più passaggi, ad esempio aggiungi prodotto -> confermi il pagamento -> effettui la transazione.

Come riconoscere il clickjacking

Il clickjacking è difficile da individuare perché sfrutta elementi del codice informatico a cui quasi nessuno presta attenzione durante la navigazione di tutti i giorni. Detto questo, ci sono alcuni segnali che possono aiutarti:

• Un clic porta a una pagina diversa da quella prevista. 
• I pulsanti non rispondono come dovrebbero.
• Pop-up, banner e altri contenuti che si aprono all’improvviso.
• La pagina cambia mentre stai cliccando o scorrendo.
• Ti viene chiesto di eseguire azioni rapide o poco chiare.

Se qualcosa non torna, fermati subito. Le aziende affidabili controllano con attenzione il proprio sito web, quindi se noti qualcosa di strano è molto probabile che non si tratti di un errore o di un problema tecnico, ma di un tentativo di manipolazione.

Come prevenire il clickjacking

Riconoscere i comportamenti strani dei siti web è utile, ma a livello pratico la cosa davvero importante è proteggersi dai possibili rischi del clickjacking:

• Controlla sempre i link. Quando usi un computer, puoi passare il mouse sopra un link per vedere dove porta prima di cliccare.
• Usa estensioni di sicurezza. Strumenti come ad blocker o script blocker possono impedire il caricamento di codice ed elementi sospetti.
• Mantieni tutto aggiornato. Browser, sistema operativo e app aggiornati riducono il rischio di vulnerabilità. Scopri perché è importante aggiornare regolarmente tutti i software.
• Evita i siti poco affidabili. Molti attacchi di clickjacking avvengono su siti compromessi o non sicuri. Ti consigliamo di evitare i siti che non conosci bene o con una cattiva reputazione, o quantomeno di non inserire informazioni personali e dati finanziari.
• Usa un antivirus. Un antivirus con protezione in tempo reale può bloccare i siti pericolosi e i file dannosi prima che infettino il tuo dispositivo o accedano ai tuoi dati.

Il clickjacking è un tipo di attacco invisibile e proprio per questo estremamente efficace. Come abbiamo visto, però, non serve essere esperti per evitarlo, basta prestare attenzione a dove clicchi, navigare su siti affidabili e usare un buon software di sicurezza come Panda Dome, che ti protegge dal clickjacking e molte altre minacce digitali di oggi.

CONTINUA A LEGGERE: 20 esempi di SMS truffa nel 2026 per proteggersi

Buona navigazione e buona protezione dal clickjacking!

• cyber sicurezza
• privacy
• protezione