Clickjacking: Google alza le barriere contro gli annunci invisibili

Il termine clickjacking – letteralmente “rapimento del click” – indica una tecnica informatica fraudolenta mediante cui, nel corso di una comune navigazione, l’utente che clicca con il puntatore del mouse su di un oggetto (ad esempio un link) viene reindirizzato a sua insaputa verso un altro oggetto. Ne è un esempio quando un utente che provando a far partire una riproduzione video su una pagina, senza rendersene conto, clicca su un insieme di annunci invisibile e viene reindirizzato ad un altra pagina. Questa tecnica, rilevata per la prima volta da Robert Hansen e Jeremiah Grossman nel 2008, si basa sul reindirizzamento generato attraverso JavaScript o mediante l’utilizzo di un IFRAME (Inner Frame), ossia una cornice “ancorata” all’interno della pagina, utilizzata per visualizzare un contenuto che in realtà è esterno ad essa.

Esempio di click ad un’inserzione attraverso il clickjacking.

Che cosa si rischia con il clickjacking?

La tecnica del clickjacking generalmente non comporta particolari rischi per il navigatore, ma consente a qualche furbetto di ottenere un maggior numero di mi piace su Facebook o follower su Twitter e, soprattutto, sfruttare i click per guadagnare impropriamente dai banner pubblicitari, in particolare attraverso le campagne display del circuito di Google AdSense. Ad ogni click sul banner, infatti, corrisponde un piccolo reddito per chi ospita l’inserzione, ma in questo caso il click è involontario e di conseguenza il guadagno non è legittimo. Il fenomeno dei click fraudolenti è sempre più diffuso ed è riconosciuto come reato in molte giurisdizioni, fra cui anche quella italiana.

L’intervento di Google contro il clickjacking.

Tutto questo ha spinto Google ad implementare nuove strategie difensive per proteggere gli inserzionisti da chi guadagna abusivamente dalle inserzioni pubblicitarie invisibili. Un lavoro che coinvolge il team su più livelli, secondo una sinergia che coinvolge le aree tecnologiche, operative e strategiche. In particolare, il team di ingegneri di Google ha prontamente provveduto a costruire un nuovo filtro in grado di escludere automaticamente il traffico proveniente dal clickjacking.
“Quando il nostro sistema rileva un tentativo di clickjacking, concentriamo l’attenzione sul traffico attribuito a tale posizionamento e lo rimuoviamo dai successivi rapporti di pagamento per garantire agli inserzionisti di non pagare per tali clic”, ha spiegato Andres Ferrate, Chief Advocate of Ad Traffic Quality di Google.

L’impennata nel ricorso al clickjacking registrata dall’inizio del 2016 ha spinto Google ad attuare velocemente le contromisure indicate, fra cui l’esclusione immediata dei publisher che fanno uso di questa pratica, e a mantenere costantemente alta l’attenzione nella lotta contro le frodi sul proprio network.