В переводе на русский кликджекинг означает буквально «воровство кликов». Пользователя обманом заставляют нажать на какой-то элемент на странице, часто невидимый, который запускает нужное мошенникам действие. Это немного похоже на ситуацию, в которой человека просят оставить автограф и подсовывают на подпись важный документ.
Как Яндекс защищает пользователей
Алгоритмы Яндекса вычисляют страницы с кликджекингом и понижают их в результатах поиска. Однако на такие сайты можно попасть не только из поиска, но и по прямой ссылке — поэтому Яндекс.Браузер предупреждает пользователей об опасности, если при сборке страницы замечает на ней невидимый слой.
Пример мошеннической схемы
Часто кликджекинг используется для того, чтобы воровать личные данные пользователей из соцсетей. Для этого на мошеннической странице помещается невидимый элемент управления из популярной соцсети. Нажав на него, пользователь может незаметно для себя подписаться на какую-нибудь группу и таким образом дать доступ к своим личным данным — например, к номеру телефона.
Иногда кнопка-невидимка не прикреплена ни к какому элементу страницы, а перемещается вслед за курсором — получается, что для авторизации действия, нужного злоумышленникам, достаточно вообще любого клика на странице, даже на как будто бы пустое поле.