Исправление пользовательского интерфейса и автоматическое нажатие

Есть одна вещь, которую я не понимаю о UI Redressing attack. В основном то, что я понимаю:

1-пользователь нажимает на внешний URL

2-откроется веб-страница злоумышленники. Внутри этой веб-страницы исходная веб-страница загружается в виде iframe прозрачным образом.

3-когда пользователь взаимодействует с веб-страницей злоумышленников, он будет взаимодействовать с прозрачным iframe.

Вот где я запутался. Зачем пользователю вообще взаимодействовать с загруженной веб-страницей? После загрузки внутреннего iframe можно использовать код javascript для автоматизации кликов по странице. Поскольку все это происходит в браузере жертв, целевой сайт получит cookie сеанса жертв и предположит, что все в порядке.

Я что-то упускаю? Спасибо заранее

Примечание: обратите внимание, что это UI Redressing attack, также известный как click-jacking. Это отличается от фишинговых атак.

1 ответ

  1. Пользователь хочет взаимодействовать с загруженной веб-страницей, потому что пользователь не знает, что они посещают поддельную (неподлинную) страницу. Я не на 100% уверен в javascript, но я уверен, что злоумышленник хочет зарегистрировать действия пользователя (e.g, нажатия клавиш для пароля).