UI Redress и автоматическое нажатие

Question

Есть одна вещь, которую я не понимаю об атаке по исправлению интерфейса. В основном то, что я понимаю:

1 пользователь нажимает на внешний URL

2- открывается атакующие веб-страницы. Внутри этой веб-страницы исходная веб-страница загружается как iframe прозрачным образом.

3 Поскольку пользователь взаимодействует с веб-страницей злоумышленников, он фактически будет взаимодействовать с прозрачным iframe.

Здесь я смущен. Почему пользователю даже нужно взаимодействовать с загруженной веб-страницей? Как только внутренний iframe загружен, у вас может быть код javascript для автоматизации кликов на странице. Так как это все происходит в браузере жертв, целевой сайт будет получать файлы cookie для жертв и принимать все меры в порядке.

Я что-то упустил? Заранее благодарен

Примечание: обратите внимание, что это атака по устранению пользовательского интерфейса, также известная как щелчок. Это отличается от фишинговых атак.

Answer 1

Пользователь хочет, чтобы взаимодействовал с загруженной веб-страницей, поскольку пользователь не знает, что они посещают поддельную (недостоверную) страницу. Я не на 100% уверен в javascript, но я уверен, что злоумышленник хочет зарегистрировать активность пользователя (например, нажатия клавиш для пароля).