Bazen kullanıcı arayüzü düzeltme saldırısı olarak da adlandırılan tıklama hırsızlığı, kötü amaçlı bir bilgisayar saldırısı tekniğidir. Kötü niyetli bir web sitesi operatörünün, bir kullanıcının kötü amaçlı web sitesini ziyaret ettiğinde eylemleri üzerinde kontrol sahibi olmasına olanak tanır. Saldırgan, kullanıcıyı gizli bir bağlantıya, düğmeye veya web sayfası öğesine tıklaması için kandırmak amacıyla çeşitli şeffaf veya opak katmanlar kullanır. Mağdurlar, kötü amaçlı bir web sayfası öğesine tıkladıklarının farkında değildir ve bilmeden kötü amaçlı web sitesine bilgi girmektedir.
Clickjacking tekniği, gizli formlar aracılığıyla hassas bilgilerin çalınması, kötü amaçlı yazılımların indirilmesi veya trafiğin diğer kötü amaçlı web sitelerine yönlendirilmesi gibi çeşitli kötü amaçlı faaliyetler için kullanılmıştır. Kullanıcıları normalde tıklamayacakları "beğen" düğmesi veya reklam gibi düğmelere tıklamaları konusunda kandırmak için de kullanılabilir.
Saldırı, bir saldırganın kurbanın tarayıcısını, kötü amaçlı web sitesinin görünmez bir öğesini meşru bir web sitesinin arayüzü üzerinden çerçeveleyecek şekilde manipüle etmesiyle başlar. Kurban, istenen eylemi gerçekleştirmek yerine meşru web sitesinde görünen öğeye tıkladığında, kötü niyetli web sitesi operatörü çerçevelenen gizli öğenin kontrolünü ele geçirir. Örneğin, bir "beğen" düğmesine tıklandığında, temel web sitesi kodu kullanıcının bilgisi olmadan kullanıcı adını ve şifresini girmesine neden olabilir.
Clickjacking'in etkisi gizlilik ihlallerinden, bilgisayarların uzaktan kontrolü de dahil olmak üzere ciddi güvenlik ihlallerine kadar değişebilir. Saldırıyı önlemek için, güvenli web siteleri iframe'leri korumalı alana alma, web sitesi öğeleriyle etkileşimler için açık yetkilendirme, tıklama izleme ve tıklamaların kaynağının belirlenmesi gibi önlemler almalıdır.
