UI修復和自動點擊

Question

有一件事我不明白UI修復攻擊。基本上，我的理解是：

1的用戶點擊一個外部URL

2-襲擊者網頁打開。在該網頁內部，原始網頁以透明的方式作爲iframe加載。

3-當用戶與攻擊者網頁交互時，他實際上將與透明iframe進行交互。

這裏是我困惑的地方。爲什麼用戶甚至需要與加載的網頁進行交互？一旦加載了內部iframe，您可以使用JavaScript代碼來自動點擊頁面上的點擊。由於這一切都發生在受害者瀏覽器上，因此目標站點將收到受害者會話cookie並認爲事情正常。

我失去了一些東西在這裏？在此先感謝

注意：請注意，這是一個UI修復攻擊，也稱爲點擊劫持。這與釣魚攻擊不同。

Answer 1

用戶希望與加載的網頁進行交互，因爲用戶不知道他們正在訪問虛假（不真實）的頁面。我對JavaScript沒有100％的確定，但我敢肯定，攻擊者想記錄用戶的活動（例如，輸入密碼的鍵盤）。