А получается у них это делать с помощью clickjacking.
Clickjacking (классифицируется как атака с изменением пользовательского интерфейса) - это злонамеренный метод, заставляющий пользователя нажимать на что-то, отличное от того, что он воспринимает, таким образом потенциально раскрывая конфиденциальную информацию или позволяя другим контролировать свой компьютер. при нажатии на, казалось бы, безобидные объекты, включая веб-страницы.
В веб-браузерах clickjacking - это проблема безопасности браузера, которая является уязвимостью во множестве браузеров и платформ. Clickjacking также может происходить вне веб-браузеров, включая приложения.
Clickjack принимает форму встроенного кода или сценария, который может выполняться без ведома пользователя, например нажатие кнопки, которая появляется для выполнения другой функции.
Для наглядности фото:
Как видно на фото , блог подгружается во <iframe> другой страницы.
Как проводят атаку:
- Посетителя заманивают на вредоносную страницу.
- На странице есть ссылка, которая выглядит безобидно (например, «Разбогатей прямо сейчас» ).
- Поверх этой ссылки вредоносная страница размещает прозрачный <iframe> с сайта zen.yandex.ru таким образом, что кнопка «Подписаться» находится прямо над этой ссылкой.
- При попытке клика на эту ссылку посетитель на самом деле нажимает на кнопку.
Такой скрипт как правило располагают на бесплатном хостинге.
Защита со стороны пользователя возможно используя такие расширения как noscript