O que é Clickjacking e quais são os seus riscos? Além disso, veja dicas de defesa!
Clickjacking pode ser traduzido como “furto de clique” e é considerado um dos mais fortes tipos de ataques envolvidos na Internet.
Pois neste contexto tão tecnológico, a criatividade de invasores parece não ter um fim. Com isso, novos tipos de ameaças surgem e, se o usuário não ficar atento às dicas de segurança, pode acabar se tornando um alvo fácil.
O que é e para que serve?
O Clickjacking é uma classe de vulnerabilidade que afeta a maior parte dos navegadores de internet, como por exemplo: o Firefox, Chrome, internet Explorer, opera e safari. Através desse tipo de ataque é possível que o invasor controle a Webcam e o microfone de suas vítimas.
Riscos ao usuário
O principal risco que o usuário está exposto é o Phishing, que é quando suas informações e dados relevantes são roubados e usados de forma indevida. Por exemplo: o roubo de senhas de rede sociais, Internet Banking, etc.


Como funciona
O invasor consegue infectar botões de um site legítimo, como a Netflix, por exemplo. Assim, quando o usuário clica, baixa inconscientemente diversos malwares ou acaba sendo direcionado para páginas com conteúdos maliciosos. Dessa forma, o atacante consegue infectar o computador do usuário sem que o mesmo perceba a ação maliciosa.
Outra forma de ataque com Clickjacking é através do Facebook, onde links com frases curtas e chamativas tentam atrair a atenção do usuário, que ao clicar, é direcionado à páginas que podem baixar arquivos maliciosos para o seu dispositivo.
Exemplos
Vamos exemplificar um pouco a situação, para entendermos melhor esta forma de ataque:
1. O usuário mal-intencionado de alguma forma consegue criar um falso link em um botão de um site confiável.
2. Um usuário comum entra neste site e clica sobre o botão infectado. Sem ter conhecimento do risco, um Malware se instala em seu computador e este usuário é direcionado para uma outra página que nada tem a ver com a página legítima.
3. Com isto o atacante consegue instalar na máquina do usuário programas que podem roubar senhas.
4. Um clássico exemplo é quando um usuário posta anúncios maliciosos no Facebook sem saber. Seus amigos veem a postagem maliciosa, como se a própria pessoa tivesse postado. Isso indica que o usuário foi vítima deste ataque.
Dicas de defesas
Diferente de outros tipos de vulnerabilidades, o clickjacking não resulta de uma implementação errada no código-fonte da linguagem de programação. Normalmente, é o mau uso de algumas características dos recursos do HTML e CSS, combinados com a interação do usuário com elementos transparentes, é que acabam resultando neste tipo de ataque.
Se você tem interesse na área de Segurança da Informação, este artigo pode te ajudar na preparação dos próximos passos: Carreiras e Certificações de Segurança da Informação.
Dessa forma, o navegador é o principal recurso usado para o ataque. Portanto, segue a dica para o usuário: mantenha o browser atualizado e evite clicar em anúncios e websites de procedência desconhecida. Já para os desenvolvedores, as técnicas mais adotadas são a utilização de quebra de frames e o uso de cabeçalho HTTP X-frame-options.
Quer aprender mais sobre Clickjacking e outros termos de Segurança da Informação? Experimente fazer os cursos GRÁTIS que a PMG Academy preparou para você, veja:
Enfim, você gostou do nosso artigo? Então deixe a sua opinião!
E se acaso ficou alguma questão, coloque o seu ponto de vista.
Logo após, nós, da PMG Academy, vamos te responder. Até mais!
Artigos Relacionados






Quais são as vulnerabilidades de segurança cibernética da sua empresa?
Os sistemas corporativos são constituídos por muitas partes distintas, com várias tecnologias e elementos que podem ser menos do que perfeitos. Por isso, praticamente qualquer






Quem são os atores de ameaças?
Ameaças são ações que podem resultar em riscos para um sistema. Um agente de ameaça é a fonte da ameaça no sistema. Além disso, é






Ferramentas de Engenharia Social
A Engenharia Social é uma técnica de ataque que se baseia na psicologia ao invés do conhecimento sofisticado de software ou hardware, pois busca explorar
Responses