O que é Clickjacking e quais são os seus riscos? Além disso, veja dicas de defesa!

Clickjacking pode ser traduzido como “furto de clique” e é considerado um dos mais fortes tipos de ataques envolvidos na Internet.

Pois neste contexto tão tecnológico, a criatividade de invasores parece não ter um fim.  Com isso, novos tipos de ameaças surgem e, se o usuário não ficar atento às dicas de segurança, pode acabar se tornando um alvo fácil.

O que é e para que serve?

O Clickjacking é uma classe de vulnerabilidade que afeta a maior parte dos navegadores de internet, como por exemplo: o Firefox, Chrome, internet Explorer, opera e safari. Através desse tipo de ataque é possível que o invasor controle a Webcam e o microfone de suas vítimas.

Riscos ao usuário

O principal risco que o usuário está exposto é o Phishing, que é quando suas informações e dados relevantes são roubados e usados de forma indevida. Por exemplo: o roubo de senhas de rede sociais, Internet Banking, etc.

Como funciona

O invasor consegue infectar botões de um site legítimo, como a Netflix, por exemplo. Assim, quando o usuário clica, baixa inconscientemente diversos malwares ou acaba sendo direcionado para páginas com conteúdos maliciosos. Dessa forma, o atacante consegue infectar o computador do usuário sem que o mesmo perceba a ação maliciosa.

Outra forma de ataque com Clickjacking é através do Facebook, onde links com frases curtas e chamativas tentam atrair a atenção do usuário, que ao clicar, é direcionado à páginas que podem baixar arquivos maliciosos para o seu dispositivo.

Exemplos

Vamos exemplificar um pouco a situação, para entendermos melhor esta forma de ataque:

1. O usuário mal-intencionado de alguma forma consegue criar um falso link em um botão de um site confiável.

2. Um usuário comum entra neste site e clica sobre o botão infectado. Sem ter conhecimento do risco, um Malware se instala em seu computador e este usuário é direcionado para uma outra página que nada tem a ver com a página legítima.

3. Com isto o atacante consegue instalar na máquina do usuário programas que podem roubar senhas.

4. Um clássico exemplo é quando um usuário posta anúncios maliciosos no Facebook sem saber. Seus amigos veem a postagem maliciosa, como se a própria pessoa tivesse postado. Isso indica que o usuário foi vítima deste ataque.

Dicas de defesas

Diferente de outros tipos de vulnerabilidades, o clickjacking não resulta de uma implementação errada no código-fonte da linguagem de programação. Normalmente, é o mau uso de algumas características dos recursos do HTML e CSS, combinados com a interação do usuário com elementos transparentes, é que acabam resultando neste tipo de ataque.

Se você tem interesse na área de Segurança da Informação, este artigo pode te ajudar na preparação dos próximos passos: Carreiras e Certificações de Segurança da Informação.

Dessa forma, o navegador é o principal recurso usado para o ataque. Portanto, segue a dica para o usuário: mantenha o browser atualizado e evite clicar em anúncios e websites de procedência desconhecida. Já para os desenvolvedores, as técnicas mais adotadas são a utilização de quebra de frames e o uso de cabeçalho HTTP X-frame-options.

Enfim, você gostou do nosso artigo? Então deixe a sua opinião!

E se acaso ficou alguma questão, coloque o seu ponto de vista.

Logo após, nós, da PMG Academy, vamos te responder. Até mais!