O que é Clickjacking?

Escrito por

Clickjacking pode ser traduzido como 'furto de clique'. E é considerado um dos mais fortes tipos de ataques envolvidos contra a Internet.

Neste contexto tão tecnológico, a criatividade de invasores parece não ter um fim, com isso, novos tipos de ameaças surgem, e se o usuário não ficar atendo com as dicas de segurança pode acabar se tornando um alvo fácil.

  • O que é e para que serve

O Clickjacking é uma classe de vulnerabilidade que afeta maior parte dos navegadores de internet, como por exemplo, o Firefox, Chrome, internet Explorer, opera e safari. Com este tipo de ataque é possível que o invasor controle Webcam e microfone de suas vítimas.

  • Riscos ao usuário

O principal risco que o usuário está exposto é o Phishing, onde o usuário pode ter informações e dados relevantes roubados e usados de forma indevida. Outro risco é o uso indevido da senha de rede social e do Internet Banking do usuário afetado.

  • Como funciona

O invasor consegue infectar botões de um site legítimo, como o site da Netflix por exemplo, e quando o usuário clica neste botão ele acaba baixando de forma inconsciente diversos malwares ou é direcionado para página com conteúdos maliciosos.
Como podemos perceber, o atacante consegue infectar o computador do usuário sem que o mesmo perceba a ação maliciosa.
Outra forma de atacar com Clickjacking é através do facebook, onde links com frases curtas e chamativas tentam atrair a atenção do usuário, que acaba clicando sobre o link e é direcionado para página que pode baixar arquivos maliciosos para o dispositivo do cliente.

  • Exemplos:

Vamos exemplificar um pouco a situação, para entendermos melhor esta forma de ataque usando o Clickjacking.
O usuário mal-intencionado de alguma forma consegue criar um falso link em um botão de um site confiável.

Um usuário comum entra neste site e clica sobre o botão infectado. Sem ter conhecimento do risco, um Malware é instalado em seu computador e este usuário é direcionado para uma outra página que nada tem a ver com a página legítima.

Com isto o atacante consegue instalar na máquina do usuário programas que podem roubar senhas.

Um clássico exemplo, é quando um usuário posta anúncios maliciosos no Facebook sem saber. Seus amigos veem a Postagem maliciosa como se a própria pessoa tivesse postado. Isso indica que o usuário foi vítima deste ataque.

  • Dicas de defesas

Diferente de outros tipos de vulnerabilidades, o clickjacking não resulta de uma implementação errada no código fonte da linguagem de programação.

Geralmente é o mau uso de algumas características dos recursos do HTML e CSS combinados com a interação do usuário com elementos transparentes é que acabam resultando este tipo de ataque. O navegador é o principal recurso usado para este ataque.
No lado do usuário a dica para evitar esta vulnerabilidade é manter sempre o browser atualizado e evitar clicar em anúncios e websites que sejam de procedência desconhecida.

No lado de desenvolvedores, as técnicas mais adotadas são a utilização de quebra de frames e o uso de cabeçalho HTTP X-frame-options.

Quer aprender mais sobre Clickjacking e outros termos de Segurança da Informação? Veja nossos cursos oficiais:

Deixe um comentário

Certifique-se de preencher os campos indicados com (*). Não é permitido código HTML.


Nossos produtos


  • Curso e Exame Online EXIN SCRUM Agile MASTER
    Agile Scrum Master
  • Curso e Exame Online EXIN SCRUM Agile FOUNDATION
    Agile Scrum Foundation
  • Curso e Exame Online Ethical Hacking Foundation
    Ethical Hacking Foundation
  • Curso e Exame Online SECURE PRO FOUNDATION
    Secure Programming Foundation
  • Curso e Exame Online ITIL v3 Foundation
    ITIL v3 Foundation
  • Curso e Exame Online ITIL PRACTITIONER
    ITIL v3 Practitioner
  • Curso e Exame Online ITIL Intermediate RCV
    ITIL Intermediate - RCV
  • Curso e Exame Online ITIL Intermediate PPO
    ITIL Intermediate - PPO
  • Curso e Exame Online COBIT 5 Foundation
    CobiT 5
  • Curso e Exame Online Cloud Computing Foundation
    Cloud
  • Curso e Exame Online BISL Foundation
    BiSL Foundation
  • Curso e Exame Online ISO 27002 FOUN ISFS
    ISO 27002
  • Curso e Exame Online ISO 20000 FOUNDATION
    ISO 20000 Foundation
  • Curso e Exame Online ISO 27002 Advanced ISMAS
    ISMAS - ISO 27002 Advanced
  • Curso e Exame Online EXIN GREEN IT FOUNDA
    Green IT Foundation
  • Curso e Exame Online EXIN GREEN IT CITIZEN
    Green IT Citizen
  • Curso e Exame Online Val IT ISACA
    Val IT
  • Curso e Exame Online ISO 20000 BRIDGE Foundation
    ISO 20000 Bridge Foundation
  • Curso e Exame Online MOF FOUNDATION
    MOF 4.0 Foundation
  • Curso e Exame Online Pacote INTEGRATOR
    Integrator Secure Cloud Services
  • VIRTUALIZ
    LPIC-3
  • BIG DATA C
    Fundamentos do Big Data
  • REDE WIFI
    Práticas de Wifi
  • Qlikview
    QlikView
  • Visual Basic .NET na Prática
    .Net na Prática
  • Net VB .Net Grátis
    Introdução ao .Net
  • Curso e Exame Online ITMP GR C3 81TIS
    ITMP
  • SURFANDO NO SCRUM
    Surfando no Scrum
  • Curso e Exame Online COBIT 4.1 Foundation
    CobiT 4.1
  • rede wifi introdução Grátis
    Redes Wi-Fi Grátis
  • Curso Online Preparatorio RHCSA RH135 Centos 7 System Linux Administrator II
    RH135