Ciência e Tecnologia

Clickjacking: definição e prevenção de ataques

Foto de Strong Strongjulho 1, 2023
0 6 minutos de leitura

.

O clickjacking pode ser descrito como uma forma perigosa de esconde-esconde online.

hackers oculte links maliciosos atrás de páginas da web reconhecíveis ou atraentes e espere que os usuários os procurem involuntariamente. Ao contrário da versão infantil do esconde-esconde, o buscador nesses ataques de reparação da interface do usuário sempre perde o jogo.

Para proteja-se a si e aos seus dispositivos de cibercriminosos, é importante saber quando e onde o clickjacking está em ação. Nosso guia detalhado pode ajudá-lo a entender melhor os perigos dos links ocultos de páginas da Web.

Artigos relacionados

O que é clickjacking?

O clickjacking ocorre quando hackers e cibercriminosos criam camadas transparentes sobre botões ou links que redirecionam os usuários para sites indesejados sem seu conhecimento. Esses ataques retiram cliques de páginas legítimas e fazem com que os usuários visitem sites ou páginas de destino não autorizados.

Além de redirecionar o tráfego, o clickjacking pode levar a:

  • O roubo de credenciais de login, incluindo nomes de usuários e senhas
  • Acesso não autorizado a câmeras e microfones
  • A propagação de malware
  • Um aumento no sucesso de golpes online
  • compras não solicitadas
  • Pagamentos não aprovados para anúncios e sites de comércio eletrônico

Tipos de Clickjacking

O objetivo dos ataques de clickjacking é bastante comum: induzir o usuário a selecionar um botão ou link malicioso. No entanto, existem diferentes variações de clickjacking que os cibercriminosos usam para incentivar esse resultado:

  • Likejacking: Os botões “Curtir” nas páginas de mídia social são sequestrados e fazem com que os usuários interajam com páginas e perfis não intencionais ou perigosos.
  • Cursorjacking: Os cibercriminosos mascaram a localização do cursor de um usuário para que pareça estar em uma parte diferente da página do que realmente está.
  • Cookiejacking: Os hackers roubam os cookies de um usuário, que contêm dados confidenciais que podem ser usados ​​para imitar o usuário.
  • Roubo de arquivo: Os invasores de arquivos colocam quadros sobre os botões de “procurar arquivos”, o que faz com que as vítimas concedam aos cibercriminosos acesso involuntário a seus arquivos online.
  • Roubo de rato: Os criminosos controlam remotamente as funções de um dispositivo e podem clicar em itens, digitar comandos e criar códigos.

Ataques de clickjacking

Em um ataque de clickjacking, os usuários pensam que estão realizando uma ação, mas quadros invisíveis os levam a realizar uma ação inesperada diferente. Esses ataques podem variar de incrivelmente perigosos a simplesmente inconvenientes, e podem ser o catalisador para ataques maiores e mais perigosos.

Ataques Autocontidos

A maioria dos ataques de clickjacking são considerados ataques independentes porque dependem de uma ação. Nesses casos, um usuário clicará em um quadro de página da Web invisível e executará uma ação desconhecida ou não autorizada.

Ataques Multistep

Semelhante aos ataques independentes, os ataques de clickjacking em várias etapas usam ações do lado do cliente para iniciar ataques. Esses ataques são precisos e exigem que os usuários cliquem em vários quadros invisíveis para funcionar com sucesso. Por exemplo, um hacker que deseja que um usuário faça uma compra não autorizada deve configurar frames adicionais que façam com que os usuários adicionem itens a um carrinho de compras antes do clique final.

Ataques Combinados

Embora muitos ataques de clickjacking sejam independentes, eles também podem ser usados ​​para executar ataques combinados. Nesses casos, os hackers conseguirão enganar os usuários para que caiam em um ataque de clickjacking, que também pode executar ataques maliciosos maiores. Clickjacking e ataques DOM XSS — ataques que visam o código do lado do cliente e fazem com que as páginas da Web atuem de maneira maliciosa — são ataques combinados comuns que modificam o código e executam ações não autorizadas do lado do cliente.

Exemplo de clickjacking

Ataques de clickjacking foram bem-sucedidos em grandes corporações como Facebook, Twitter e PayPal. No entanto, esses tipos de ataques online também visam usuários individuais.

Por exemplo, um cibercriminoso pode criar uma página de destino falsa ou sequestrar os iframes de um site legítimo. Em ambos os casos, um ataque de clickjacking pode ocorrer assim:

  1. Os usuários abrirão e carregarão um site ou página da Web direcionado.
  2. Botões atraentes como “Jogue agora” ou “Ganhe uma viagem grátis” serão preenchidos.
  3. Os usuários tentarão clicar em um botão.
  4. Os usuários clicarão no quadro transparente ou sequestrado.
  5. Em vez disso, os usuários seguirão o botão do malfeitor, podendo levar à transferência de fundos para o criminoso, exclusão de conta ou qualquer outro tipo de ação maliciosa.

Em muitos casos, esses ataques não podem ser rastreados até o cibercriminoso porque o usuário concordou com a ação sem saber.

Prevenção de Clickjacking

O clickjacking pode ocorrer em qualquer site que possa ser enquadrado, portanto, as medidas de prevenção de clickjacking geralmente tentam restringir os recursos de enquadramento de um site. As técnicas de prevenção podem ser usadas tanto no lado do cliente quanto no lado do servidor.

Prevenção do lado do cliente

As medidas de prevenção que podem ser executadas por um usuário em seus próprios dispositivos ou páginas da Web sem a ajuda ou conhecimento de um servidor de rede são conhecidas como técnicas de prevenção do lado do cliente. Essas técnicas geralmente podem ser ignoradas, portanto, são mais bem usadas com outros métodos do lado do servidor.

Script de bloqueio de quadro de clickjacking

Os scripts de prevenção são colocados e usados ​​em um navegador da web. Essa defesa de clickjacking — também conhecida como scripts de quebra de quadro — é específica da plataforma e também pode ser facilmente neutralizada por invasores com conhecimento de HTML e JavaScript. No entanto, scripts bem-sucedidos podem:

  • Tornar quadros invisíveis de página da Web visíveis
  • Impeça que quadros invisíveis sejam clicáveis
  • Identificar e proteger contra tentativas de clickjacking
  • Certifique-se de que a janela pretendida não esteja coberta por uma moldura invisível

Extensões Anti-Clickjacking

As extensões do navegador podem ajudar a evitar o roubo de cliques, mas podem desativar o JavaScript e afetar negativamente a experiência do usuário de uma página da web. Quando instalados, esses bloqueadores de JavaScript podem impedir a abertura de sites populares como o YouTube e o Facebook.

Extensões de navegador maliciosas também existem e podem causar problemas adicionais para alguns usuários. Se você optar por desativar o JavaScript com uma extensão anti-clickjacking, pesquise suas opções ou escolha fontes confiáveis ​​como ScriptSafe ou NoScript.

Software antivírus

confiável software antivírus trabalha o tempo todo para manter os dispositivos protegidos contra uma variedade de ataques maliciosos. No caso de clickjacking, o software antivírus pode alertar os usuários antes que eles entrem em sites potencialmente perigosos e pode ajudar a manter os dados e informações seguros no caso de um ataque bem-sucedido.

Prevenção do lado do servidor

Os mecanismos de defesa que precisam ser criados e executados por um servidor são conhecidos como técnicas de prevenção do lado do servidor. Eles não podem ser configurados ou usados ​​por um cliente e só são bem-sucedidos quando implementados no servidor.

X-Frame-Options

Originalmente criado para o Internet Explorer, o X-Frame-Options foi rapidamente adaptado como um método de prevenção de clickjacking em outros navegadores. Essa técnica controla os iframes e outros objetos de uma página da Web ao executar diretivas como:

  • X-Frame-Options: negar impede o uso ou mudança de armações
  • X-Frame-Options: sameorigin restringe o enquadramento do site à página original
  • X-Frame-Options: allow-from https://any-site.com permite alterações de enquadramento de sites específicos

X-Frame-Options: allow-from só está ativo em alguns navegadores, mas as outras diretivas podem ser combinadas com uma política de segurança de conteúdo para criar um método multifacetado de prevenção de clickjacking.

Política de segurança de conteúdo

Os ataques a páginas da Web geralmente são evitados pela política de segurança de conteúdo (CSP), que também ajuda a detectar quando e onde esses ataques podem ocorrer. Este método de prevenção fornece páginas da Web com uma lista específica de fontes, alterações e usuários permitidos e não permitidos.

Semelhante ao X-Frame-Options, o CSP possui diretivas de proteção específicas:

  • Content-Security-Policy: frame-ancestors ‘none’ impede que agentes mal-intencionados alterem os quadros
  • Content-Security-Policy: frame-ancestral ‘self’ mantém o enquadramento do site na página original
  • Política de segurança de conteúdo: ancestrais de frame any-site.com permite apenas que sites específicos executem alterações de enquadramento

Quando criados adequadamente e implementados dentro de uma estratégia multicamadas, os métodos de prevenção do lado do servidor são incrivelmente bem-sucedidos na proteção contra tentativas de clickjacking.

O clickjacking é uma ameaça para todos os tipos de navegadores online. Guardando dispositivos limpos de malware e outros softwares mal-intencionados podem ajudar a manter o navegador do usuário livre de vulnerabilidades de clickjacking. Softwares de segurança pode até ajudar a adaptar os serviços de segurança cibernética às necessidades específicas de proteção de um usuário.

Fontes: Intellipaat | OWASP | Sépio

.

Etiquetas
Foto de Strong Strongjulho 1, 2023
0 6 minutos de leitura
Mostrar mais
Foto de Strong

Strong

Artigos relacionados

Como esconder suas fotos íntimas

julho 2, 2022

Como compartilhar uma biblioteca Plex (e é legal?)

maio 20, 2023

7 maneiras comuns pelas quais os sites são invadidos

novembro 14, 2022

Kinly nomeia Amy Amesbury como gerente de marketing do Reino Unido

setembro 20, 2023

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo