Clickjacking é quando um cibercriminoso engana um usuário para que ele clique em um elemento invisível em uma página da Web, ‘sequestrando’ os cliques do usuário para fins maliciosos.
Para fazer isso, os invasores colocam uma camada transparente sobre uma página legítima, que, quando clicada, aciona uma operação maliciosa em segundo plano. A pior parte disso tudo? Você não tem absolutamente nenhuma idéia de que está acontecendo.
O clickjacking, também conhecido como correção de interface do usuário, foi usado no passado para:
Roubar senhas
Curtidas falsas no Facebook
Empurre golpes online e espalhe malware enganando as pessoas para que cliquem em links de download maliciosos
Enganar as pessoas para que liguem a webcam ou o microfone
Aqui está como funciona
Para que um ataque funcione, um elemento específico da página da Web precisa ser direcionado, como um link, botão ou cabeçalho. Para obter o máximo impacto, os invasores terão como alvo as áreas em que os usuários têm maior probabilidade de clicar.
Em geral, os sites HTTP geralmente se tornam um campo de batalha para ataques de clickjacking, pois não possuem a camada de segurança que os sites HTTPS fornecem.
Exemplo de clickjacking nº 1: roubando seu dinheiro
Um invasor usa várias camadas para induzi-lo a transferir seu dinheiro para a conta bancária dele.
Como isca, o hacker apresenta uma página atraente que promete uma viagem grátis a Bali se você clicar no botão “Reservar minha viagem grátis”.
Enquanto isso, o hacker verifica se você está logado no seu site bancário. Nesse caso, uma página de transferência bancária invisível é carregada atrás da ‘página de viagem grátis’. O hacker insere seus dados bancários no formulário.
O botão “Confirmar transferência” está alinhado exatamente sobre o botão “Reservar minha viagem grátis”.
Você clica no botão “Reservar minha viagem grátis” (que na verdade é o botão invisível “Confirmar transferência”) e, sem saber, transfere dinheiro diretamente para a conta do hacker.
Você é redirecionado para uma página fictícia sobre sua suposta ‘viagem grátis’, alheia a tudo o que aconteceu em segundo plano.
Exemplo de clickjacking nº 2: Fingindo curtidas no Facebook
Um invasor engana você para curtir uma página do Facebook sem que você perceba, ganhando milhares de seguidores reais.
O invasor cria um site fictício com um botão que diz “Clique aqui para voltar ao Google”.
No topo dessa página, uma página invisível é carregada com o botão ‘Curtir’ do Facebook alinhado exatamente sobre o botão “Clique aqui para voltar ao Google”.
V
ocê tenta clicar no botão “Clique aqui para voltar ao Google”, mas, em vez disso, clica no botão invisível do Facebook ‘Curtir’ do invasor.
Exemplo de clickjacking nº 3: roubando suas credenciais
Um hacker coleta seu nome de usuário e senha sobrepondo uma caixa de login falsa em cima de uma caixa real.
O invasor posiciona uma camada transparente sobre o site legítimo, de modo que os dois campos de texto se sobreponham.
Agora, você não pode dizer a diferença entre o campo de texto que você vê e o idêntico que o invasor enganou.
Para o deleite do hacker, você digita sua senha diretamente em seu campo de texto invisível sobrepondo-se ao real. No entanto, tudo o que você digitar ficará oculto, então a maioria das pessoas sabe que algo está acontecendo quando não consegue ver nenhum caractere aparecendo enquanto digita.
Mas quantos de nós digitamos senhas e apertamos enter sem nem mesmo olhar para cima do teclado? É em momentos apressados como esses que os invasores confiam para roubar suas credenciais.
Qual é a diferença entre clickjacking e phishing?
Um golpe de phishing é um pouco diferente do clickjacking, pois envolve comunicação direta com a vítima. Normalmente, um invasor envia um e-mail falso, imitando uma empresa legítima, que engana as pessoas para que respondam com informações pessoais.
Em outros casos, o e-mail contém links maliciosos para sites falsos ou abre uma janela pop-up que imita um site legítimo. Na realidade, ele apenas coleta suas informações.
Mitigação
A maioria dos navegadores protege contra clickjacking com a política de mesma origem. Isso significa que um navegador permitirá que scripts em uma página da Web acessem dados em uma segunda página, mas somente se ambas as páginas tiverem a mesma origem. O navegador verifica a origem das páginas comparando seus esquemas de URI, nomes de host e números de porta — tudo isso deve corresponder.
Para evitar que clickjackers tentem roubar suas informações confidenciais, um gerenciador de senhas é um ótimo lugar para começar. Por exemplo, um gerenciador de senhas detecta sites inseguros (como sites HTTP – o tipo que normalmente é usado em ataques de clickjacking), avisando os usuários com uma notificação de que eles estão prestes a acessar um site desprotegido.
