Clickjacking: o que é e como se proteger

Clickjacking (também conhecido como ataque de redirecionamento de UI) é uma técnica bastante comum de hacking. Ele é um ataque cibernético que esconde links embutidos em botões, tudo com o objetivo de redirecionar as vítimas quando elas clicam nestes botões e, assim, permitem aos cibercriminosos roubar as informações e dados pessoais delas.

O clickjacking é um dos ataques mais comuns da atualidade e consegue atingir a maior parte dos navegadores.

Os cibercriminosos criam páginas web bastante convincentes e colocam páginas invisíveis ou elementos HTML que se sobrepõem na página. O objetivo é enganar a vítima e fazer com que ela clique em um botão, pop-up, banner ou qualquer coisa do tipo.

Quando a vítima clica nestes elementos maliciosos, ela aciona estes links através destes links ocultos. A partir daí, uma série de coisas pode acontecer e os hackers conseguem realizar vários tipos de ações, como:

• Fazer download de malware no dispositivo (como instalar vírus no computador);
• Roubar suas informações de login e dados de acesso diversos;
• Disseminar worms através das mídias sociais da vítima;
• Pagar por algo que você não pretendia comprar;
• Ativar sua webcam e/ou seu microfone.

Apesar de ter os mesmos objetivos, em essência, os ataques de clickjacking são divididos em diferentes tipos, cada um com características próprias:

• Likejacking – é um tipo de clickjacking usado para manipular o botão de likes do Facebook. Quando elas são usadas para este tipo de golpe, você acaba curtindo páginas e perfis que não queria curtir.
• Cursorjacking – é uma técnica usada para manipular seu cursor. Ela muda a posição do cursor, o que faz com que a vítima não saiba exatamente onde ele está. Esta técnica de clickjacking é muito usada para explorar vulnerabilidades encontradas no Adobe Flash e no Firefox. Estas vulnerabilidades já foram corrigidas nas versões mais atualizadas do Firefox e do Flash.
• Browserless – é uma estratégia usada para realizar ataques de clickjacking sem a necessidade de um navegador web. Neste método, os criminosos usam dispositivos móveis para sequestrar notificações do sistema.
• Cookiejacking – neste tipo de ataque, os hackers roubam os cookies dos navegadores das vítimas. Geralmente, as pessoas são enganadas para mover elementos aparentemente inofensivos, mas, na realidade, copiam todo o conteúdo de cookies e acabam repassando tudo para os hackers.
• Filejacking – aqui, a estratégia do hacker é enganar as vítimas para estabelecer uma conexão ativa de servidor com o navegador web delas e, assim, permitir o acesso aos arquivos do seu dispositivo.
• Nested – o nested é um tipo específico de clickjacking criado para afetar o Google Chrome.

Além disto, o clickjacking pode ser usado em ataques contra gerenciadores de senhas, sendo usado para ataques que usam vulnerabilidades de recurso de preenchimento automático e armazenamento de credenciais nos navegadores.

Um dos exemplos mais significativos de clickjacking ocorreu em julho de 2017, quando o malware conhecido como Sypeng se disseminou através de ataques de clickjacking em sistemas Android.

Depois de se instalar no dispositivo e infectá-lo, o Sypeng consegue privilégios de administrador e, assim, permite a realização de sobreposições. Entre as ações dadas aos hackers, há a possibilidade de enviar e receber mensagens, fazer chamadas e acessar várias informações e históricos das vítimas.

O Sypeng também permite realizar capturas de tela e de qualquer tipo de informação roubada e enviá-las aos cibercriminosos. Registros de chamadas, aplicativos instalados no dispositivo e até a lista de contatos das vítimas são alguns exemplos do que os criminosos conseguem com este malware – e este é só um exemplo de ataque de clickjacking.

Felizmente, há muitos modos de se defender contra ciberataques de clickjacking, e podemos categorizá-las entre as medidas adotadas pelos servidores (server-side) e pelos usuários (client-side).

1. Medidas de proteção para servidores (server-side)

O clickjacking não afeta os websites em si. Mas, se você tem um website, hackers podem usar seu conteúdo para criar uma cópia bem parecida e, através dela, realizar ataques de clickjacking.

Assim, os ataques de clickjacking são baseados em agrupar uma página em um iframe e, depois, adicionar elementos invisíveis sobre ela. Então, você precisa assegurar que o enquadramento esteja desabilitado para conseguir proteger melhor seu website. Você pode fazer isto através dos seguintes passos:

1. As Opções X-Frame de cabeçalho HTTP podem ser usadas para determinar se o navegador deve permitir o enquadramento da página nas tags frame, iframe ou object. Você pode escolher entre três valores:
   • DENY – não permite que os navegadores mostrem sua página em um frame;
   • SAMEORIGIN – permite aos navegadores mostrar sua página em um frame ou em outra página, mas só se for através do domínio atual;
   • ALLOW-FROM *uri* – a página pode ser mostrada em um frame, mas só se forem de origens especificadas.
2. O Content Security Policy (um cabeçalho HTTP) oferece uma gama mais ampla de segurança do que as opções de segurança X-Frame. Ele te permite criar uma lista de permissões de domínios que podem incorporar páginas e domínios através dos quais recursos como scripts de fontes podem ser carregados.
3. O Frame Killing é uma técnica bastante usada para navegadores web mais antigos. Tudo o que você precisa fazer é inserir um Javascript de frame killing nas páginas que você não quer que sejam inclusas em iframes externos. A maioria das páginas web não precisa ser incorporada. Mesmo assim, o frame killing é um recurso útil e fácil de configurar, além de fornecer um nível de proteção bastante elevado contra clickjacking.

2. Medidas de proteção para clientes (client-side)

Os riscos do clickjacking são ainda maiores para os usuários. Assim, é muito importante tomar algumas medidas de proteção:

• Usar um navegador mais seguro, o que ajuda a evitar vulnerabilidades exploradas pelo clickjacking;
• Instalar extensões no navegador que ajudam com proteção adicional (algumas te alertam contra elementos invisíveis ou redirecionamentos nas páginas web, por exemplo). NoScript’s ClearClick (para o Firefox) e NoClickjack (para o Chrome, Microsoft Edge, Firefox e Opera) são alguns bons exemplos de extensões para melhorar sua segurança contra o clickjacking e outras ameaças.

Você pode adotar várias medidas para se prevenir contra os ataques de clickjacking:

• Tome bastante cuidado com técnicas de phishing que também são usadas em ataques de clickjacking;
• Use uma boa VPN. Software VPN confiável oferece proteção adicional para sua conexão. A NordVPN contra com a funcionalidade de Proteção contra Ameaças, que identifica páginas maliciosas e te protege de acessá-las e de ser redirecionado para elas;
• Evite baixar qualquer coisa sem antes verificar a procedência e a confiabilidade das fontes (isto vale principalmente para arquivos em anexo que chegam em e-mails e mensagens nos aplicativos e redes sociais);
• Verifique a URL do website para conferir se a página é confiável ou se ela é uma cópia de uma página autêntica.
• A atenção aos detalhes é muito importante e faz toda diferença. Evite clicar em elementos chamativos demais e desconfie de qualquer oferta boa demais para ser verdade.
• Use um bom antivírus com verificação de páginas web e alertas de conteúdo malicioso, além de sempre deixar seu firewall ativado.

É muito difícil reverter um ataque de clickjacking. Mas você pode fazer algumas coisas que ajudam a diminuir os danos e evitar estragos maiores:

• Faça uma verificação no seu sistema para encontrar possíveis ameaças. Você pode conferir nosso guia sobre como tirar vírus do celular.
• Troque suas informações de log in. Caso seus dados tenham sido vazados no ataque de clickjacking, é essencial alterar suas senhas das redes sociais, serviços de e-mail e qualquer outra coisa.
• Além disto, manter a autenticação de dois fatores ajuda a impedir acessos indesejados nas suas contas, mesmo que os hackers consigam acessar suas senhas. Então, ative a notificação de dois fatores sempre que ela estiver disponível.

O ChatSonic, desenvolvido pela Writesonic, conta com um banco de dados da Google e também é capaz de responder questões com um nível bastante aprimorado de complexidade. O ChatSonic é mais voltado para empresas, organizações e corporações e também conta com a capacidade de gerar imagens.

Desenvolvido por pesquisadores chineses, o Ernie Bot ainda está em fase de desenvolvimento. O principal objetivo é melhorar os sistemas de busca do Baidu, além de melhorar a eficácia dos serviços de armazenamento em nuvem e outros serviços.

A Google com certeza não poderia ficar de fora da disputa pelos recursos de inteligência artificial. A gigante da tecnologia conta com o próprio chatbot, o Bard. Através do LaMDA (Language Model for Dialogue Applications – ‘’modelo de linguagem para aplicações de diálogo’’), o Bard conta com uma grande capacidade de conversação e análise de dados.