O que é clickjacking?

O clickjacking, também conhecido como ataque de clickjacking ou clickjack, é um ataque cibernético no qual links ocultos enganam usuários a realizar uma ação não intencional que resulta na exposição de informações confidenciais e em invasões.

Continue lendo para saber mais sobre clickjacking e como ele funciona.

Entendendo o clickjacking

Em um clickjack, os usuários clicam em algo online esperando realizar uma ação, sem perceber que o clique resulta em uma ação diferente, não desejada. Isso significa que cibercriminosos podem enganá-lo para que baixe um software malicioso (conhecido como malware), acidentalmente expondo informações pessoais identificáveis (PII) confidenciais ou sofrendo outras consequências graves.

O clickjacking é utilizado como meio para lançar uma variedade de ataques cibernéticos. Pode ser difícil detectá-lo, e ele pode resultar no roubo de senhas ou de informações confidenciais por cibercriminosos, como números de contas bancárias, cartões de crédito e documentos pessoais. Os objetivos finais de coletar essas informações incluem roubar seu dinheiro, assumir o controle de suas contas ou roubar sua identidade.

Como o clickjacking funciona

Cibercriminosos utilizam o clickjacking para enganá-lo manipulando o que você vê na tela. Eles sobrepõem campos invisíveis sobre campos que parecem legítimos para disfarçar a ação que você está realizando. Isso pode acontecer com um site inteiro ou em um único anúncio pop-up. Às vezes, o hacker até mesmo incorpora o site legítimo dentro do seu próprio site para deixá-lo o mais realista possível. Isso também é conhecido como site falso.

Acreditando que está em um site legítimo, você clica nas coisas, insere suas credenciais ou fornece outras informações confidenciais. Você acredita que está realizando ações legítimas, mas os campos invisíveis fazem com que baixe malwares acidentalmente ou envie suas informações para cibercriminosos.

Cibercriminosos o direcionam para sua interface ilegítima veiculando anúncios falsos que parecem levar a sites legítimos, enviando mensagens SMS e e-mails falsos, postando em redes sociais ou veiculando pop-ups infectadas.

Exemplos de clickjacking

Aqui estão alguns exemplos de como o clickjacking pode funcionar no mundo real:

• O usuário recebe um e-mail acreditando ser de um site de rede social legítimo, como o Facebook. Ele clica no link, que o leva para um site falso que contém o site real do Facebook incorporado. O usuário tenta fazer login em sua conta do Facebook inserindo suas credenciais nos campos. No entanto, o site falso tem campos invisíveis sobrepostos sobre os do Facebook, permitindo que o cibercriminoso roube as credenciais do usuário.
• O usuário vê um anúncio que parece ser veiculado por um banco conhecido, como o Chase. Ele decide abrir uma conta, de modo que clica no anúncio e é levado a um site falso que contém o site do Chase incorporado. Ele tenta abrir uma conta preenchendo informações confidenciais, como o número do CPF. No entanto, campos invisíveis sobrepostos aos originais copiam as informações e enviam para o cibercriminoso.
• Um pop-up aparece enquanto um usuário navega em um site. O usuário clica no “X” para fechar o pop-up mas, na verdade, o “X” é um link de download que instala um software malicioso em seu computador,

O impacto do clickjacking

Se um clickjacking for bem-sucedido, o cibercriminoso poderá roubar informações, como PIIs ou credenciais, ou instalar um malware no seu dispositivo. Pode ser qualquer tipo de malware, incluindo spyware ou um keylogger, que é um software que rouba senhas do seu navegador.

Independentemente de cibercriminosos roubarem os dados ou instalarem softwares que roubam dados para eles, o objetivo final é vender seus dados para outros cibercriminosos ou usá-los para roubar seu dinheiro ou sua identidade.

Pode ser caro e difícil provar que sua identidade foi roubada ou que alguém assumiu o controle da sua conta bancária. Pode levar anos para se recuperar totalmente desses tipos de ataques.

Prevenindo ataques de clickjacking

Prevenir os ataques de clickjacking é responsabilidade do proprietário do site onde eles ocorrem. Há métodos para impedir que cibercriminosos incorporem um site legítimo em um falso, como utilizar opções de X-frame, um código que impede que sites sejam incorporados em um quadro. Isso seria uma grande barreira para um clickjack ser bem-sucedido.

Proprietários de sites também devem verificar cuidadosamente os possíveis anunciantes de seu site. Eles devem garantir que todos os anúncios veiculados em seu site sejam legítimos e não levem ao clickjacking.

Como os usuários podem se proteger

Embora os proprietários de sites sejam responsáveis por proteger usuários, às vezes, eles cometem erros. Felizmente, dicas básicas de segurança na internet podem protegê-lo contra o clickjacking.

• Navegue em sites confiáveis. É mais provável que sites bem conhecidos e com alto tráfego protejam seus usuários adequadamente contra ataques como o clickjacking.
• Navegue até os sites utilizando a URL oficial. Caso não tenha certeza, pesquise sobre o site no Google. A URL legítima, também conhecida como endereço do site, deve ser o primeiro resultado do mecanismo de busca.
• Evite clicar em pop-ups. Como qualquer clique pode resultar no download de um malware, a maneira mais segura de sair de um pop-up é fechar a janela do navegador.
• Investigue a legitimidade de e-mails e mensagens SMS urgentes. Com frequência, cibercriminosos usam uma linguagem de urgência para evitar que você pare para verificar se a mensagem é legítima. Sempre entre em contato diretamente com o suposto remetente usando informações de contato oficiais para saber se a mensagem realmente veio dele.
• Baixe aplicativos ou arquivos de sites confiáveis. Links aleatórios na internet para baixar arquivos ou aplicativos podem conter malware. Sempre baixe aplicativos da Apple App Store ou da Google Play Store, mesmo que sejam mais caros.
• Suspeite de anúncios bons demais para serem verdade. Geralmente, cibercriminosos enganam usuários para que cliquem em anúncios que os encaminham para sites falsos fazendo ofertas aparentemente incríveis, como grandes descontos em itens caros e populares.
• Utilize um gerenciador de senhas. Muitos gerenciadores de senhas possuem um recurso de preenchimento automático que funciona apenas na URL que foi salva com a senha. Caso esteja em um site falso de uma empresa na qual tem uma conta, seu gerenciador de senhas não preencherá automaticamente suas credenciais e você saberá que o site não é legítimo.

Fique atento para não ser uma vítima

O clickjacking é apenas uma maneira como cibercriminosos podem atacá-lo. Seguir práticas recomendadas de segurança cibernética e acompanhar as notícias de segurança cibernética ajudam a saber sobre as ameaças cibernéticas mais recentes e a proteger seus dados e sua identidade.