Clickjacking, também conhecido por nomes como Ataque de reparação da interface do usuário, Ataque de correção da interface do usuário, Correção de interface do usuário, é uma técnica mal-intencionada comum usada por invasores para criar várias camadas complicadas para enganar o usuário e clicar em um botão ou link em outra página quando pretendem clicar em outra página. Assim, o atacante controla com sucesso o usuário clicando em um link de uma fonte externa, enquanto o "seqüestrando" a partir da página original. Essa técnica tem usos ilimitados quando se trata de exploração de usuários. Por exemplo, esse ataque pode convencer os clientes a inserir seus dados bancários em uma página de terceiros que espelha a página original.
O que é clickjacking
O clickjacking é uma atividade maliciosa, em que links maliciosos estão ocultos por trás de botões ou links clicáveis, fazendo com que os usuários ativem uma ação errada com o clique.
Um exemplo comum e altamente destrutivo dessa técnica pode ser quando um invasor cria um site com um botão que diz “Clique aqui para entrar no concurso“. No entanto, ao lado do botão, eles colocam em um quadro quase invisível que liga ao "Excluir todos os contatos da sua conta do Gmail. A vítima tenta clicar no botão, mas em vez disso clica no botão invisível. Assim, o invasor "seqüestrou" o "clique" do usuário e, consequentemente, o nome Clickjacking.
Nos últimos tempos, o Clickjacking fez o seu caminho para serviços populares, incluindo o Adobe Flash Player e Twitter. Alguns invasores alteraram as configurações do plug-in do Adobe Flash. Ao carregar essa página em um iframe invisível, um invasor pode induzir o usuário a alterar as configurações de segurança do Flash, permitindo que qualquer animação em Flash utilize o microfone e a câmera do computador.
Falando sobre o Twitter, clickjacking entrou em um worm no Twitter. Este ataque foi direcionado de forma inteligente aos usuários, forçando-os a retweetar um local e divulgá-lo amplamente antes que o Twitter entrasse em ação para controlar o vírus.
O que é o Cursorjacking?
Um tipo de Clickjacking opera disfarçando o cursor do mouse e convencendo o usuário a substituir seus cliques para outro local na mesma página. Um incidente popular de Cursorjacking foi descoberto no Mozilla Firefox em sistemas Mac OS X usando Flash, HTML e código JavaScript, que também pode levar à espionagem da webcam e à execução de um addon malicioso, permitindo a execução de malware no computador do usuário preso.
O que é o Likejacking?
Além do Cursorjacking, também foram relatados incidentes de Comojacking. Tornado popular após o advento do Facebook na cultura pop, esse termo auto-explicativo significa seqüestrar a pessoa a gostar de uma página do Facebook que ele não deveria saber sobre.
Dicas de proteção contra clickjacking
Opções de X-Frame
Esta solução da Microsoft é uma das mais eficazes contra ataques de clickjacking em sua máquina. Você pode incluir o cabeçalho HTTP X-Frame-Options em todas as suas páginas da web. Isso impedirá que seu site seja colocado em um quadro. O X-Frame é suportado pelas versões mais recentes da maioria dos navegadores, incluindo Safari, Chrome, IE, mas pode ter alguns problemas com o Firefox. A grande parte do uso do X-Frame é que ele é extremamente simples, mas precisa de acesso à configuração do servidor da Web e à linguagem de script no servidor.
Mover elementos em suas páginas
O invasor que tenta colocar o clickjacking em suas páginas da web não tem conhecimento dos locais atuais dos elementos do seu lado. Ele só pode colocar seus elementos infectados com base nas configurações padrão. É uma boa ideia tentar mover elementos na sua página. Por exemplo, os atacantes podem pretender segmentar o botão Curtir do Facebook. Ao mover esse elemento para outro local, você pode detectar facilmente quando um incidente desse tipo ocorrer. O único problema com esta solução é que é extremamente difícil para usuários normais realizar.
URLs únicos
Esse é um método bastante avançado de proteção contra os clickjackers, que podem ter conhecimento suficiente para superar seus filtros básicos. Você pode tornar o ataque muito mais difícil se você incluir um código único em URLs para páginas cruciais. Isso é semelhante ao nonces usado para evitar o CSRF, mas é único na maneira como ele inclui nonces em URLs para segmentar páginas, não em formulários nessas páginas.
Javascript de Framebuster
Outra maneira de escapar das garras de um ataque clickjacking é verificar o código Javascript para detectar. Este processo é chamado de frambusting
Dicas de prevenção contra clickjacking
Avaliar a proteção de email
Instalar e verificar um filtro de spam de e-mail forte é uma maneira de detectar efetivamente qualquer tipo de ataque em suas contas. Os ataques de clickjacking geralmente começam enganando o usuário por e-mail a visitar um site malicioso. Isso é feito com a implementação de e-mails forjados ou especialmente criados que pareçam autênticos. Bloquear e-mails ilegítimos reduz um possível ataque por clickjacking e uma série de outros ataques também.
Use os firewalls de aplicativos da Web
Os Web Application Firewalls dos WEFs são um aspecto importante da segurança no caso de empresas que possuem a maioria dos seus dados na Internet. Algumas dessas empresas tendem a ignorar a necessidade de uma e acabam sendo atacadas com incidentes maciços de clickjacking. Dados recentes mostraram que quase 70% de todas as SMBs foram invadidas em alguma capacidade na última década. Pode levar uma carga enorme fora de seu prato, reduz riscos e custa menos do que a perda que você pode enfrentar.
Infelizmente, não há uma solução perfeita para evitar o clickjacking, pois os invasores acabarão encontrando maneiras de superar a maioria das técnicas. Apesar disso, os remédios mais eficazes contra esses ataques serão o JavaScript X-Frame e o FrameBuster.
Agora lê: O que são fraudes de cliques e fraudes de publicidade on-line?
