O que é clickjacking? Saiba se proteger da ameaça que cresce no Brasil

O setor de cibercrime é uma eterna caça de gato e rato, em que as autoridades e especialistas tentam antecipar os próximos passos dos bandidos, que, por sua vez, estão sempre de olho em novas oportunidades e maneiras de evitar detecção. E a evolução de uma ameaça antiga, o clickjacking, mostra o empenho dos agentes maliciosos na busca por um tipo de ataque mais ágil.

• Estes apps perigosos acumularam mais de dois milhões de downloads no Android
• Como evitar golpes em aeroportos durante as viagens de final de ano

“O clickjacking é uma modalidade de ataque tão rápida, que é capaz de fazer com que os hackers roubem as informações quase instantâneamente. Geralmente, os cibercriminosos inserem uma camada invisível na interface do usuário, contaminando botões de um site genuíno com a intenção de capturar os cliques”, explica Caio Telles, CEO da BugHunt, plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas.

O clickjacking esconde links por trás de botões, que tem como intenção redirecionar os usuários através de cliques e roubar informações sigilosas. Essa é uma tática antiga de agentes maliciosos, contudo, as mais novas versões são mais agressivas e escondem ameaças também mais poderosa. E tem sido uma das ameaças mais comuns atualmente.

O clickjacking faz om que os usuários pensem que estão navegando em sites seguros, mas na verdade, a partir do clique em um link ou botão, foram redirecionados para páginas com conteúdos maliciosos. “Quando o clickjacking está em ação no internet banking, por exemplo, os invasores sobrepõe um réplica da mesma tela sobre o layout do banco e no momento que o usuário fornece as informações pessoais e senha, os dados são roubados pelos servidores dos cibercriminosos”, afirma.

Como se proteger do clickjacking?

O clickjacking não resulta de uma implementação errada no código-fonte da linguagem de programação, e o navegador é o principal recurso utilizado pelos bandidos. “Com o mau uso de algumas características dos recursos do HTML e CSS combinados com a interação do usuário, que podem acabar baixando malwares que facilitam a invasão dos dipositivos”, frisa Telles.

Para alertar sobre essa prática cibercriminosa, o especialista em cibersegurança da BugHunt listou abaixo como os usuários podem se defender da ação:

• Cuidado com e-mails direcionados: Uma das maneiras mais recorrentes dos ataques de clickjacking é por meio de e-mails direcionados. Portanto, mantenha um cuidado recorrente com e-mails que chegam a caixa de entrada que alegam tratar de um assunto urgente que requer atenção;
• Atenção com cliques em links ou botões: Realize uma filtragem nos e-mails recebidos e tenha atenção com os que exigem cliques em links, pois pode ser uma armadilha para levar o usuário a um site que parece genuíno ou a outra página para persuadir o download de versões mais recentes de aplicativos e expor o dispositivo a invasões;
• Mantenha o navegador atualizado: Como o navegador é o principal recurso usado para o ataque é importante manter o browser atualizado. Além disso, é preciso evitar clicar em anúncios, links e botões de websites de procedência desconhecida.

Já para as empresas, ter uma política de segurança de conteúdo para mitigar riscos e proteger contra clickjacking e outros ataques é essencial.