Índice:
Definição - O que significa Clickjack Attack?
Um ataque de clickjack é uma técnica maliciosa usada por um invasor para registrar os cliques do usuário infectado na Internet. Isso pode ser usado para direcionar o tráfego para um site específico ou para fazer um usuário gostar ou aceitar um aplicativo do Facebook. Objetivos mais nefastos podem ser coletar informações confidenciais salvas em um navegador, como senhas, ou instalar conteúdo malicioso.
Esse tipo de ataque também é conhecido como clickjacking ou readdressing da interface do usuário.
Techopedia explica Clickjack Attack
Normalmente, uma exploração de clickjack é realizada colocando um link oculto sobre um botão válido. No entanto, a exploração também pode incluir o seguinte:
- Enganando os usuários para habilitar seus microfones e webcams via Flash
- Enganando os usuários a tornar públicos seus detalhes de perfil de mídia social
- Fazendo com que usuários infectados sigam alguém no Twitter sem saber
Um ataque de clickjack pode ser implementado usando IFRAMEs, que são elementos HTML que extraem conteúdo de outros locais, como outros sites. Os invasores do Clickjack podem incorporar um IFRAME em qualquer site e sobrepor o IFRAME invisível em cima de um botão legítimo. Quando o usuário clica no botão legítimo, o botão ou link do invasor está realmente sendo clicado.
O que torna isso uma maneira muito poderosa de atacar é que ele é realmente feito dentro dos limites da especificação HTML, o que significa que o site está funcionando conforme o esperado. Os atacantes estão apenas explorando esse recurso para ataques maliciosos. O World Wide Web Consortium (W3C) está tentando definir um novo padrão que permitirá aos sites proibir interferências externas.
Os administradores do site podem não saber que algo está errado até que as reclamações cheguem dos usuários. É difícil identificar que um ataque ocorreu porque tudo no site parece o mesmo e o elemento clickjack foi completamente disfarçado de inofensivo.
O complemento NoScript para Mozilla, o navegador Gazelle e o snippet JavaScript do Framekiller são algumas medidas que podem ser usadas para proteger contra um ataque de clickjack.
