O que é o Clickjacking?

O clickjacking, também conhecido como UI Redress Attack, é uma técnica maliciosa que engana os utilizadores para que cliquem em ligações ou botões ocultos num sítio Web sem o seu conhecimento. Esta técnica é utilizada pelos cibercriminosos para roubar informações sensíveis, espalhar malware ou obter controlo sobre o dispositivo de um utilizador.

O clickjacking é uma ameaça significativa no domínio da cibersegurança, uma vez que explora a confiança que os utilizadores depositam na consistência visual das interfaces Web. É um método enganador que tira partido da forma como os utilizadores interagem com os sítios Web, o que faz com que seja um problema difícil de resolver.

Compreender o Clickjacking

O clickjacking consiste em sobrepor uma página Web maliciosa a uma página legítima. A página maliciosa é tornada transparente para que o utilizador não a possa ver. Quando o utilizador interage com o que parece ser a página legítima, está na realidade a interagir com a página maliciosa oculta.

Esta técnica é frequentemente utilizada para induzir os utilizadores a revelar informações sensíveis, como nomes de utilizador e palavras-passe, ou para os levar a realizar acções que normalmente não fariam, como gostar de uma página de uma rede social ou enviar um e-mail.

A mecânica do Clickjacking

O clickjacking é normalmente efectuado utilizando HTML e JavaScript. O atacante cria um sítio Web malicioso e utiliza CSS para o tornar transparente. Em seguida, posiciona este sítio transparente sobre um sítio legítimo. Quando o utilizador clica no que julga ser uma ligação ou botão legítimo, está na realidade a clicar na ligação ou botão malicioso oculto.

A ligação ou botão malicioso pode ser programado para executar uma variedade de acções. Pode, por exemplo, descarregar malware para o dispositivo do utilizador ou redirecionar o utilizador para outro site malicioso. As possibilidades são praticamente infinitas, tornando o clickjacking um método de ataque versátil e perigoso.

Tipos de ataques de clickjacking

Existem vários tipos de ataques clickjacking, cada um com as suas caraterísticas únicas. Os tipos mais comuns incluem o Likejacking, o Cursorjacking e o Filejacking.

O Likejacking consiste em enganar os utilizadores para que gostem de uma página ou publicação nas redes sociais. O Cursorjacking altera o aspeto e a posição do cursor do utilizador, induzindo-o a clicar em ligações ou botões ocultos. O filejacking consiste em enganar os utilizadores para que descarreguem ficheiros maliciosos.

Prevenir o Clickjacking

A prevenção do clickjacking implica uma combinação de medidas técnicas e de sensibilização dos utilizadores. Os utilizadores devem ser informados sobre os riscos do clickjacking e como detetar potenciais ataques. Devem ser encorajados a clicar apenas em ligações e botões de fontes fidedignas e a desconfiar de sítios Web que pareçam suspeitos.

Do ponto de vista técnico, existem várias medidas que podem ser tomadas para evitar o clickjacking. Estas incluem a utilização do cabeçalho HTTP X-Frame-Options para evitar que um sítio Web seja enquadrado, a implementação da Política de Segurança de Conteúdos (CSP) e a utilização de JavaScript para detetar e bloquear tentativas de clickjacking.

Utilizar X-Frame-Options

O cabeçalho HTTP X-Frame-Options é uma medida de segurança que pode ser usada para impedir que um site seja enquadrado. Quando este cabeçalho é definido, o navegador não permite que o sítio Web seja apresentado numa moldura ou iframe, impedindo eficazmente os ataques clickjacking.

Existem três valores possíveis para o cabeçalho X-Frame-Options: DENY, que impede todo o enquadramento; SAMEORIGIN, que apenas permite o enquadramento pelo mesmo sítio Web; e ALLOW-FROM, que permite o enquadramento por sítios Web especificados.

Implementação da política de segurança de conteúdos

A Política de Segurança de Conteúdo (CSP) é outra medida de segurança que pode ser utilizada para impedir o clickjacking. A CSP permite aos proprietários de sítios Web especificar quais os domínios autorizados a incorporar o seu sítio Web. Isto pode prevenir eficazmente o clickjacking, impedindo que os sítios maliciosos incorporem o sítio Web legítimo.

O CSP é implementado utilizando o cabeçalho HTTP Content-Security-Policy. Este cabeçalho pode ser configurado para especificar uma lista de domínios fiáveis, e o navegador só permitirá que o sítio Web seja incorporado por estes domínios.

Utilizar o JavaScript para detetar e bloquear o Clickjacking

O JavaScript pode ser utilizado para detetar e bloquear tentativas de clickjacking. Isto pode ser feito verificando se o site está a ser enquadrado e, em caso afirmativo, saindo do enquadramento. Este método não é infalível, uma vez que pode ser contornado através da desativação do JavaScript, mas pode fornecer uma camada adicional de proteção.

Outro método baseado em JavaScript é a utilização de baralhamento visual. Isto implica alterar aleatoriamente a posição dos botões e das ligações no sítio Web, tornando difícil para um atacante sobrepor uma ligação ou um botão malicioso na posição correta.

Clickjacking e CAPTCHA

CAPTCHA, que significa Completely Automated Public Turing test to tell Computers and Humans Apart, é uma medida de segurança utilizada para distinguir entre utilizadores humanos e bots. É frequentemente utilizada como um mecanismo de defesa contra vários tipos de ciberataques, incluindo o clickjacking.

No entanto, é importante observar que, embora o CAPTCHA possa ser eficaz para impedir que os bots realizem ataques clickjacking, ele não é uma solução infalível. Os atacantes sofisticados podem usar técnicas como o CAPTCHA farming, em que empregam humanos para resolver CAPTCHAs, para contornar essa medida de segurança.

Tipos de CAPTCHA

Existem vários tipos de CAPTCHA, cada um com os seus próprios pontos fortes e fracos. Os tipos mais comuns incluem o CAPTCHA baseado em texto, o CAPTCHA baseado em imagem e o CAPTCHA baseado em áudio.

O CAPTCHA baseado em texto exige que o utilizador introduza uma série de letras ou números que são apresentados numa imagem distorcida. O CAPTCHA baseado em imagens exige que o utilizador identifique determinadas imagens ou padrões. O CAPTCHA baseado em áudio reproduz uma série de sons ou palavras e o utilizador tem de introduzir o que ouve.

Prós e contras do CAPTCHA

O CAPTCHA pode ser uma ferramenta eficaz na prevenção de ataques automatizados, incluindo o clickjacking. Pode dificultar a execução de ataques por parte dos bots e pode abrandar o processo de ataque, dando aos defensores mais tempo para responder.

No entanto, o CAPTCHA também tem os seus inconvenientes. Pode ser frustrante para os utilizadores, especialmente se for difícil de resolver. Também pode ser contornado por atacantes sofisticados que utilizam técnicas como o CAPTCHA farming. Além disso, não oferece proteção contra atacantes humanos que executam ataques clickjacking manualmente.

Conclusão

O clickjacking é uma ameaça significativa no domínio da cibersegurança. Explora a confiança que os utilizadores depositam na consistência visual das interfaces Web e pode ser utilizado para roubar informações sensíveis, espalhar malware ou obter controlo sobre o dispositivo de um utilizador.

A prevenção do clickjacking exige uma combinação de medidas técnicas e de sensibilização dos utilizadores. Os utilizadores devem ser informados sobre os riscos do clickjacking e como detetar potenciais ataques. Do ponto de vista técnico, medidas como a utilização do cabeçalho HTTP X-Frame-Options, a implementação da Política de Segurança de Conteúdos e a utilização de JavaScript para detetar e bloquear tentativas de clickjacking podem ser eficazes.

Embora o CAPTCHA possa fornecer alguma proteção contra o clickjacking, não é uma solução infalível. Pode ser contornado por atacantes sofisticados e não oferece proteção contra atacantes humanos. Por conseguinte, deve ser utilizado como parte de uma estratégia de segurança abrangente e não como uma solução autónoma.