Ataques de Clickjacking: Cuidado com a Identificação de Redes Sociais

É difícil resistir a clicar em um link de oferta gratuito para iPhone. Mas tenha cuidado: seu clique pode ser facilmente invadido e os resultados podem ser desastrosos.


Clickjacking é um método de ataque, também conhecido como Reparação de Interface do Usuário, porque é configurado para disfarçar (ou reparar) um link com uma sobreposição que induz o usuário a fazer algo diferente do que pensa.

A maioria dos usuários de redes sociais desfruta da conveniência de permanecer conectado a eles o tempo todo. Os invasores podem facilmente tirar proveito desse hábito para forçar os usuários a gostar ou seguir algo sem perceber. Para fazer isso, um cibercriminoso pode colocar um botão tentador – por exemplo, com um texto atraente, como “iPhone grátis – oferta por tempo limitado” – em sua própria página da web e sobrepor um quadro invisível à página da rede social, de uma maneira que um botão “Curtir” ou “Compartilhar” fica sobre o botão Free iPhone.

Esse truque simples de clickjacking pode forçar os usuários do Facebook a curtir grupos ou páginas de fãs sem saber.

O cenário descrito é bastante inocente, no sentido de que a única conseqüência para a vítima deve ser adicionada a um grupo de rede social. Mas, com algum esforço extra, a mesma técnica pode ser usada para determinar se um usuário está conectado à sua conta bancária e, em vez de gostar ou compartilhar algum item de mídia social, ele ou ela pode ser forçado a clicar em um botão que transfere fundos para a conta de um invasor, por exemplo. A pior parte é que a ação maliciosa não pode ser rastreada, porque o usuário era legítimo conectado à sua conta bancária e clicou voluntariamente no botão de transferência.

Como a maioria das técnicas de clickjacking requer engenharia social, as redes sociais se tornam vetores ideais de ataque.

Vamos ver como eles são usados.

Clickjacking no Twitter

Cerca de dez anos atrás, a rede social do Twitter sofreu um ataque maciço que espalhou rapidamente uma mensagem, o que levou os usuários a clicar em um link, aproveitando sua curiosidade natural.

Os tweets com o texto “Não clique”, seguidos por um link, propagaram-se rapidamente em milhares de contas do Twitter. Quando os usuários clicaram no link e depois em um botão aparentemente inocente na página de destino, um tweet foi enviado de suas contas. Esse tweet incluía o texto “Não clique”, seguido pelo link malicioso.

Os engenheiros do Twitter corrigiram o ataque de clickjacking não muito tempo depois de iniciado. O ataque em si provou ser inofensivo e funcionou como um alarme, informando os riscos potenciais envolvidos nas iniciativas de clickjacking no Twitter. O link malicioso levou o usuário a uma página da web com um iframe oculto. Dentro do quadro havia um botão invisível que enviava o tweet malicioso da conta da vítima.

Clickjacking no Facebook

Os usuários de aplicativos móveis do Facebook são expostos a um bug que permite que os spammers publiquem conteúdo clicável em suas linhas de tempo, sem o consentimento deles. O bug foi descoberto por um profissional de segurança que estava analisando uma campanha de spam. O especialista observou que muitos de seus contatos estavam publicando um link para uma página com fotos engraçadas. Antes de chegar às fotos, os usuários foram solicitados a clicar em uma declaração de maioridade.

O que eles não sabiam era que a declaração estava sob uma moldura invisível.

Quando os usuários aceitaram a declaração, eles foram levados para uma página com fotos engraçadas. Entretanto, o link foi publicado na linha do tempo do Facebook dos usuários. Isso foi possível porque o componente do navegador da Web no aplicativo do Facebook para Android não é compatível com os cabeçalhos das opções de quadros (abaixo, explicamos o que são) e, portanto, permite a sobreposição de quadros maliciosos.

O Facebook não reconhece o problema como um bug, pois não afeta a integridade das contas dos usuários. Portanto, é incerto se algum dia será corrigido.

Clickjacking em redes sociais menores

Não é apenas o Twitter e o Facebook. Outras redes sociais e plataformas de blogs menos populares também têm vulnerabilidades que permitem o clickjacking. O LinkedIn, por exemplo, teve uma falha que abriu uma porta para os invasores induzirem os usuários a compartilhar e postar links em seu nome, mas sem o consentimento deles. Antes de ser corrigida, a falha permitia que os atacantes carregassem a página do LinkedIn ShareArticle em um quadro oculto e sobrepusessem esse quadro nas páginas com links ou botões aparentemente inocentes e atraentes.

Outro caso é o Tumblr, a plataforma pública de blogs da web. Este site usa código JavaScript para impedir o clickjacking. Mas esse método de proteção se torna ineficaz, pois as páginas podem ser isoladas em um quadro HTML5 que as impede de executar o código JavaScript. Uma técnica cuidadosamente criada pode ser usada para roubar senhas, combinando a falha mencionada com um plug-in auxiliar de navegador de senhas: enganando os usuários para digitarem um texto captcha falso, eles podem estar enviando inadvertidamente suas senhas para o site do invasor..

Falsificação de solicitação entre sites

Uma variante do ataque de clickjacking é chamada de falsificação de solicitação entre sites ou abreviação de CSRF. Com a ajuda da engenharia social, os cibercriminosos direcionam ataques de CSRF contra usuários finais, forçando-os a executar ações indesejadas. O vetor de ataque pode ser um link enviado por email ou chat.

Os ataques de CSRF não pretendem roubar os dados do usuário porque o invasor não consegue ver a resposta à solicitação falsa. Em vez disso, os ataques visam solicitações de alteração de estado, como uma alteração de senha ou uma transferência de fundos. Se a vítima tiver privilégios administrativos, o ataque poderá comprometer um aplicativo Web inteiro.

Um ataque de CSRF pode ser armazenado em sites vulneráveis, particularmente sites com as chamadas “falhas de CSRF armazenadas”. Isso pode ser feito inserindo tags IMG ou IFRAME nos campos de entrada que são mostrados posteriormente em uma página, como comentários ou uma página de resultados de pesquisa.

Impedindo ataques de enquadramento

Navegadores modernos podem ser informados se um determinado recurso é permitido ou não é carregado dentro de um quadro. Eles também podem optar por carregar um recurso em um quadro apenas quando a solicitação se origina no mesmo site em que o usuário está. Dessa forma, os usuários não podem ser enganados a clicar em quadros invisíveis com conteúdo de outros sites, e seus cliques não são invadidos.

As técnicas de mitigação do lado do cliente são chamadas de quebra de quadros ou eliminação de quadros. Embora possam ser eficazes em alguns casos, eles também podem ser facilmente ignorados. É por isso que os métodos do lado do cliente não são considerados como práticas recomendadas. Em vez de interromper o quadro, os especialistas em segurança recomendam métodos do lado do servidor, como X-Frame-Options (XFO) ou métodos mais recentes, como o Content Security Policy.

X-Frame-Options é um cabeçalho de resposta que os servidores da Web incluem nas páginas da Web para indicar se um navegador pode ou não mostrar seu conteúdo dentro de um quadro.

O cabeçalho X-Frame-Option permite três valores.

  • DENY, que proíbe exibir a página dentro de um quadro
  • SAMEORIGIN, que permite exibir a página dentro de um quadro, desde que permaneça no mesmo domínio
  • URI DE PERMITIR, que permite a exibição da página em um quadro, mas apenas em um URI (Identificador Uniforme de Recursos), por exemplo, somente em uma página da web específica.

Os métodos anti-clickjacking mais recentes incluem a Política de segurança de conteúdo (CSP) com a diretiva de quadro-ancestrais. Esta opção está sendo amplamente utilizada na substituição do XFO. Um grande benefício do CSP em comparação ao XFO é que ele permite que um servidor da Web autorize vários domínios para enquadrar seu conteúdo. No entanto, ainda não é suportado por todos os navegadores.

A diretiva quadro-ancestral do CSP admite três tipos de valores: ‘Nenhum,’ impedir que qualquer domínio mostre o conteúdo; ‘auto,’ para permitir apenas que o site atual mostre o conteúdo em um quadro ou em uma lista de URLs com caracteres curinga, como “* .some site.com”, “https://www.example.com/index.html,”Etc., para permitir o enquadramento em qualquer página que corresponda a um elemento da lista.

Como se proteger contra o clickjacking

É conveniente manter-se conectado a uma rede social enquanto navega, mas se você fizer isso, precisará ser cauteloso com seus cliques. Você também deve prestar atenção aos sites que visita, porque nem todos tomam as medidas necessárias para impedir o clickjacking. Caso não tenha certeza sobre o site que está visitando, não clique em nenhum clique suspeito, por mais tentador que seja.

Outra coisa a prestar atenção é a versão do seu navegador. Mesmo que um site use todos os cabeçalhos de prevenção de clickjacking mencionados anteriormente, nem todos os navegadores são compatíveis com todos eles; portanto, use a versão mais recente possível e que ele ofereça suporte aos recursos anti-clickjacking.

O senso comum é um dispositivo eficaz de autoproteção contra o clickjacking. Quando vir um conteúdo incomum, incluindo um link publicado por um amigo em qualquer rede social, antes de fazer qualquer coisa, você deve se perguntar se esse é o tipo de conteúdo que seu amigo publicaria. Caso contrário, você deve avisar seu amigo de que ele pode ter sido vítima de clickjacking.

Um último conselho: se você é um influenciador ou apenas tem um número realmente grande de seguidores ou amigos em qualquer rede social, duplique suas precauções e pratique um comportamento responsável online. Porque se você se tornar uma vítima de clickjacking, o ataque acabará afetando muitas pessoas.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map