Todos os posts tagados clickjacking

Tenho reparado, tanto no meu mural do Facebook como nas notícias na grande rede, que está em crescimento os esquemas que utilizam a técnica de Clickjacking para roubar Gosto/Like a vários utilizadores da rede social do Mark Zuckerberg.

Mas o que é isto de Clickjacking?
De uma maneira simples e fácil de entender, é o roubo do clique do utilizador sem que este dê consentimento.

O Clickjacking, também conhecido por UI redress attack, é uma técnica maliciosa que permite aos utilizadores de aplicações web revelarem informação privada ou perderem o controlo e finalidade do clique, mesmo quando a página web aparenta ser fiável.
Uma utilização combinada de camadas opacas, transparências e scripts numa aplicação web, por parte de um utilizador malicioso, permitem enganar o utilizador comum a clicar num botão ou link no qual não era suposto.

Este técnica não tem nada de novo e é muito semelhante aos ataques CSRF (Cross-Site Request Forgery) já mencionados em meados dos anos 90.

Um exemplo prático:
Um utilizador clica num botão para visualizar um vídeo, e está executar um Gosto numa página ou aplicação no Facebook.

O Clickjacking também pode pode ser utilizado para infectar um utilizador com malware, aumentar visitas de um website, regalias publicitárias, Blackhat SEO, etc.

Alguns exemplos actuais de ataques Clickjacking no Facebook:

Blackmail Like
Não é propriamente uma variante desta técnica mas apresenta muitas semelhanças. O Blackmail Like tem como modus operandis a chantagem para angariar Gosto no Facebook. Um utilizador só pode visualizar o conteúdo se Gostar do link (páginas web, aplicações Facebook, etc.). Este método, tal como o Clickjacking e outros esquemas, utiliza quase sempre temas chamativos e falsos, como por exemplo, escândalos de personalidades ou funcionalidades especiais para o Facebook.

O objectivo é claro - despertar a curiosidade dos utilizadores e fazer com que estes cliquem e propaguem o esquema.

Prevenção
Quanto encontrar algum destes esquemas é conveniente denunciá-lo.
Se foi vítima, deve procurar no seu mural a mensagem e eliminá-la para não propagar o esquema pela sua rede de amigos. Também é conveniente eliminar a referência dos seus “Gostos” (geralmente nas Actividades e Interesses).

Aproveito para recomendar o add-on gratuito para o browser Firefox NoScript que pode ajudá-lo a prevenir este tipo de situações.

Sidenote para o Facebook
Embora não seja muito user-friendly, acho que o Facebook deveria pedir uma confirmação antes de aceitar o Gosto/Like, tal como faz para as aplicações de Facebook. Desta forma, o utilizador tem sempre conhecimento do que realmente vai clicar ou gostar.

Espero que tenham gostado deste pequeno artigo. Qualquer dúvida, não hesitem em comentar.
Para finalizar, sugiro que indiquem o seguinte texto sempre que algum dos vossos amigos do Facebook for vítima destes esquemas:

Se foste vítima de Clickjacking, consulta este artigo: http://bit.ly/fakBFc

Referências

• http://www.owasp.org/
• http://www.facecrooks.com/
• http://www.facebook.com/
• http://ha.ckers.org/