O Brasil ocupa hoje o 8º lugar entre países campeões em roubo de dados, segundo pesquisa da Syhunt, empresa de segurança de software. Segundo Morgana Ribeiro, da revista IstoÉ, entre as técnicas usadas para extrair informações sigilosas, como conta bancária e documentos, está o clickjacking, método de que engana os usuários para que cliquem em conteúdo que leve à extração de informação ou algum malware instalado no dispositivo, como celular ou computador.
“Podem ser sites difíceis de serem detectados alguma fraude ou erro. Então, deve sempre existir desconfiança prévia em links enviados. Uma dica é verificar se há um ícone de cadeado na URL do site, que fica ao lado da barra de endereço do navegador”, orienta Bárbara Simão, coordenadora de pesquisa no Internet Lab.
Veja abaixo como funciona a técnica:
O que é clickjacking?
“Trata-se de um ataque que induz o usuário a clicar em um elemento de aplicativos ou páginas da Web que são invisíveis ou disfarçados como outro elemento. Isso pode fazer com que os usuários instalem aplicativos ou baixem malwares sem querer, visitem páginas da web maliciosas, forneçam credenciais de acesso ou informações pessoais”, explica Emilio Simoni, Chief Security Officer na CyberLabs. Também podem ser aplicados para transferir dinheiro ou comprar produtos online sem conhecimento dos usuários.
Como funciona?
O clickjacking pode chegar através de malwares, sites e ad networks. Ele interage com o usuário de modo que ele execute ações como clicar ou preencher dados em um local, pensando estar em outro. Por exemplo, o usuário pode acreditar que está colocando os dados pessoais no aplicativo bancário, quando na verdade está colocando em uma tela que sobrepôs parte do aplicativo.
Como evitar golpes com o clickjacking?
A forma mais prática é ter um sistema de proteção nos seus celulares, tablets e desktop. Malwares do tipo Clickjacking podem chegar via email, sms, redes sociais ou marketing alternativos. É importante também ficar atento a anúncios que oferecem algo bom demais pra ser verdade, já que costumam ser usados como isca.
“Ao entrar em sites desconhecidos, o cliente deve buscar o símbolo do cadeado na barra de endereço – a figura representa um selo de segurança. Os links recebidos por e-mail devem ser conferidos antes do clicar, para confirmação de que a mensagem é confiável. Erros de ortografia nos e-mails e sites podem auxiliar nessa tarefa”, recomenda Luiz Ohara, head of Financial Markets na empresa de tecnologia Semantix.
É comum e é usado em algum golpe no Brasil?
Diante da diversidade de golpes que temos hoje acaba aparecendo em quantidade considerável. Além disso, costuma ser combinado com outros tipos de malwares mais perigosos, como bancários, trojans ou ransomwares.
O clickjacking é bastante parecido com phishing, termo que remete a ‘pesca’: o método faz com que as informações sejam compartilhadas já a partir do clique. “As informações dos usuários são ‘pescadas’ por meio de um link de uma empresa que parece real e tem algum anúncio com uma boa proposta, mas na verdade é um site de phishing ou um link de malware”, explica Cassiano Cavalcanti, diretor de pré-vendas da BioCatch, empresa de segurança e comportamento digital.
Esse tipo de golpe ocorre durante todo o ano e ganha impulso durante as festas de fim de ano, já que muitos varejistas enfrentam um período lento de vendas e oferecem promoções como forma de aumentar a aquisição de clientes durante uma fase em que mais consumidores estarão on-line. “É nesse cenário que os cibercriminosos aproveitam para aplicar o golpe”, finaliza Cavalcanti.