Um hacker pode estar espionando você por meio de sua webcam e microfone. E você permitiu a eles esse acesso. Veja como.
Você abre um site para assistir a um vídeo. Inocente o suficiente, certo? Mas, simplesmente clicando em um botão, um invasor cibernético pode ter obtido acesso à sua câmera e microfone. Eles podem estar te observando sem que você saiba. Esta é uma forma de ataque chamada clickjacking.
Então, o que isso realmente significa? Como funciona o clickjacking? E como você pode se proteger?
O que é clickjacking?
Clickjacking é um tipo de ataque de engenharia social que os cibercriminosos podem usar para obter acesso às informações dos usuários.
O principal objetivo do clickjacking é enganar o usuário para que ele clique em algo específico que o ciberataque deseja que ele clique. Com isso, eles podem apreender seu aparelho, principalmente ao usar a câmera e o microfone. Na maioria dos navegadores, basta clicar em um único botão para conceder permissões de microfone e câmera; os usuários, então, podem compartilhar suas câmeras com um invasor cibernético sem saber, o que pode ter sérias consequências, especialmente para a privacidade.
Como funciona o clickjacking com sites transparentes
Os invasores criam ambientes falsos para enganar os usuários. Sites falsos podem atingir um grande número de pessoas, aumentando assim a probabilidade de sucesso do ataque. Os golpistas criam um site que parece inocente, mas tem o objetivo real de acessar sua câmera e microfone ou fazer com que você baixe malware.
Por exemplo, considere um simples jogo clicker que opera inteiramente em seu navegador. Seu principal objetivo é avaliar sua capacidade de coordenar os movimentos das mãos e dos olhos. Para conseguir isso, o jogo apresenta botões coloridos que aparecem em diferentes partes da tela e solicita que você clique neles. Quanto mais rápido você conseguir executar essa atividade, maior será o seu nível de realização.
Embora pareça inofensivo, as coordenadas dos botões que aparecerão na tela são pré-determinadas pelo invasor. Você acha que clica em um botão e ganha o jogo, mas na verdade clica em um botão completamente diferente no fundo.
Acessando sua câmera com Clickjacking
O mesmo vale para acessar seu permissões de microfone e câmera. Às vezes, os sites precisam de sua câmera e microfone. Por exemplo, um aplicativo como o Zoom requer essas permissões para que você possa falar e para que sua imagem apareça na videoconferência. Para conceder permissões, você verá um botão "permitir" em algum lugar da interface do navegador. Claro, nem todas as plataformas são tão seguras quanto o Zoom.
Portanto, quando você clica em um botão de reprodução de aparência inocente para assistir a um programa de TV ou filme, pode ser um botão de permissão de back-end criado pelo hacker para abrir sua câmera.
Como você se protege contra ataques de clickjacking?
Um invasor mal-intencionado usa vários códigos e scripts para fazer você clicar exatamente onde deseja e manipular sua tela. Muitos desenvolvedores com pouco experiência com HTML e o CSS pode fazer isso facilmente: eles só precisam brincar com os valores de opacidade das duas páginas que projetaram uma sobre a outra e não mostrar a página de trás para o usuário final.
Para evitar ser vítima de um truque baseado em script aparentemente simples, uma das abordagens mais eficazes é desabilitar o JavaScript. A maioria dos navegadores da Web fornece um recurso de segurança que permite desligue o javascript código executado em segundo plano em sites. Por exemplo, no Chrome, você pode acessar a página digitando "chrome://settings/content/javascript" na barra de endereço. Ao chegar a esta página, você se deparará com o Não permitir que sites usem Javascript opção.
No entanto, você precisa ter cuidado ao selecionar esta opção, pois ela bloqueará todos os códigos existentes em todos os sites. Ative-o apenas ao entrar em sites que você não confia e considera inseguros. Você sempre pode reverter essa configuração mais tarde.
Como alternativa, você pode usar plug-ins confiáveis e gratuitos de código aberto para ativar e desativar o JavaScript com mais facilidade. Pacote de segurança NoScript é uma boa solução para isso e oferece suporte para muitos navegadores diferentes. Ele visa evitar não apenas ataques de clickjacking, mas também software malicioso que existe em qualquer site em que você entrar.
Os invasores mal-intencionados nem sempre codificam seus sites para realizar um ataque de clickjacking usando sites transparentes. Eles também podem aproveitar as vulnerabilidades online que encontram enquanto navegam na Internet. Por exemplo, eles podem injetar código explorando uma vulnerabilidade na seção de comentários de um blog. Nesses casos, você precisa prestar atenção no que realmente clica, mesmo que isso pareça um pouco paranóico.
Como saber se um site é confiável?
Como saber se você pode confiar em um site? Frequentemente, os invasores não dedicam muito tempo ao design e ao desenvolvimento de um site; é tempo desnecessário e dinheiro desperdiçado. Você pode dizer isso pelos certificados de segurança e pelo design de um site. Por exemplo, um site organizacional grande e confiável provavelmente terá um certificado SSL. Para verificar isso, observe a URL. Se o endereço começar " https://", significa que o site possui um certificado SSL. Esse "S" extra depois de "HTTP" significa "Seguro". Não confie apenas nisso, no entanto.
Você também deve dar uma olhada no design e conteúdo do site. As informações na página de contato, as políticas de privacidade e até O aviso do GDPR pode indicar se um site é confiável. Pesquise o site também. O que outros usuários em plataformas como Twitter, Facebook e Trustpilot dizem sobre isso?
Se você tiver algum conhecimento sobre codificação, poderá examinar os códigos-fonte do site. Dessa forma, você verá parte do trabalho em segundo plano e a quais outros sites ele está vinculado.
Você deve se preocupar com clickjacking?
O clickjacking é uma coisa assustadora, especialmente porque os cibercriminosos podem obter acesso à sua webcam e espionar ativamente suas atividades. Isso é uma grande invasão de privacidade e segurança.
Então, sim, pode parecer um pouco OTT ter cuidado onde você está realmente clicando em um site. A maioria de nós faz isso sem pensar. Mas também é importante ficar atento para não ser vítima de um hacker.