O termo Clickjacking é uma combinação de "click" (clique) e "hijacking" (sequestro). É uma técnica maliciosa usada por hackers para enganar usuários da internet e fazer com que cliquem em algo sem perceber. Essa tática explora a maneira como as informações são apresentadas em websites, camuflando links ou botões legítimos com conteúdo malicioso. Em essência, o método leva os visitantes de uma página a realizarem ações sem consentimento ou conhecimento.

Normalmente é realizado por meio de uma camada invisível ou opaca que é colocada sobre o conteúdo legítimo do site. O usuário acredita que está interagindo com o site legítimo, mas na verdade está clicando em elementos invisíveis controlados pelo atacante. O Clickjacking pode ser usado para executar ações como postar comentários, curtir páginas, seguir contas ou até mesmo instalar malwares.

Como se proteger do Clickjacking

A maioria dos browsers modernos já implementam recursos de segurança que identificam e bloqueiam tentativas de Clickjacking. Ainda assim, há algumas responsabilidades que devem ser compartilhadas entre desenvolvedores de sites e usuários finais.

Desenvolvedor de sites

A primeira linha de defesa contra o Clickjacking é o desenvolvimento de aplicações web seguras. Uma medida importante é o uso de cabeçalhos de segurança HTTP como o X-Frame-Options ou o Content Security Policy (CSP) para controlar quais sites podem incorporar suas páginas.

Usuário final

• Mantenha seus programas atualizados: muitas vezes, as atualizações de software contêm patches de segurança que podem proteger contra técnicas como o Clickjacking. Isso inclui seu browser, sistema operacional e outros softwares instalados;
• Use extensões de segurança no seu browser: há extensões de browser disponíveis que podem ajudar a proteger contra Clickjacking. Elas funcionam acrescentando uma camada de segurança que pode identificar e bloquear tentativas de Clickjacking. Algumas das principais: NoScript (Firefox), ScriptSafe (Chrome) e uMatrix (Firefox, Chrome);
• Tenha cuidado ao clicar em links: sempre pense duas vezes antes de clicar em qualquer coisa na internet. Se algo parecer suspeito, é melhor não clicar;
• Desative o JavaScript se possível: não é uma solução muito viável, pois a funcionalidade da maioria dos sites depende do JavaScript, mas o ataque de Clickjacking só funciona com JavaScript, então é uma maneira definitivamente eficaz de se proteger.