Poucos aplicativos são tão seguros como os softwares de bancos para dispositivos móveis, mas, mesmo assim, eles ainda podem dar aos criminosos virtuais suas informações mais preciosas e sigilosas, como credenciais de login e detalhes de contato.
Com o clickjacking, é tão rápido e fácil roubar informações confidenciais e privadas quanto fazer login em um aplicativo. Um malware como o Svpeng ilustra a eficácia e a prevalência desse tipo de crime.
O clickjacking permite que um hacker insira uma camada invisível na interface do usuário, entre seus comandos e o que você vê na tela do dispositivo.
Você pode pensar que está visualizando a tela do banco depois de inserir seu ID e sua senha, mas o que realmente aparece é uma réplica da mesma tela colocada sobre as informações reais do banco.
Quando você insere suas informações privadas, os dados não vão para o sistema de verificação do banco, mas para os servidores de arquivos que os criminosos virtuais mantêm para roubar as informações de acesso à conta.
Clickjacking com fins lucrativos
Em julho de 2017, Roman Unuchek, analista sênior de malware da Kaspersky Lab, informou no blog do SecureList que o malware Svpeng estava "se tornando viral". O Svpeng apareceu inicialmente em 2013 para roubar dados bancários de usuários de dispositivos Android. Uma vez baixados em um dispositivo móvel, os dados do usuário passam por clickjacking, mas o problema vai muito além disso.
Uma vez que o malware ganha acesso aos privilégios de administrador, ele pode escolher quais telas de sobreposição usar, pode enviar e receber mensagens de texto, além de fazer chamadas telefônicas e ler os contatos.
O malware então envia capturas de tela e qualquer outro material sequestrado do dispositivo de volta para um servidor de comando e controle operado pelos hackers. Esses envios podem incluir contatos, aplicativos instalados, registros de chamadas e mensagens SMS, o que é especialmente problemático porque os bancos geralmente enviam códigos de verificação aos usuários por mensagens de texto.
Em uma única semana, o Svpeng se espalhou por 23 países, segundo Unuchek.
O clickjacking ocorre em quase todas as plataformas
Embora aparentemente os telefones Android sejam particularmente vulneráveis ao clickjacking, isso pode ocorrer em qualquer máquina com acesso à Internet: dispositivos móveis, tablets, computadores e computadores portáteis.
Em meados de 2016, o Google removeu os anúncios com camadas transparentes, que induziram milhões de usuários a clicar em links que os levaram a sites não solicitados. Em muitos casos, esses sites continham malware, adware e até spyware, que foram baixados e instalados, às vezes sem o conhecimento do usuário.
Empresas inescrupulosas podem usar as páginas visitadas por meio de clickjacking para disparar pedidos com um clique da Amazon. Em plataformas de redes sociais como o Facebook, eles criam "curtidas" artificiais em postagens (o que é chamado de "likejacking") ou recrutam seguidores involuntários no Twitter. O clickjackers também baixam malware que obriga os usuários a clicar em anúncios invisíveis, de acordo com MarketingLand.com.
Como se defender do clickjacking
Uma das formas mais comuns do software de clickjacking entrar nos dispositivos é por meio de e-mails direcionados. Infelizmente, em um mundo onde hackers já roubaram bilhões de contas de clientes com dados de contato, a compra dessas informações custa muito pouco para os criminosos virtuais. É grande a probabilidade de criminosos virtuais terem pelo menos sua conta de e-mail no arquivo deles, junto com a instituição bancária associada a ela.
Cuidado com e-mails que chegam a sua caixa de entrada que alegam tratar de um assunto urgente que requer sua atenção. Esses e-mails exigem que você clique em um link, e esse link pode levar você a um site que parece idêntico ao do banco ou a outro site oficial para persuadir você a baixar a última versão do aplicativo da instituição ou preencher informações de perfil.
Se o objetivo é fazer você baixar um aplicativo, trata-se provavelmente de um malware que capta e rouba todas as suas credenciais. Em outros casos, o próprio site pode ser a fonte do malware que invade seu dispositivo. Independentemente de como isso acontece, o malware apresenta camadas falsas de entrada para você preencher.
Também é importante evitar clicar em anúncios no Google ou no Facebook que oferecem algo muito bom para ser verdade, ou que divulgam notícias ou histórias que parecem extraordinárias. Em alguns casos, ao clicar nesses itens, você pode ser direcionado a um site que baixa o software de clickjacking no seu computador. Em vez disso, procure notícias em um canal alternativo, como um jornal consagrado e respeitável. Se a notícia for real, não será difícil encontrá-la em fontes confiáveis.
Sempre baixe aplicativos em dispositivos por meio de bibliotecas de aplicativos autorizadas. Essas bibliotecas têm agentes de software e pessoas trabalhando para eliminar o malware e deixar somente o conteúdo apropriado. Nem sempre é fácil identificar interfaces falsas ou invisíveis, mas uma dose saudável de ceticismo ao lidar com qualquer coisa relacionada à Internet pode contribuir muito para uma experiência de usuário satisfatória.
Artigos relacionados:
- O que é adware?
- O que é um cavalo de Troia?
- Fatos e perguntas frequentes sobre vírus de computador e malware
- Spam e phishing