Em publicações anteriores vimos algumas técnicas utilizadas pelos atacantes para realizar ações criminosas por meio da exploração de vulnerabilidades em algum site. Hoje veremos uma funcionalidade web que, por não contar com os controles adequados, pode ser utilizada por um cibercriminoso para roubar informações, realizar ataques de negação de serviço (DDoS) ou, inclusive, propagar malware.

O que é um Iframe?

Um Iframe é uma linha de código de programação que permite incluir um elemento HTML dentro de outro objeto HTML principal. Apesar da tag Iframe ter sido introduzida pelo Internet Explorer mais ou menos em 1997, atualmente é suportada e utilizada por todos os navegadores e, inclusive, foi aceitada pela W3 (World Wide Web, regulador de padrões web).

Resumindo, um Iframe é uma tag dentro do código de programação para mostrar outro site de forma menor. É apresentado para o usuário como uma janela dentro da janela principal. Para colocá-lo de forma gráfica e citando alguma analogia, é exatamente o mesmo que o sistema PIP (Picture In Picture ou imagem sobre imagem) nas TVs de última geração. Essa funcionalidade permite ao usuário ver o programa principal ao fundo, enquanto que um quadro inferior pequeno pode apresentar outro canal, a reprodução de um DVD ou a câmera, entre outros.

Acredito que você já tenha acessado a algum site, por exemplo, um blog de notícias, onde após carregar completamente o conteúdo é apresentada uma mensagem (publicidade, proposta de inscrição para uma newsletter, etc.) que escurece o fundo da página principal. No lugar de mostrar os conhecidos pop-up, a publicidade é apresentada no mesmo site principal em uma versão reduzida, e é dessa forma como se vê um Iframe.

Como isso pode ser aproveitado por um atacante?

Um site web sem as medidas de controle necessárias, tais como permissões ou usuários de fábrica (como adm), pode ser o cenário perfeito para que um atacante modifique o seu código com o intuito de carregar um Iframe. Essa ação pode estar ligada a um site de phishing que simula ser o original, como foi o caso de um clone do PayPal hospedado na Colômbia. Como vemos, esses tipos de técnicas são aproveitados pelos cibercriminosos para todos os tipos de delitos.

O que fazer para estar protegido?

Em linha gerais, um usuário não pode fazer muito para evitar que o conteúdo web seja modificado e um Iframe seja inserido. Isso ocorre por conta do administrador, ou seja, é ele quem deve implantar os controles necessários para que ninguém possa modificar o conteúdo, atualizando o software e aplicando patches para corrigir falhas de forma regular.

No entanto, existem boas práticas que você pode implementar para estar protegido contra a exploração de vulnerabilidades no navegador ou em algum complemento como o Java ou Flash, o roubo de informações, e a execução de aplicativos indesejados na web.

Tendo em conta que um Iframe legítimo de um site tem como finalidade mostrar uma mensagem ao usuário, o comportamento suspeito ocorre de forma bastante sútil, como por exemplo, no lugar de carregar um site web, apresenta um site malicioso que está apenas esperando uma oportunidade para explorar uma vulnerabilidade no navegador.

Com base em tudo isso, sugerimos:

  • Realizar o rastreamento de ameaças no seu equipamento com uma solução de segurança instalada e atualizada. Isso permite saber se existe algum aplicativo indesejado e, dessa forma, poder prever proativamente a execução de exploits que possam aproveitar alguma vulnerabilidade do sistema.
  • Como sempre mencionamos, sugerimos que você troque periodicamente as suas senhas. Contra um comportamento suspeito de um Iframe, uma boa ideia é trocá-las rapidamente, considerando o uso de senhas longas e seguras.
  • Também sugerimos a instalação de alguns complementos que permitam bloquear a execução de instruções ou scripts no navegador. Existem vários que podem ser baixados de forma gratuita e livre, um deles é o NoScript.

Em resumo, sabemos que um cibercriminoso busca todas as formas possíveis na hora de roubar informações e comprometer equipamentos, fazendo uso inclusive de funcionalidades próprias dos sites após serem vulnerados. Com essas ferramentas instaladas e boas práticas incorporadas, é possível reduzir significativamente o risco de infecções por malware e o roubo de informações, entre outros. Com relação à segurança informática, a proatividade, em conjunto com o bom senso e a atenção, fortalecerá a segurança em nossos dispositivos e perfis.

Em breve mostraremos como um Iframe se apresenta em um ambiente controlado virtualmente, e como pode ser manipulado por um atacante para explorar alguma vulnerabilidade em um sistema ou roubar informações. A exploração de vulnerabilidades, por meio dessa técnica, é possível graças à relação de confiança que existe entre o usuário e o site vulnerado. Por isso, é fundamental ser um usuário atento e responsável.