Os cibercriminosos estão sempre em busca de novas formas de atacar suas vítimas, e o doubleclickjacking é um exemplo claro disso.
Esse tipo de ataque, que ganhou destaque no início de 2025, explora os duplos cliques que você realiza para, por exemplo, autorizar pagamentos ou efetuar transferências bancárias em seu nome. Mas como isso acontece? A técnica se aproveita de vulnerabilidades em páginas que você acessa - mesmo que sejam legítimas.
A seguir, vamos analisar como o doubleclickjacking funciona, qual é seu objetivo e como você pode se proteger.
Como funciona o doubleclickjacking?
Esse ataque depende de dois cliques para ser bem-sucedido. Os cibercriminosos inserem um elemento malicioso entre o primeiro e o segundo clique para induzir a vítima a realizar ações indesejadas sem perceber.
No primeiro clique, um novo elemento é inserido na página, que será ativado no segundo clique. Isso acontece por meio da técnica chamada "iframe invisível", que sobrepõe um elemento malicioso sobre um botão legítimo, fazendo com que o usuário interaja com ele sem perceber.
Veja um exemplo prático: imagine que você está em um site legítimo realizando um teste on-line. Em um ataque de doubleclickjacking, ao clicar no botão "Ver resultado", a interface da página é alterada instantaneamente, sem que você perceba. Isso acontece devido ao uso do "iframe invisível", permitindo que os criminosos capturem ações sensíveis, como autorizar pagamentos ou acessar dados sigilosos.
Na página, sem que você perceba, pode haver um botão oculto de "Confirmar" posicionado exatamente abaixo do cursor, em uma página de login de uma rede social. Assim, ao clicar novamente, achando que ainda está no teste, na verdade você estará autorizando o acesso de um cibercriminoso à sua conta.
Um detalhe importante (e preocupante) é que esse tipo de ataque pode ser realizado em sites legítimos, sem a necessidade de redirecionar a vítima para uma página falsa. Isso permite que os criminosos driblem as defesas tradicionais contra o clickjacking, explorando vulnerabilidades em páginas confiáveis, mas que não estão devidamente protegidas.
Diferenças entre doubleclickjacking e clickjacking
O doubleclickjacking pode ser considerado uma evolução do clickjacking. Mas o que é clickjacking? Trata-se de uma técnica na qual um cibercriminoso sobrepõe uma página legítima com elementos invisíveis, como botões ou links, para enganar o usuário e induzi-lo a clicar sem perceber. Para ilustrar melhor: por meio do clickjacking, a vítima pode acreditar que está curtindo uma foto, quando na realidade pode estar autorizando uma transferência de dinheiro.
Em resumo, o clickjacking é um ataque que explora cliques involuntários do usuário. O objetivo é fazer com que a vítima acredite estar pressionando um botão inofensivo, enquanto, na verdade, está ativando uma ação oculta. No entanto, por ser uma técnica relativamente simples, as medidas de segurança modernas costumam detectar e bloquear tentativas de clickjacking com eficiência.
Já o doubleclickjacking exige dois cliques para que o ataque seja concluído: o primeiro prepara a armadilha, enquanto o segundo a ativa. Por ser uma abordagem mais sofisticada, ela consegue burlar algumas das proteções implementadas pelos navegadores contra ataques que dependem de um único clique.
Quais podem ser as consequências de um ataque de doubleclickjacking?
Agora, o mais importante: quais são as possíveis consequências de um ataque de doubleclickjacking? Como veremos a seguir, os cenários são variados e preocupantes.
Cibercriminosos podem alterar configurações sensíveis de segurança das suas contas, obter permissões de API e, em casos mais extremos, autorizar pagamentos e transferências bancárias ou até mesmo realizar compras em seu nome. A seguir, apresentamos alguns cenários concretos:
Um ataque de doubleclickjacking pode ser usado para enganar a vítima e induzi-la a aprovar o login em suas redes sociais ou e-mail. Isso pode resultar na perda de acesso à conta (caso a senha seja alterada) ou na sua utilização para enviar mensagens falsas aos contatos da vítima, com o objetivo de roubar dinheiro ou espalhar malware.
Se o ataque for direcionado a plataformas de pagamento, a vítima pode, sem perceber, autorizar compras on-line ou transferências bancárias.
Além disso, um cibercriminoso pode explorar essa técnica para instalar malware no dispositivo, conceder permissões indevidas a programas (como acesso à câmera, microfone ou localização) e até mesmo implantar ransomware, bloqueando arquivos e exigindo resgate para sua recuperação.
Como se proteger de um ataque de doubleclickjacking?
Como em qualquer tipo de ataque, há medidas preventivas que podem ser adotadas para reduzir significativamente o risco de ser vítima. No caso específico do doubleclickjacking, um passo importante na prevenção é manter os dispositivos e navegadores sempre atualizados. Como mencionamos anteriormente, o doubleclickjacking é uma técnica relativamente nova que explora vulnerabilidades em sites, por isso, futuras atualizações podem corrigir essas falhas e evitar que sejam exploradas por cibercriminosos.
Também é fundamental ficar atento a qualquer ação estranha em um site, como botões que solicitam um clique duplo, captchas ou janelas pop-up. Além disso, é crucial prestar atenção nas mensagens de confirmação e evitar clicar imediatamente em janelas pop-up recém-abertas.
Em resumo, para se proteger, mantenha os dispositivos e softwares atualizados, esteja alerta a comportamentos suspeitos em sites e fique atento às novas técnicas e metodologias de ataque empregadas por cibercriminosos.
