{"id":19483,"date":"2022-05-16T22:42:47","date_gmt":"2022-05-17T01:42:47","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19483"},"modified":"2022-05-16T22:42:48","modified_gmt":"2022-05-17T01:42:48","slug":"relatorios-falsos-de-clickjacking","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/05\/basico\/relatorios-falsos-de-clickjacking\/","title":{"rendered":"Relat\u00f3rios falsos de clickjacking"},"content":{"rendered":"\n

Relat\u00f3rios falsos de recompensas de bugs de clickjacking: os principais fatos<\/span><\/h1>\n

\u00a0<\/p>\n

Voc\u00ea est\u00e1 ciente de relat\u00f3rios falsos de recompensas de bugs de clickjacking? <\/span>Se n\u00e3o, voc\u00ea deveria estar. Este artigo ir\u00e1 ajud\u00e1-lo a se atualizar e a ficar alerta.<\/span><\/p>\n

\u00a0<\/p>\n

O que s\u00e3o os relat\u00f3rios de recompensas de bugs de clickjacking?<\/span><\/span><\/strong><\/h2>\n

\u00a0<\/p>\n

Se come\u00e7armos dividindo o termo em suas partes e componentes, uma recompensa de bug \u00e9 um programa oferecido por uma organiza\u00e7\u00e3o, no qual os indiv\u00edduos s\u00e3o recompensados \u200b\u200bpor encontrar e relatar bugs de software. Esses programas s\u00e3o frequentemente usados \u200b\u200bpor empresas como uma maneira econ\u00f4mica de encontrar e corrigir vulnerabilidades de software, melhorando assim a seguran\u00e7a de seus produtos. Eles tamb\u00e9m ajudam a construir boa divulga\u00e7\u00e3o com a comunidade de seguran\u00e7a.<\/span><\/p>\n

\u00a0<\/p>\n

Para os ca\u00e7adores de recompensas (ou hackers de chap\u00e9u branco), eles t\u00eam a oportunidade de ganhar dinheiro e reconhecimento por suas habilidades.<\/span><\/p>\n

\u00a0<\/p>\n

Clickjacking \u00e9 uma t\u00e9cnica maliciosa usada para induzir os usu\u00e1rios a clicar em algo que eles acham que \u00e9 seguro, mas na verdade \u00e9 prejudicial. Por exemplo, um hacker pode criar um bot\u00e3o falso que se pare\u00e7a com o bot\u00e3o “curtir” em um site de m\u00eddia social. Quando os usu\u00e1rios clicam nele, eles podem gostar de uma p\u00e1gina sem saber ou postar conte\u00fado prejudicial. Embora isso possa parecer uma brincadeira inofensiva, o clickjacking pode ser usado para fins mais maliciosos, como infectar o computador de um usu\u00e1rio com malware ou roubar informa\u00e7\u00f5es confidenciais.<\/span><\/p>\n

\u00a0<\/p>\n

Dado o dano potencial que o clickjacking pode causar, grandes recompensas que relatam casos podem ser muito ben\u00e9ficas para uma organiza\u00e7\u00e3o.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Minha empresa n\u00e3o oferece recompensas por bugs. <\/span>Precisa?<\/span><\/strong><\/h2>\n

\u00a0<\/p>\n

Como um relat\u00f3rio de recompensas de bugs pode trazer benef\u00edcios financeiros tanto para o ca\u00e7ador de recompensas quanto para a organiza\u00e7\u00e3o, o primeiro geralmente n\u00e3o espera um convite para ca\u00e7ar bugs e adota uma abordagem mais proativa. Isso significa que voc\u00ea pode receber relat\u00f3rios de recompensas mesmo que n\u00e3o tenha um programa formal de recompensas de bugs implementado. <\/span>Esta pr\u00e1tica, onde um relat\u00f3rio n\u00e3o \u00e9 solicitado com um pedido de dinheiro \u00e9 muitas vezes referido como uma \u201crecompensa de implorar\u201d.<\/span><\/p>\n

\u00a0<\/p>\n

Ent\u00e3o qual \u00e9 o problema?<\/span><\/strong><\/h2>\n

\u00a0<\/p>\n

H\u00e1 uma tend\u00eancia crescente em relat\u00f3rios falsos de recompensas de bugs porque os indiv\u00edduos est\u00e3o usando ferramentas de varredura para gerar “problemas” e, em seguida, sinalizando-os para o maior n\u00famero poss\u00edvel de organiza\u00e7\u00f5es sem considerar o risco real.<\/span><\/p>\n

\u00a0<\/p>\n

Enquanto alguns parecer\u00e3o falsos, outros relat\u00f3rios podem ser sofisticados o suficiente para enganar uma organiza\u00e7\u00e3o em milhares de d\u00f3lares. E ao ser v\u00edtima, voc\u00ea n\u00e3o paga apenas uma recompensa imerecida; voc\u00ea tamb\u00e9m mostra ao ca\u00e7ador de recompensas que possui conhecimento limitado em seguran\u00e7a, uma fraqueza que eles provavelmente voltar\u00e3o e explorar\u00e3o.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

Claro, fechar as portas e ignorar todos os relat\u00f3rios de recompensas de bugs n\u00e3o \u00e9 a resposta. Existem pessoas genuinamente boas por a\u00ed que est\u00e3o tentando ajudar, e sua descoberta pode economizar muito sofrimento e despesas para sua empresa.<\/span><\/p>\n

\u00a0<\/p>\n

Ent\u00e3o, como voc\u00ea sabe se um relat\u00f3rio de recompensa de bug \u00e9 genu\u00edno, especialmente se voc\u00ea n\u00e3o \u00e9 um profissional de seguran\u00e7a ou n\u00e3o tem uma equipe de seguran\u00e7a?<\/span><\/p>\n

\u00a0<\/p>\n

Como identificar um relat\u00f3rio falso de recompensa de bug de clickjacking?<\/span><\/span><\/strong><\/h2>\n

\u00a0<\/p>\n

Quando esses relat\u00f3rios de pessoas que se posicionam como especialistas em seguran\u00e7a aparecem, pode ser dif\u00edcil determinar o que \u00e9 real e o que \u00e9 falso, mas existem empresas que podem realizar an\u00e1lises de relat\u00f3rios de recompensas de bugs para lhe dar essa paz de esp\u00edrito. Isso \u00e9 oferecido por determinados provedores de verifica\u00e7\u00e3o de vulnerabilidades, que, como parte de seu servi\u00e7o, tamb\u00e9m executar\u00e3o uma vigil\u00e2ncia cont\u00ednua sobre seus sistemas para identificar, analisar e corrigir vulnerabilidades cr\u00edticas mais rapidamente.<\/span><\/p>\n

\u00a0<\/p>\n

A Intruder<\/span> , que oferece esse servi\u00e7o e tem ajudado os clientes a descobrir relat\u00f3rios falsos de recompensas de bugs de clickjacking h\u00e1 anos, viu um aumento nos casos recentemente. Apenas algumas semanas atr\u00e1s, um de seus clientes <\/span><\/span>Vanguard<\/span><\/span> foi notificado de um “relat\u00f3rio de vulnerabilidade” an\u00f4nimo. <\/span>O rep\u00f3rter alegou ser capaz de contornar suas prote\u00e7\u00f5es de clickjacking usando algum JavaScript dispon\u00edvel publicamente, mas gra\u00e7as ao profundo conhecimento da equipe Vanguard dos sistemas do cliente, foi capaz de descartar o relat\u00f3rio como falso muito rapidamente.<\/span><\/p>\n

\u00a0<\/p>\n

H\u00e1 tamb\u00e9m algumas coisas que voc\u00ea pode procurar para identificar um relat\u00f3rio falso:<\/span><\/span><\/p>\n