Es difícil resistirse a hacer clic en un enlace a una oferta gratuita de iPhone. Pero tenga cuidado: su clic puede interceptarse fácilmente y los resultados pueden ser desastrosos.
Clickjacking es una técnica de ataque también conocida como parches de UI porque se personaliza disfrazando (o arreglando) un enlace con una superposición que engaña al usuario para que haga algo diferente de lo que él o ella piensa.
A la mayoría de los usuarios de las redes sociales les gusta la conveniencia de estar siempre registrados. Los atacantes pueden aprovechar fácilmente este hábito para que los usuarios les guste o suscriban algo. Para hacer esto, un cibercriminal puede colocar un botón tentador, como uno con un texto atractivo como «Oferta gratuita de iPhone – Limited Limition», en su página web y superponer un marco invisible con una página de red social, de la misma manera que unEl botón «Me gusta» o «Compartir» se coloca sobre un botón «iPhone gratis».
Este simple truco de clickjacking puede hacer que los usuarios de Facebook les gusten los grupos o las páginas de fanáticos sin siquiera darse cuenta.
El escenario descrito es bastante inocente en el sentido de que la única consecuencia para la víctima se agrega a un grupo en una red social. Pero con un esfuerzo adicional, se puede utilizar el mismo método para determinar si el usuario ha iniciado sesión en su cuenta bancaria, y en lugar de gustarle o compartir un artículo en una red social, puede verse obligado a hacer clic en un botón queTransfiere fondos a la cuenta del atacante, por ejemplo. Lo peor de todo es que la acción maliciosa no se puede rastrear porque el usuario ha iniciado sesión legítimamente en su cuenta bancaria y ha hecho clic voluntariamente en el botón de transferencia.
Dado que la mayoría de las técnicas de clickjacking requieren ingeniería social, las redes sociales se convierten en un vector de ataque ideal.
Echemos un vistazo a cómo se están utilizando.
- Twitter Clickjacking
- Clickjacking en Facebook
- Clickjacking en redes sociales más pequeñas
- X-Frame-Options es un encabezado de respuesta que los servidores web incluyen en páginas web para indicar si el navegador puede mostrar su contenido dentro de un marco.
- Desactive de URI, que permite que una página se muestre dentro de un marco, pero solo dentro de un URI especificado (identificador de recursos uniformes), por ejemplo, solo dentro de una página web específica particular.
Twitter Clickjacking
Hace aproximadamente una década, la red social Twitter fue sometida a un ataque masivo que rápidamente difundió un mensaje que hizo que los usuarios hicieran clic en un enlace, aprovechando su curiosidad natural.
Tweets con el texto «No haga clic» seguido de un enlace rápidamente distribuido en miles de cuentas de Twitter. Cuando los usuarios hicieron clic en un enlace y luego un botón aparentemente inocente en una página de destino, se envió un tweet desde sus cuentas. Este tweet contenía el texto «No haga clic» seguido de un enlace malicioso.
Los ingenieros de Twitter arreglaron el ataque de clickjacking poco después de que comenzó. El ataque en sí parecía ser inofensivo y sirvió como una alerta comunicando los riesgos potenciales asociados con las iniciativas de clickjacking de Twitter. El enlace malicioso llevó al usuario a una página web con un iframe oculto. Dentro del marco había un botón invisible que envió un tweet malicioso de la cuenta de la víctima.
Clickjacking en Facebook
Los usuarios de la aplicación móvil de Facebook se enfrentan a un error que permite a los spammers publicar contenido en clic en su línea de tiempo sin su consentimiento. El error fue descubierto por un experto en seguridad que analizó la campaña de spam. El experto notó que muchos de sus contactos estaban publicando un enlace a una página con imágenes divertidas. Antes de llegar a las fotos, se les pidió a los usuarios que hicieran clic en una declaración de consentimiento.
Lo que no sabían era que la declaración estaba bajo un marco invisible.
Cuando los usuarios aceptaron la declaración, fueron llevados a una página con fotos divertidas. Pero mientras tanto, el enlace se publicó en la línea de tiempo de los usuarios de Facebook. Esto fue posible porque el componente del navegador web en la aplicación Android de Facebook es incompatible con los encabezados de parámetros de cuadro (explicamos lo que están a continuación) y, por lo tanto, permite que el marco malicioso se superponga.
Facebook no reconoce el problema como un error porque no afecta la integridad de las cuentas de usuario. Por lo tanto, no está claro si esto alguna vez se solucionará.
Clickjacking en redes sociales más pequeñas
No es solo Twitter y Facebook. Otras plataformas de blogs y blogs menos populares también tienen vulnerabilidades que permiten hacer clickjacking. LinkedIn, por ejemplo, tenía una vulnerabilidad que daba a los atacantes la capacidad de engañar a los usuarios para que compartan y publiquen enlaces en su nombre, pero sin su consentimiento. Antes del parche, la vulnerabilidad permitía a los atacantes cargar una página de LinkedIn Sharearticle en un marco oculto y una superposición que en las páginas con enlaces o botones aparentemente inocentes y atractivos.
X-Frame-Options es un encabezado de respuesta que los servidores web incluyen en páginas web para indicar si el navegador puede mostrar su contenido dentro de un marco.
El encabezado X-Frame-Option permite tres valores.
Negar, lo que prohíbe que la página se muestre dentro de un marco
Sameorigin, que permite que la página se muestre en el marco siempre que esté en el mismo dominio.
Desactive de URI, que permite que una página se muestre dentro de un marco, pero solo dentro de un URI especificado (identificador de recursos uniformes), por ejemplo, solo dentro de una página web específica particular.
Los métodos más modernos para proteger contra Clickjacking incluyen una Política de Seguridad de Contenido (CSP) con una Directiva de Ancestros de Marco. Esta opción se usa ampliamente para reemplazar XFO. Una de las principales ventajas de CSP sobre XFO es que permite que un servidor web autorice múltiples dominios para enmarcar su contenido. Sin embargo, aún no lo respaldan por todos los navegadores.
La Directiva CSP Frame-Achestors permite tres tipos de valores: ‘Ninguno’ para evitar que el contenido se muestre en cualquier dominio;’Self’ para permitir que el sitio actual muestre contenido solo en el marco, o una lista de URL con comodines, como ‘*. Some Site. com’ ‘https://www. example. com/index. html,’etc., para permitir el encuadre solo en cualquier página que coincida con un elemento en la lista.
Cómo protegerse de Clickjacking
Es conveniente permanecer en una red social mientras navega, pero si lo hace, debe tener cuidado con sus clics. También debe prestar atención a los sitios web que visite, porque no todos toman las medidas necesarias para evitar el clickjacking. Si no está seguro del sitio web que está visitando, no debe hacer clic en ningún clic sospechoso, sin importar cuán tentador sea.
- Otra cosa a la que debes prestar atención es la versión de tu navegador. Incluso si un sitio web utiliza todos los encabezados de prevención de clickjacking que mencionamos anteriormente, no todos los navegadores los admiten a todos, así que asegúrese de usar la última versión que pueda obtener y asegurarse de que admita las funciones de protección de clickjacking.
- El sentido común es una autodefensa efectiva contra Clickjacking. Cuando ve contenido inusual, incluido un enlace publicado por un amigo en cualquier red social, antes de hacer algo, debe preguntarse si su amigo publicaría dicho contenido. Si no, debe advertir a su amigo que él o ella puede haber sido víctima de hacer clickjacking.
- Un último consejo: si usted es un influencer o simplemente tiene muchos seguidores o amigos en cualquier red social, debe duplicar sus precauciones y practicar el comportamiento en línea responsable. Porque si es víctima de hacer clic, el ataque afectará a muchas personas.
toadmin. ru
