lunes, 26 de septiembre de 2011

Clickjacking y Likejacking

Facebook es un hervidero de todo tipo de timos, engaños, etc... Aquí vamos a intentar explicar algunas de esas "joyas de la corona".

El clickjacking o secuestro de clicks
Esta técnica es bastante general y se utiliza en multitud de páginas, ya sea para que pulses en algún enlace, para robar datos, mostrar publicidad,... o cualquier otra acción que voluntariamente no harías. En principio, cualquier cosa que sea posible hacer pinchando o "clickando" un enlace, es susceptible de ser empleado con esta técnica para que realices operaciones que realmente no deseas.

El clickjacking no es un agujero de seguridad en sí mismo, sino que es una forma de utilizar la tecnología para engañar al usuario, haciéndole creer que las cosas, realmente, no son lo que parecen.

El caso típico consiste en cargar una página web dentro de otra, pero dejándola oculta (por ejemplo, indicando opacidad=0 como se comentó en el artículo "GUSANO: Te reto a ver esta página sin reírte!!"). Además, se configura el z-index (atributo que indica el orden en el que muestran los distintos elementos de la página) de modo que la página oculta quede situada encima de la visible. 

Veamos algunos ejemplos:
En este ejemplo, se pone una página web propia para robar los datos de la página de fondo que es realmente la que está visible. De este modo, por ejemplo, podríamos haber dado a un desconocido nuestro usuario y la contraseña de acceso a algún servicio.

Para evitar estos casos, es conveniente comprobar la dirección de la página en la que nos encontramos, ya que esta no coincidirá con la dirección real del servicio en la que creemos estar entrando.

El siguiente ejemplo es más difícil de detectar, ya que sería el caso en el que entramos a una web, cuyo único fin es una pequeña distracción, juego, broma, etc... pero que realmente tiene una página web superpuesta en la que nos estamos dando de alta involuntariamente. El principal problema es que no sabremos donde nos hemos dado de alta hasta que nos empiecen a llegar correos electrónicos, hayan robados nuestros datos, etc, etc, etc...

El likejacking o secuestro del "Me gusta" (de Facebook)
Este término toma su nombre del botón "Me gusta" ("Like") que aparece en los comentarios o enlaces compartidos en Facebook, así como en otras páginas que lo emplean (correctamente) para que sus visitantes puedan compartir voluntariamente los artículos, productos... o enlaces en general, que les parezca oportuno o interesantes para su círculo de amigos.

El likejacking consiste en:
  • Un usuario hace click en un enlace distribuido a través de spam, redes sociales, etc... y va a parar a una web.
  • Una vez que ha visto el contenido de la web (ya sea falso o real) abandona la misma. Sin embargo, en algún momento se ha publicado en su muro de Facebook un enlace a esa misma web (o a cualquier otra)
  • El comentario aparece como si lo hubiera publicado el propio usuario, es decir, como si hubiera dado al botón "Me gusta" explícitamente.
El riesgo de este tipo de ataques es que los amigos del usuario verán el enlace y pensarán que es algo interesante, de modo que, pincharán en el enlace y serán víctimas de ese mismo ataque, poniendo en peligro a  sus propios amigos.

En cualquier momento (cuando hay bastantes enlaces publicados), los delincuentes pueden cambiar el contenido de la web, de manera que, los usuarios que vayan llegando a la página, no solo verán como se publica un comentario en su nombre en su muro de Facebook sin su consentimiento, sino que además terminarán con su ordenador infectado por cualquier tipo de malware, etc...

Si se identifica que se ha sido víctima de uno de estos ataques, es recomendable eliminar el mensaje publicado en el muro y eliminar el contenido de la lista de cosas que te gustan (si no sabes como puedes echarle un vistazo al artículo "Como eliminar ciertas páginas de nuestro perfil de Facebook"), así como alertar a todos los amigos que puedan haberse visto afectados de que, tal mensaje, era falso.

Veamos algunos ejemplos:
Son muchos los casos en los que te indican que para poder hacer cualquier cosa (como ver quien visita tu perfil), debes pinchar en todos los "Me gusta", compartir un enlace y publicar algo en cierta cantidad de muros o páginas,... y al final,... nada.

Aunque no hayas podido hacer lo que te prometían, lo que si has hecho es publicar en tu perfil ciertos enlaces a páginas fraudulentas, en las que posteriormente "caerán" tus contactos, así como publicar mensajes no deseados en el muro de tus amigos (esto es SPAM, es delito y lo ha hecho el usuario, no la página en cuestión, así que cuidado con lo que publicas).

Hay buscadores que utilizan los "Me gusta" de Facebook para posicionar sus páginas, de modo que, he encontrado, en algunos casos que los promotores de estas páginas son SEO's que venden humo a sus clientes y que lo único que conseguirán es que, la página de su cliente, se catalogue como fraudulenta y tengan gran cantidad de miembros, pero que no tienen ningún tipo de interés por lo que se publica en ella.

Podéis ver este caso en detalle en "Scam-Hoax-Facebook: ¿Quien a visto tu perfil y tus fotos?", donde una empresa de marketing se ha encargado de propagar el timo y el likejacking correspondiente.

Likejacking y clickjacking unidos
En ocasiones se utilizan las dos técnicas anteriormente descritas, como en el caso descrito en el artículo "McDonalds: Otro malware en Facebook" que, como al poco de aparecer cambio el contenido de la página de destino, como se indica en el artículo "iPhone gratis: El malware de McDonalds ha cambiado."

El likejacking puro
Recientemente han aparecido algunas páginas que, a través de JavaScript, se encarga de añadir algunos "Me gusta" a tu perfil sin la necesidad de "Clickar" en ningún contenido de la página (simplemente mostrando la página), así como de publicar información en tu perfil o en el de tus "amigos" según le venga en gana al programador del sitio web.

No hay comentarios:

Publicar un comentario