Ataques de clickjacking: cuidado con la identificación de redes sociales

Es difícil resistirse a hacer clic en un enlace de oferta de iPhone gratis. Pero tenga cuidado: su clic puede ser secuestrado fácilmente y los resultados pueden ser desastrosos.

El secuestro de clics es un m√©todo de ataque, tambi√©n conocido como reparaci√≥n de la interfaz de usuario, porque se configura disfrazando (o reparando) un enlace con una superposici√≥n que enga√Īa al usuario para que haga algo diferente de lo que piensa.

La mayor√≠a de los usuarios de las redes sociales disfrutan de la comodidad de permanecer conectados a ellas en todo momento. Los atacantes podr√≠an aprovechar f√°cilmente este h√°bito para obligar a los usuarios a que les guste o sigan algo sin darse cuenta. Para ello, un ciberdelincuente podr√≠a poner un bot√≥n tentador ‚Äďpor ejemplo, con un texto atractivo, como ‚ÄúiPhone gratis ‚Äď oferta por tiempo limitado‚ÄĚ‚Äď en su propia p√°gina web y superponer un marco invisible con la p√°gina de la red social en √©l, de tal manera una forma en que un bot√≥n “Me gusta” o “Compartir” se encuentra sobre el bot√≥n de iPhone gratis.

Este simple truco de clickjacking puede forzar Facebook usuarios a dar me gusta a grupos o p√°ginas de fans sin saberlo.

El escenario descrito es bastante inocente, en el sentido de que la √ļnica consecuencia para la v√≠ctima es ser agregada a un grupo de la red social. Pero con un poco de esfuerzo adicional, la misma t√©cnica podr√≠a usarse para determinar si un usuario ha iniciado sesi√≥n en su cuenta bancaria y, en lugar de indicar que le gusta o compartir alg√ļn elemento de las redes sociales, podr√≠a verse obligado a hacer clic en un bot√≥n que transfiere fondos a la cuenta de un atacante, por ejemplo. La peor parte es que no se puede rastrear la acci√≥n maliciosa, porque el usuario estaba conectado leg√≠timamente a su cuenta bancaria y voluntariamente hizo clic en el bot√≥n de transferencia.

Debido a que la mayoría de las técnicas de secuestro de clics requieren ingeniería social, las redes sociales se convierten en vectores de ataque ideales.

Veamos cómo se usan.

Clickjacking en Twitter

Hace unos diez a√Īos, la Twitter La red social sufri√≥ un ataque masivo que difundi√≥ r√°pidamente un mensaje, lo que llev√≥ a los usuarios a hacer clic en un enlace, aprovechando su curiosidad natural.

Los tweets con el texto “No haga clic”, seguido de un enlace, se propagaron r√°pidamente a trav√©s de miles de Twitter cuentas Cuando los usuarios hicieron clic en el enlace y luego en un bot√≥n aparentemente inocente en la p√°gina de destino, se envi√≥ un tweet desde sus cuentas. Ese tweet inclu√≠a el texto “No hagas clic”, seguido del enlace malicioso.

Twitter Los ingenieros parchearon el ataque de secuestro de clics poco después de que comenzara. El ataque en sí demostró ser inofensivo y funcionó como una alarma que indicaba los riesgos potenciales involucrados en Twitter iniciativas de secuestro de clics. El enlace malicioso llevaba al usuario a una página web con un iframe oculto. Dentro del marco había un botón invisible que enviaba el tuit malicioso desde la cuenta de la víctima.

Clickjacking en Facebook

M√≥vil Facebook los usuarios de la aplicaci√≥n est√°n expuestos a un error que permite a los spammers publicar contenido en el que se puede hacer clic en sus l√≠neas de tiempo, sin su consentimiento. El error fue descubierto por un profesional de seguridad que estaba analizando una campa√Īa de spam. El experto observ√≥ que muchos de sus contactos publicaban un enlace a una p√°gina con im√°genes divertidas. Antes de llegar a las im√°genes, se les pidi√≥ a los usuarios que hicieran clic en una declaraci√≥n de mayor√≠a de edad.

Lo que no sabían era que la declaración estaba bajo un marco invisible.

Cuando los usuarios aceptaron la declaración, fueron llevados a una página con imágenes divertidas. Pero mientras tanto, el enlace fue publicado en los usuarios Facebook línea de tiempo Eso fue posible porque el componente del navegador web en el Facebook La aplicación para Android no es compatible con los encabezados de opciones de marco (a continuación explicamos cuáles son) y, por lo tanto, permite la superposición de marcos maliciosos.

Facebook no reconoce el problema como un error porque no tiene impacto en la integridad de las cuentas de los usuarios. Por lo tanto, no se sabe si alguna vez se arreglar√°.

Clickjacking en redes sociales menores

no es solo Twitter y Facebook. Otras redes sociales y plataformas de blogs menos populares tambi√©n tienen vulnerabilidades que permiten el secuestro de clics. LinkedIn, por ejemplo, ten√≠a una falla que abr√≠a una puerta para que los atacantes enga√Īaran a los usuarios para que compartieran y publicaran enlaces en su nombre pero sin su consentimiento. Antes de que se solucionara, la falla permit√≠a a los atacantes cargar la p√°gina ShareArticle de LinkedIn en un marco oculto y superponer este marco en p√°ginas con enlaces o botones aparentemente inocentes y atractivos.

Otro caso es Tumblr, la plataforma p√ļblica de blogs web. Este sitio utiliza c√≥digo JavaScript para evitar el secuestro de clics. Pero este m√©todo de protecci√≥n se vuelve ineficaz ya que las p√°ginas pueden aislarse en un marco HTML5 que les impide ejecutar c√≥digo JavaScript. Se podr√≠a usar una t√©cnica cuidadosamente dise√Īada para robar contrase√Īas, combinando la falla mencionada con un complemento de navegador de ayuda para contrase√Īas: al enga√Īar a los usuarios para que escriban un texto de captcha falso, pueden estar enviando inadvertidamente sus contrase√Īas al sitio del atacante.

Falsificación de solicitud entre sitios

Una variante del ataque de secuestro de clics se denomina falsificación de solicitud entre sitios, o CSRF para abreviar. Con la ayuda de la ingeniería social, los ciberdelincuentes dirigen ataques CSRF contra los usuarios finales, obligándolos a ejecutar acciones no deseadas. El vector de ataque puede ser un enlace enviado por correo electrónico o chat.

Los ataques CSRF no pretenden robar los datos del usuario porque el atacante no puede ver la respuesta a la solicitud falsa. En cambio, los ataques se dirigen a solicitudes de cambio de estado, como un cambio de contrase√Īa o una transferencia de fondos. Si la v√≠ctima tiene privilegios administrativos, el ataque tiene el potencial de comprometer una aplicaci√≥n web completa.

Un ataque CSRF puede almacenarse en sitios web vulnerables, en particular sitios web con los llamados “defectos CSRF almacenados”. Esto se puede lograr ingresando etiquetas IMG o IFRAME en los campos de entrada que luego se muestran en una p√°gina, como comentarios o una p√°gina de resultados de b√ļsqueda.

Prevención de ataques de encuadre

A los navegadores modernos se les puede decir si un recurso en particular puede o no cargarse dentro de un marco. Tambi√©n pueden optar por cargar un recurso en un marco solo cuando la solicitud se origina en el mismo sitio en el que se encuentra el usuario. De esta forma, no se puede enga√Īar a los usuarios para que hagan clic en marcos invisibles con contenido de otros sitios, y sus clics no son secuestrados.

Las técnicas de mitigación del lado del cliente se denominan destrucción de marcos o eliminación de marcos. Aunque pueden ser efectivos en algunos casos, también pueden pasarse por alto fácilmente. Es por eso que los métodos del lado del cliente no se consideran mejores prácticas. En lugar de romper marcos, los expertos en seguridad recomiendan métodos del lado del servidor como X-Frame-Options (XFO) o más recientes, como la Política de seguridad de contenido.

X-Frame-Options es un encabezado de respuesta que los servidores web incluyen en las p√°ginas web para indicar si un navegador puede o no mostrar su contenido dentro de un marco.

El encabezado X-Frame-Option permite tres valores.

DENY, que prohíbe mostrar la página dentro de un marco SAMEORIGIN, que permite mostrar la página dentro de un marco, siempre que permanezca en el mismo dominio ALLOW-FROM URI, que permite mostrar la página dentro de un marco pero solo en un URI especificado (Identificador uniforme de recursos), por ejemplo, solo dentro de una página web específica en particular.

Los m√©todos m√°s recientes contra el secuestro de clics incluyen la Pol√≠tica de seguridad de contenido (CSP) con la directiva frame-ancestors. Esta opci√≥n est√° siendo muy utilizada en sustituci√≥n de XFO. Una ventaja importante de CSP en comparaci√≥n con XFO es que permite que un servidor web autorice m√ļltiples dominios para enmarcar su contenido. Sin embargo, a√ļn no es compatible con todos los navegadores.

La directiva frame-ancestors de CSP admite tres tipos de valores: ‘ninguna,’ para evitar que cualquier dominio muestre el contenido; ‘uno mismo,’ para permitir que el sitio actual solo muestre el contenido en un marco, o una lista de URL con comodines, como ‘*.alg√ļn sitio.com’, ‘https://www.example.com/index.html’, etc. ., para permitir solo el encuadre en cualquier p√°gina que coincida con un elemento de la lista.

Cómo protegerse contra el clickjacking

Es conveniente permanecer conectado a una red social mientras navega, pero si lo hace, debe tener cuidado con sus clics. Tambi√©n debe prestar atenci√≥n a los sitios que visita porque no todos toman las medidas necesarias para evitar el secuestro de clics. En caso de que no est√© seguro acerca de un sitio web que est√° visitando, no debe hacer clic en ning√ļn clic sospechoso, sin importar cu√°n tentador pueda ser.

Otra cosa a la que debe prestar atenci√≥n es la versi√≥n de su navegador. Incluso si un sitio usa todos los encabezados de prevenci√≥n de secuestro de clics que mencionamos anteriormente, no todos los navegadores los admiten todos, as√≠ que aseg√ļrese de usar la √ļltima versi√≥n que pueda obtener y que sea compatible con las funciones contra el secuestro de clics.

El sentido com√ļn es un dispositivo de autoprotecci√≥n eficaz contra el clickjacking. Cuando vea contenido inusual, incluido un enlace publicado por un amigo en cualquier red social, antes de hacer nada, debe preguntarse si ese es el tipo de contenido que publicar√≠a su amigo. De lo contrario, debe advertir a su amigo que √©l o ella podr√≠a haber sido v√≠ctima de clickjacking.

Un √ļltimo consejo: si eres influencer, o simplemente tienes un gran n√ļmero de seguidores o amigos en alguna red social, debes redoblar tus precauciones y tener un comportamiento responsable en las redes. Porque si te conviertes en v√≠ctima de clickjacking, el ataque terminar√° afectando a mucha gente.

Botón volver arriba