Es difícil resistirse a hacer clic en un enlace de oferta de iPhone gratuito. Pero tenga cuidado: su clic puede ser secuestrado fácilmente y los resultados pueden ser desastrosos.
El secuestro de clics es un método de ataque, también conocido como corrección de la interfaz de usuario, porque se configura al disfrazar (o corregir) un enlace con una superposición que engaña al usuario para que haga algo diferente de lo que cree.
La mayoría de los usuarios de redes sociales disfrutan de la conveniencia de permanecer conectados a ellos en todo momento. Los atacantes podrían aprovechar fácilmente este hábito para obligar a los usuarios a que les guste o sigan algo sin darse cuenta. Para hacer esto, un ciberdelincuente podría poner un botón tentador, por ejemplo, con un texto atractivo, como "iPhone gratis - oferta por tiempo limitado", en su propia página web y superponer un marco invisible con la página de la red social en él, en tal una forma en que un botón "Me gusta" o "Compartir" se coloca sobre el botón de iPhone gratis.
Este simple truco de clickjacking puede obligar a los usuarios de Facebook a dar me gusta a grupos o páginas de fans sin saberlo.
El escenario descrito es bastante inocente, en el sentido de que la única consecuencia para la víctima es ser agregada a un grupo de la red social. Pero con un poco de esfuerzo adicional, la misma técnica podría usarse para determinar si un usuario está conectado a su cuenta bancaria y, en lugar de darle me gusta o compartir algún elemento de las redes sociales, podría verse obligado a hacer clic en un botón que transfiere fondos a la cuenta de un atacante, por ejemplo. La peor parte es que no se puede rastrear la acción maliciosa, porque el usuario estaba registrado legítimamente en su cuenta bancaria y voluntariamente hizo clic en el botón de transferencia.
Porque la mayoría de las técnicas de clickjacking requieren ingeniería social, las redes sociales se convierten en vectores de ataque ideales.
Veamos cómo se utilizan.
Clickjacking on Twitter
Hace unos diez años, la red social Twitter sufrió un ataque masivo que difundió rápidamente un mensaje, lo que llevó a los usuarios a hacer clic en un enlace, aprovechando su curiosidad natural.
Los tweets con el texto "No haga clic", seguido de un enlace, se propagaron rápidamente en miles de cuentas de Twitter. Cuando los usuarios hicieron clic en el enlace y luego en un botón aparentemente inocente en la página de destino, se envió un tweet desde sus cuentas. Ese tweet incluía el texto "No haga clic", seguido del enlace malicioso.
Los ingenieros de Twitter parchearon el ataque de clickjacking poco después de que comenzara. El ataque en sí resultó ser inofensivo y funcionó como una alarma que indica los riesgos potenciales involucrados en las iniciativas de secuestro de clics en Twitter. El enlace malicioso llevó al usuario a una página web con un iframe oculto. Dentro del marco había un botón invisible que enviaba el tweet malicioso desde la cuenta de la víctima.
Clickjacking on Facebook
Los usuarios de la aplicación móvil de Facebook están expuestos a un error que permite a los spammers publicar contenido en el que se puede hacer clic en sus líneas de tiempo, sin su consentimiento. El error fue descubierto por un profesional de seguridad que estaba analizando una campaña de spam. El experto observó que muchos de sus contactos publicaban un enlace a una página con imágenes divertidas. Antes de llegar a las imágenes, se pidió a los usuarios que hicieran clic en una declaración de mayoría de edad.
Lo que no sabían era que la declaración estaba bajo un marco invisible.
Cuando los usuarios aceptaron la declaración, fueron llevados a una página con imágenes divertidas. Pero mientras tanto, el enlace se publicó en la línea de tiempo de Facebook de los usuarios. Eso fue posible porque el componente del navegador web en la aplicación de Facebook para Android no es compatible con los encabezados de las opciones de marcos (a continuación explicamos cuáles son) y, por lo tanto, permite la superposición de marcos maliciosos.
Facebook no reconoce el problema como un error porque no tiene ningún impacto en la integridad de las cuentas de los usuarios. Por lo tanto, es incierto si alguna vez se solucionará.
Clickjacking on lesser social networks
No se trata solo de Twitter y Facebook. Otras redes sociales y plataformas de blogs menos populares también tienen vulnerabilidades que permiten el secuestro de clics. LinkedIn, por ejemplo, tenía una falla que abrió una puerta para que los atacantes engañaran a los usuarios para que compartieran y publicaran enlaces en su nombre, pero sin su consentimiento. Antes de que se solucionara, la falla permitía a los atacantes cargar la página ShareArticle de LinkedIn en un marco oculto y superponer este marco en páginas con enlaces o botones aparentemente inocentes y atractivos.
Otro caso es Tumblr, la plataforma pública de blogs web. Este sitio utiliza código JavaScript para evitar el secuestro de clics. Pero este método de protección se vuelve ineficaz ya que las páginas se pueden aislar en un marco HTML5 que les impide ejecutar código JavaScript. Se podría usar una técnica cuidadosamente diseñada para robar contraseñas, combinando la falla mencionada con un complemento de navegador de ayuda de contraseñas: al engañar a los usuarios para que escriban un texto captcha falso, pueden estar enviando inadvertidamente sus contraseñas al sitio del atacante.
Cross-site request forgery
Una variante del ataque de clickjacking se llama falsificación de solicitud entre sitios, o CSRF para abreviar. Con la ayuda de la ingeniería social, los ciberdelincuentes dirigen los ataques CSRF contra los usuarios finales, obligándolos a ejecutar acciones no deseadas. El vector de ataque puede ser un enlace enviado por correo electrónico o chat.
Los ataques CSRF no intentan robar los datos del usuario porque el atacante no puede ver la respuesta a la solicitud falsa. En cambio, los ataques apuntan a solicitudes de cambio de estado, como un cambio de contraseña o una transferencia de fondos. Si la victima tiene Privilegios administrativos, el ataque tiene el potencial de comprometer una aplicación web completa.
Un ataque CSRF puede almacenarse en sitios web vulnerables, en particular sitios web con los llamados "defectos CSRF almacenados". Esto se puede lograr ingresando etiquetas IMG o IFRAME en los campos de entrada que luego se muestran en una página, como comentarios o una página de resultados de búsqueda.
Preventing framing attacks
A los navegadores modernos se les puede decir si un recurso en particular está permitido o no para cargarse dentro de un marco. También pueden optar por cargar un recurso en un marco solo cuando la solicitud se origina en el mismo sitio en el que se encuentra el usuario. De esta manera, no se puede engañar a los usuarios para que hagan clic en marcos invisibles con contenido de otros sitios, y sus clics no son secuestrados.
Las técnicas de mitigación del lado del cliente se denominan fractura de marcos o eliminación de marcos. Aunque pueden ser eficaces en algunos casos, también se pueden omitir fácilmente. Es por eso que los métodos del lado del cliente no se consideran mejores prácticas. En lugar de romper marcos, los expertos en seguridad recomiendan métodos del lado del servidor como X-Frame-Options (XFO) o más recientes, como Content Security Policy.
Opciones de marco X es un encabezado de respuesta que los servidores web incluyen en las páginas web para indicar si un navegador puede o no mostrar su contenido dentro de un marco.
El encabezado X-Frame-Option permite tres valores.
- DENY, que prohíbe mostrar la página dentro de un marco
- SAMEORIGIN, que permite mostrar la página dentro de un marco, siempre que permanezca en el mismo dominio
- PERMITIR-DESDE URI, que permite la visualización de la página dentro de un marco, pero solo en un URI específico (Identificador uniforme de recursos), por ejemplo, solo dentro de una página web específica en particular.
Los métodos anti-clickjacking más recientes incluyen Content Security Policy (CSP) con la directiva frame-ancestors. Esta opción se está utilizando ampliamente en el reemplazo de XFO. Un beneficio importante de CSP en comparación con XFO es que permite que un servidor web autorice múltiples dominios para enmarcar su contenido. Sin embargo, todavía no es compatible con todos los navegadores.
Antepasados de marcos de CSP La directiva admite tres tipos de valores: 'ninguna,' para evitar que cualquier dominio muestre el contenido; 'yo,' para permitir que solo el sitio actual muestre el contenido en un marco, o una lista de URL con comodines, como '* .some site.com,'https://www.example.com/index.html, 'etc., para permitir solo enmarcar en cualquier página que coincida con un elemento de la lista.
Cómo protegerse contra el clickjacking
Es conveniente permanecer conectado a una red social mientras navega, pero si lo hace, debe tener cuidado con los clics. También debe prestar atención a los sitios que visita porque no todos toman las medidas necesarias para evitar el clickjacking. En caso de que no esté seguro acerca de un sitio web que está visitando, no debe hacer clic en ningún clic sospechoso, por muy tentador que sea.
Otra cosa a la que debe prestar atención es la versión de su navegador. Incluso si un sitio usa todos los encabezados de prevención de clickjacking que mencionamos antes, no todos los navegadores los admiten todos, así que asegúrese de usar la última versión que pueda obtener y que admita funciones anti-clickjacking.
El sentido común es un dispositivo de autoprotección eficaz contra el secuestro de clics. Cuando vea contenido inusual, incluido un enlace publicado por un amigo en cualquier red social, antes de hacer nada, debe preguntarse si ese es el tipo de contenido que publicaría su amigo. De lo contrario, debe advertirle a su amigo que podría haber sido víctima de clickjacking.
Un último consejo: si eres un influencer, o simplemente tienes una gran cantidad de seguidores o amigos en alguna red social, debes duplicar tus precauciones y practicar un comportamiento responsable online. Porque si te conviertes en víctima de un clickjacking, el ataque acabará afectando a mucha gente.
