Los usuarios de Facebook han sido nuevamente objeto de una ronda de ataques de «clickjacking» (secuestro de clic) que los obliga a autorizar acciones, las cuales ni siquiera tienen intención de aprobar.
El último episodio de esta saga, de acuerdo con los investigadores de Sophos, es un conjunto de campañas destinadas a usuarios itálicos de la red social. Se les presentan con la promesa de videos sobre cosas impactantes tales como los verdaderos ingredientes de Coca Cola. Para ello, deben registrar su aprobación para los videos usando botones como «Me gusta» de Facebook.
«Como los criminales, más y más personas descubren cómo los ataques mediante Facebook pueden ser exitosos, sólo es cuestión de esperar la prueba de técnicas y la confianza del usuario de habla inglesa, para que dichas técnicas puedan ser clonadas en otras partes del mundo«, escribe el investigador de Sophos, Paul Baccas.
El clickjacking es un término que fue acuñado en el 2008 por los gurús de seguridad de aplicaciones web, Jeremiah Grossman y Robert «RSnake» Hansen. Este término describe los ataques que permiten a editores maliciosos de sitios web, o a sus usuarios, controlar a los visitantes al hacer clic en enlaces.
Generalmente son puestos en un iframe invisible sobre el botón o el enlace. Prácticamente todos los navegador son vulnerables, aunque muchos vienen con ciertas garantías de seguridad que pueden hacer más difícil la explotación.
La extensión No-Script para Firefox también brinda cierta protección, aunque no siempre: los usuarios son forzados a permitir que Twitter y otros sitios web ejecuten Flash y otros scripts con el fin de hacer uso de las funciones básicas. Estas funcionalidades también permiten al atacante ciertas posibilidades para llevar a cabo los ataques.
La última ronda de ataques, que Sophos comentó puede también ser dirigida a usuarios en japonés y cirílico, es similar a las vulnerabilidades por clickjacking explotadas el año pasado en Facebook, que forzó a los usuarios a compartir contenido sin su expresa aprobación.
Fuente: The Register