AL INCAUTO USUARIO DE FACEBOOK® LE PODRÍA “GUSTAR” ACCIDENTALMENTE EL GUSANO CLICKJACKING
30 de junio del 2010 | por Gerardo Zamudio
Una característica documentada en Facebook se volvió recientemente una infracción a la seguridad: un iFrame (marco inteligente) transparente colocado exactamente en el botón «Me gusta» redirige a los usuarios a diferentes páginas Web alojadas en la plataforma de blog libre blogspot.com. Este ataque se vale de una técnica ampliamente conocida con el nombre “clickjack” (algo así como intercepción de clics).
Clickjacking (o la intercepción de clics) es un antiguo método que (como su nombre lo indica) intercepta clics del mouse del usuario en una página para forzar actividades malintencionadas en la Web. Se coloca un iFrame oculto o transparente sobre un botón legítimo que probablemente conocerán los usuarios. Cuando hacen clic en este botón (por lo general un cuadro de mensaje) son redirigidos inmediatamente a una página diferente y se les pide llenar formularios, confirmar sus credenciales, responder algunas preguntas o hacer clic en otros vínculos. Desde luego, esta página parece legítima y confiable, de modo que el usuario incauto de Internet no tiene idea de lo que ha ocurrido.
Las plataformas de redes sociales son el blanco principal de este tipo de ataque. La explicación es simple: muchas personas las utilizan por razones de socialización; de aquí su popularidad. Además, la enorme base de datos de esta comunidad atrae a un número importante de cibercriminales, incitando su creatividad malintencionada.
El “clickjacker” más reciente en Facebook combina la característica documentada de registrar un botón “me gusta” anónimo sin agregar verificaciones de seguridad adicionales con comentarios muy halagadores, como los que ejemplificamos a continuación:
«LOL Esta chica es POSEÍDA después de que un OFICIAL DE POLICÍA lee su MENSAJE DE ESTADO CIVIL.», «Este hombre se ha tomado una foto TODOS LOS DÍAS por 8 AÑOS», «El vestido para el Baile de Graduación que ocasionó su suspensión de la escuela.», «Esta chica tiene una forma interesante de comer un plátano, entérate cómo!».
Al hacer clic en el infame botón «Me gusta», los usuarios tienen acceso a un iFrame transparente que los envía a diversas páginas Web alojadas en blogspot.com. En algunos casos, llegan a una página aparentemente en blanco con un mensaje «haga clic aquí para continuar» o bien se les pide llenar un cuestionario. Debido a la popularidad de Facebook y a su numerosa base de usuarios, este servicio de red social se ha convertido no sólo en el blanco predilecto de recopiladores de información, sino también en el terreno de juego preferido para fines comerciales (como diseminar adware, hacer que los usuarios hagan clic en anuncios o llenen formas). Ahora imagine que cada forma que llena el usuario incauto de Facebook produce al perpetrador un ingreso específico multiplicado por el número de usuarios engañados y verá por qué la intercepción de clics es tan popular.
Facebook ha sido notificado y estas páginas abusivas han sido suspendidas.