Salta el menú de navegació i ves al contingut

EROSKI CONSUMER, el diari del consumidor

Cercador

logotip de fundació

Canals d’EROSKI CONSUMER


Estàs en la següent localització: Portada > Noves tecnologies > Internet i telecomunicacions

Aquest text ha estat traduït per un sistema de traducció automàtica. Més informació, aquí.

“Clickjacking”: l’engany del clic

Es tracta d'una tècnica delictiva basada a atacar als usuaris quan accedeixen a una web maliciosa

  • Autor: Per
  • Data de publicació: Dimarts, 10 de Març de 2009
img_clickjacking portada

El “clickjacking” ésuna estratagema per enganyar a l’usuarifent-li prémer sobre un enllaç o botóen aparença inofensiu quan en realitat ho fa sobre un altre enllaçcontrolat per tercers. Es tracta d’una amenaça per a laseguretat informàtica que explota una vulnerabilitat delsistema operatiu o el navegador de l’usuari, presentant una pàginafalsa i convidant-li a realitzar una acció per prendreel control del sistema.

Aquests atacs busquen un forat per colar-se en el
sistema de l’usuari, encara que en general precisen abans d’una acció de
confirmació o una altra acció de l’usuari que els obri les
portes a la vulnerabilitat. Per aconseguir això, es presenta una
pàgina web que simula ser un lloc inofensiu, incitant al
usuari al fet que premi sobre un enllaç o un botó.
Immediatament, es desencadena la infecció del sistema i la
realització d’accions no previstes per l’usuari, doncs els
ciberdelincuentes prenen el control. Així, es pot produir una
divulgació d’informació personal de l’usuari o el
enviament massiu de missatges no desitjats des de l’ordinador.


De vegades els ciberdelincuentes ni tan sols utilitzen forats de
seguretat del sistema, sinó que simplement provoquen la pulsació
de l’usuari amb la finalitat de manipular enquestes, sistemes de votacions
o enviar correu brossa a la resta de contactes d’una xarxa social, sense que el
internauta sigui conscient de l’acció que ha realitzat.


En ocasions els ciberdelincuentes simplement provoquen la pulsació de l’usuari amb la finalitat de manipular enquestes o enviar correus brossa de forma massiva

Els codis maliciosos se solen camuflar amb una pàgina
web externa d’aparença inofensiva i dins d’una capa, o
iframe“,
invisible per sota de la pàgina que es mostra a l’usuari.
Els ciberdelincuentes fan coincidir una zona on l’usuari té
que realitzar una acció amb un element de la pàgina
camuflada, de manera que desencadena l’engegada de l’atac.
Per exemple, en
aquest blog es mostra a manera d’exemple
, per a la comprensió
d’aquest tipus d’atacs, la votació en un sistema de notícies
simulant ser un botó vermell d’una altra pàgina web.


Protecció enfront de “clickjacking”

Per protegir-se dels “clickjacking”, igual que de
qualsevol altre risc que posi en compromís la seguretat del
ordinador dels usuaris, el més important és tenir
actualitzat el sistema operatiu i els navegadors web en les seves últimes
versions. No obstant això, això no assegura al cent per cent estar lliure
d’aquestes tècniques malicioses. Només els usuaris que
utilitzen navegadors en manera text com Lynx, Links o W3M estan
fora de perill, ja que aquests navegadors no executen aplicacions ni
elements realitzats en javascript.


En Firefox, els usuaris poden instal·lar l’extensió NoScript, que permet controlar tot el que va a executar una pàgina web en accedir a ella

Alguns navegadors com Firefox o Opera poden disposar d’una
protecció extra, que els atorgui una defensa més
eficaç enfront d’atacs de “clickjacking”. En Firefox, els
usuaris poden instal·lar l’extensió NoScript,
que permet controlar tot el que va a executar una pàgina web
en accedir a ella, com a codis Javascript, extensions i
objectes realitzats en flaix. NoScript funciona mitjançant l’ús de
llistes
blanques;
és a dir, l’usuari afegeix manualment aquells
llocs web de confiança on està permesa l’execució
d’aquests codis. En la resta de llocs, l’usuari haurà de
validar cada acció que realitzi en aquestes pàgines.


En Opera, la solució més senzilla pansa per
deshabilitar l’apartat “Mostrar informació continguda
en iframes” mitjançant la configuració d’extensions.
Això es fa accedint des de la barra del navegador a “opera:config”
o desmarcant “totes les opcions” a l’apartat de
“Continguts”, dins del menú d’Eines.


“Clickjacking” en xarxes socials

El passat 12 de febrer es va estendre ràpidament en
Twitter
un enllaç a manera de broma que consistia en una pàgina
web que simulava tenir un botó amb el text en anglès
“Don’t clic” (No facis clic). El fals botó
era un enllaç per a la publicació d’un missatge, de forma
automàtica en prémer el botó, en el compte de l’usuari
de Twitter que oferia l’enllaç a la mateixa pàgina web.

Aquest tipus d’atacs deixa en dubte la confiança que es té en altres internautes a l’hora de prémer sobre un enllaç i realitzar accions desconegudes

Perquè l’atac funcionés, l’usuari havia de tenir
activada la seva sessió de Twitter en una altra pestanya del
navegador. Aquesta acció va aconseguir un efecte viral en molt
poques hores, enviant-se
milers de missatges
en la popular plataforma de “microblogging”.
Aquesta “broma”, com l’han qualificat els seus autors, va anar
inspirada arran d’un.
article
publicat per un blogger francès, que
va comentar les possibilitats de realitzar una acció massiva
en aquesta xarxa social.


El problema va ser solucionat
ràpidament pels creadors de Twitter, els qui han
desenvolupat nous mecanismes perquè aquesta acció no torni
a repetir-se en el futur. No obstant això, encara que en aquest cas es tracti
d’un atac inofensiu
per als usuaris, deixa en dubte la confiança que es té en
altres internautes dins de Twitter a l’hora de prémer sobre un
enllaç i realitzar accions amb un objectiu desconegut.

Et pot interessar:

Infografies | Fotografies | Investigacions