El “clickjacking” ésuna estratagema per enganyar a l’usuarifent-li prémer sobre un enllaç o botóen aparença inofensiu quan en realitat ho fa sobre un altre enllaçcontrolat per tercers. Es tracta d’una amenaça per a laseguretat informàtica que explota una vulnerabilitat delsistema operatiu o el navegador de l’usuari, presentant una pàginafalsa i convidant-li a realitzar una acció per prendreel control del sistema.
Aquests atacs busquen un forat per colar-se en elsistema de l’usuari, encara que en general precisen abans d’una acció deconfirmació o una altra acció de l’usuari que els obri lesportes a la vulnerabilitat. Per aconseguir això, es presenta unapàgina web que simula ser un lloc inofensiu, incitant alusuari al fet que premi sobre un enllaç o un botó.Immediatament, es desencadena la infecció del sistema i larealització d’accions no previstes per l’usuari, doncs elsciberdelincuentes prenen el control. Així, es pot produir unadivulgació d’informació personal de l’usuari o elenviament massiu de missatges no desitjats des de l’ordinador.
De vegades els ciberdelincuentes ni tan sols utilitzen forats deseguretat del sistema, sinó que simplement provoquen la pulsacióde l’usuari amb la finalitat de manipular enquestes, sistemes de votacionso enviar correu brossa a la resta de contactes d’una xarxa social, sense que elinternauta sigui conscient de l’acció que ha realitzat.
En ocasions els ciberdelincuentes simplement provoquen la pulsació de l’usuari amb la finalitat de manipular enquestes o enviar correus brossa de forma massiva
Els codis maliciosos se solen camuflar amb una pàginaweb externa d’aparença inofensiva i dins d’una capa, o“iframe“,invisible per sota de la pàgina que es mostra a l’usuari.Els ciberdelincuentes fan coincidir una zona on l’usuari téque realitzar una acció amb un element de la pàginacamuflada, de manera que desencadena l’engegada de l’atac.Per exemple, enaquest blog es mostra a manera d’exemple, per a la comprensiód’aquest tipus d’atacs, la votació en un sistema de notíciessimulant ser un botó vermell d’una altra pàgina web.
Protecció enfront de “clickjacking”
Per protegir-se dels “clickjacking”, igual que dequalsevol altre risc que posi en compromís la seguretat delordinador dels usuaris, el més important és teniractualitzat el sistema operatiu i els navegadors web en les seves últimesversions. No obstant això, això no assegura al cent per cent estar lliured’aquestes tècniques malicioses. Només els usuaris queutilitzen navegadors en manera text com Lynx, Links o W3M estanfora de perill, ja que aquests navegadors no executen aplicacions nielements realitzats en javascript.
En Firefox, els usuaris poden instal·lar l’extensió NoScript, que permet controlar tot el que va a executar una pàgina web en accedir a ella
Alguns navegadors com Firefox o Opera poden disposar d’unaprotecció extra, que els atorgui una defensa méseficaç enfront d’atacs de “clickjacking”. En Firefox, elsusuaris poden instal·lar l’extensió NoScript,que permet controlar tot el que va a executar una pàgina weben accedir a ella, com a codis Javascript, extensions iobjectes realitzats en flaix. NoScript funciona mitjançant l’ús dellistesblanques; és a dir, l’usuari afegeix manualment aquellsllocs web de confiança on està permesa l’execuciód’aquests codis. En la resta de llocs, l’usuari haurà devalidar cada acció que realitzi en aquestes pàgines.
En Opera, la solució més senzilla pansa perdeshabilitar l’apartat “Mostrar informació contingudaen iframes” mitjançant la configuració d’extensions.Això es fa accedint des de la barra del navegador a “opera:config”o desmarcant “totes les opcions” a l’apartat de“Continguts”, dins del menú d’Eines.
“Clickjacking” en xarxes socials
El passat 12 de febrer es va estendre ràpidament enTwitterun enllaç a manera de broma que consistia en una pàginaweb que simulava tenir un botó amb el text en anglès“Don’t clic” (No facis clic). El fals botóera un enllaç per a la publicació d’un missatge, de formaautomàtica en prémer el botó, en el compte de l’usuaride Twitter que oferia l’enllaç a la mateixa pàgina web.
Aquest tipus d’atacs deixa en dubte la confiança que es té en altres internautes a l’hora de prémer sobre un enllaç i realitzar accions desconegudes
Perquè l’atac funcionés, l’usuari havia de teniractivada la seva sessió de Twitter en una altra pestanya delnavegador. Aquesta acció va aconseguir un efecte viral en moltpoques hores, enviant-semilers de missatges en la popular plataforma de “microblogging”.Aquesta “broma”, com l’han qualificat els seus autors, va anarinspirada arran d’un. article publicat per un blogger francès, queva comentar les possibilitats de realitzar una acció massivaen aquesta xarxa social.
El problema va ser solucionatràpidament pels creadors de Twitter, els qui handesenvolupat nous mecanismes perquè aquesta acció no tornia repetir-se en el futur. No obstant això, encara que en aquest cas es tractid’un atac inofensiuper als usuaris, deixa en dubte la confiança que es té enaltres internautes dins de Twitter a l’hora de prémer sobre unenllaç i realitzar accions amb un objectiu desconegut.
