Mark Lucas
0 
3046
388
Cuando se trata de formas en que los piratas informáticos y los distribuidores de malware obtienen acceso a su computadora, hay algunas cosas de las que se habla mucho: ingeniería social ¿Qué es la ingeniería social? [MakeUseOf explica] ¿Qué es la ingeniería social? [MakeUseOf explica] Puede instalar el firewall más potente y costoso de la industria. Puede educar a los empleados sobre los procedimientos básicos de seguridad y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero cómo ..., inyección SQL ¿Qué es una inyección SQL? [MakeUseOf explica] ¿Qué es una inyección SQL? [MakeUseOf explica] El mundo de la seguridad en Internet está plagado de puertos abiertos, puertas traseras, agujeros de seguridad, troyanos, gusanos, vulnerabilidades de firewall y una serie de otros problemas que nos mantienen alerta todos los días. Para usuarios privados,…, ataques DDoS ¿Qué es un ataque DDoS? [MakeUseOf explica] ¿Qué es un ataque DDoS? [Explica MakeUseOf] El término DDoS silba cuando el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS son a menudo controvertidos o muy ... y así sucesivamente. Pero un ataque del que no se habla tanto es tan nefasto como los otros es clickjacking.
El clickjacking es difícil de detectar, puede afectar a casi cualquier persona y se extiende a través de una amplia variedad de sistemas operativos y aplicaciones. Esto es lo que necesita saber sobre el secuestro de clics, incluido qué es, dónde lo verá y cómo protegerse contra él.
¿Qué es el clickjacking??
Como puede haber deducido del nombre, el secuestro de clics es el proceso de secuestrar el clic de un usuario en una computadora (también se puede usar para secuestrar las pulsaciones de teclas, pero “golpe de teclado” es mucho más difícil de decir). Hay varias formas en que este proceso puede llevarse a cabo, pero todas tienen una cosa en común: un usuario piensa que está haciendo clic en una cosa, cuando en realidad, está haciendo clic en otra.
Muchos ataques de clickjacking incluyen una interfaz de usuario transparente colocada sobre otra interfaz que el usuario espera ver (por eso “UI reparación” es otro nombre para este método). Luego, cuando ese usuario piensa que está haciendo clic en algo, en realidad está haciendo clic en otra cosa que no puede ver. Puede pensar que está haciendo clic en un enlace que lo suscribirá para recibir un boletín informativo interesante. Aprenda algo nuevo con 10 boletines informativos por correo electrónico de valor Aprenda algo nuevo con 10 boletines informativos por correo electrónico de valor. Están haciendo un regreso. Suscríbase a estos diez fantásticos boletines y descubra por qué. , cuando realmente hace clic en un botón que le da acceso cibercriminal a su cuenta de correo electrónico, por ejemplo.
Otro tipo de ataque cambia la posición real del cursor del usuario, pero deja la pantalla intacta, de modo que el cursor parece estar en un lugar, pero en realidad está en otro. Parece que sería una gran molestia, pero se puede usar para hacer que la gente haga clic en cosas que brindan información confidencial 10 piezas de información que se utilizan para robar su identidad 10 piezas de información que se usan para robar su identidad de acuerdo para la Oficina de Justicia de los Estados Unidos, el robo de identidad costó a las víctimas más de $ 24 mil millones en 2012, más que el robo doméstico, el robo de automóviles y la propiedad combinados. Estos 10 datos son lo que buscan los ladrones ... .
Algunos otros ataques creativos también están bajo el paraguas del clickjacking. Por ejemplo, un ataque reciente utilizó una pieza de malware para redirigir las búsquedas de los usuarios en Bing, Google y Yahoo a páginas de resultados personalizadas (y fraudulentas) que estaban llenas de anuncios impulsados por Google-AdSense. Los usuarios harían clic en los anuncios, pensando que eran resultados de búsqueda legítimos, y los atacantes recibirían un pago.
Algunas personas incluso incluyen ataques de tipo ingeniería social en el clickjacking; por ejemplo, en 2009, un tweet circulaba en Twitter que decía “No haga clic” e incluyó un enlace. Cada vez que alguien hace clic en el enlace, se twittea lo mismo desde su cuenta. Técnicas similares Cinco amenazas de Facebook que pueden infectar su PC, y cómo funcionan Cinco amenazas de Facebook que pueden infectar su PC, y cómo funcionan Se han utilizado para difundir enlaces que generan dinero en Facebook.
Sin embargo, el clickjacking no solo se limita a sitios web y aplicaciones en los que los usuarios tienen un mouse; También puede suceder en dispositivos móviles. Un ejemplo reciente es Android.Lockdroid.E, una pieza de ransomware Android Malware en Android: los 5 tipos que realmente necesita saber sobre el malware en Android: los 5 tipos que realmente necesita saber sobre el malware pueden afectar los dispositivos móviles y de escritorio . Pero no tenga miedo: un poco de conocimiento y las precauciones adecuadas pueden protegerlo de amenazas como ransomware y estafas de sextortion. que usaba clickjacking (o “touchjacking,” si lo prefiere) para obtener derechos administrativos para el dispositivo de destino. Y recientemente hemos escuchado acerca de la vulnerabilidad de accesibilidad Clickjacking en Android Cómo los servicios de accesibilidad de Android se pueden usar para hackear su teléfono Cómo se pueden usar los servicios de accesibilidad de Android para hackear su teléfono un atacante para obtener el control del dispositivo. Veamos cómo puedes evitar que esto suceda. teléfonos inteligentes y tabletas.
Qué puede hacer para evitar el clickjacking
Desafortunadamente, no hay mucho que pueda hacer para evitar el clickjacking a menos que sea un administrador del sitio web. Con mucho, el método más comúnmente recomendado para protegerse mientras navega es usar NoScript, el complemento de Firefox que evita que los scripts se carguen sin su autorización específica. NoScript tiene algunas características específicamente anti-clickjacking, y es realmente bueno para detectar los tipos de scripts que crean superposiciones transparentes en sitios web.
Cualquier extensión similar que pueda usar para evitar que se carguen scripts o aplicaciones Controle su contenido web: extensiones esenciales para bloquear el seguimiento y los scripts Controle su contenido web: extensiones esenciales para bloquear el seguimiento y los scripts La verdad es que siempre hay alguien o algo monitoreando su Actividad y contenido de Internet. En última instancia, mientras menos información dejemos que estos grupos tengan, más seguros estaremos. también proporcionará algo de protección.
Sin embargo, las mejores defensas contra clickjacking deben provenir de los administradores del sitio. Muchas de las defensas son bastante técnicas, y si quieres saber exactamente cómo implementarlas, te recomiendo que consultes la hoja de trucos de defensa de clickjacking de OWASP.
Una de las mejores maneras de evitar el clickjacking en su sitio es incluir un encabezado HTTP x-frame-options que evite que el contenido de su sitio se cargue en un marco (etiqueta) o iframe (etiqueta). Debido a que a menudo se usan como vectores de ataque, no solo para hacer clickjacking, sino también para otras amenazas, esta es una forma efectiva de mitigar la amenaza.
Prevención de secuencias de comandos entre sitios ¿Qué son las secuencias de comandos entre sitios (XSS) y por qué es una amenaza de seguridad? ¿Qué son las secuencias de comandos entre sitios (XSS) y por qué es una amenaza para la seguridad? Los estudios han encontrado que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades XSS en 2011, según el último informe de White Hat Security, publicado en junio ... (XSS) también ayudará a reducir las posibilidades de un ataque de clickjacking en un sitio. Debido a que XSS también se usa para otros ataques, es una buena idea protegerse de todos modos.
Para minimizar la probabilidad de un ataque de clickjacking en su dispositivo móvil, puede limitarse a descargar solo aplicaciones de fuentes confiables, como Apple App Store o Google Play Store. Si bien esto no es una garantía de que estará libre de ataques, es mucho menos probable que estas aplicaciones incluyan código malicioso que las que obtiene de una fuente de terceros.
También puede evitar el uso de navegadores integrados en la aplicación, ya que este es un lugar común para que ocurran ataques de touchjacking. Establezca el comportamiento predeterminado para la apertura de enlaces en sus aplicaciones para abrir en el navegador del sistema, en lugar del navegador en la aplicación, y eliminará una debilidad potencial más en su defensa.
Una verdadera amenaza
Como se mencionó anteriormente, el clickjacking suena más como una molestia que una amenaza real para su seguridad, pero si se usa de manera efectiva, puede ayudar a los atacantes a robar información muy importante u obtener acceso a sus cuentas en línea, donde podrían causar daños graves..
Y si bien la mayor parte de la defensa tiene que venir de detrás de escena, puede usar extensiones de bloqueo de secuencias de comandos para evitar la mayoría de estos ataques, si está de acuerdo con este tipo de complementos, ya que son un poco controvertidos AdBlock , NoScript & Ghostery - The Trifecta Of Evil AdBlock, NoScript & Ghostery - The Trifecta Of Evil En los últimos meses, un buen número de lectores me han contactado y han tenido problemas para descargar nuestras guías, o por qué no pueden vea que los botones de inicio de sesión o los comentarios no se cargan; y en… .
¿Conoces algún ejemplo de ataques de clickjacking a gran escala, o has sido víctima de uno de estos ataques? ¿Utiliza NoScript o despliega defensas en su propio sitio web? Comparte tus pensamientos a continuación!
Crédito de imagen: Mozilla.