Anuncio

Cuando se trata de formas en que los piratas informáticos y los distribuidores de malware obtienen acceso a su computadora, hay algunas cosas de las que se habla mucho: Ingeniería social ¿Qué es la ingeniería social? [MakeUseOf explica]Puede instalar el firewall más potente y costoso de la industria. Puede educar a los empleados sobre los procedimientos básicos de seguridad y la importancia de elegir contraseñas seguras. Incluso puede bloquear la sala de servidores, pero cómo ... Lee mas , inyección SQL ¿Qué es una inyección SQL? [MakeUseOf explica]El mundo de la seguridad en Internet está plagado de puertos abiertos, puertas traseras, agujeros de seguridad, troyanos, gusanos, vulnerabilidades de firewall y una serie de otros problemas que nos mantienen alerta todos los días. Para usuarios privados, ... Lee mas , Ataques DDoS ¿Qué es un ataque DDoS? [MakeUseOf explica]El término DDoS pasa desapercibido cada vez que el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS son a menudo controvertidos o altamente ...

instagram viewer
Lee mas , y así. Pero un ataque del que no se habla tanto es tan nefasto como los otros es clickjacking.

El clickjacking es difícil de detectar, puede afectar a casi cualquier persona y se extiende a través de una amplia variedad de sistemas operativos y aplicaciones. Esto es lo que necesita saber sobre el clickjacking, incluido qué es, dónde lo verá y cómo protegerse contra él.

¿Qué es el clickjacking?

Como puede haber deducido del nombre, el secuestro de clics es el proceso de secuestrar el clic de un usuario en un computadora (también se puede usar para secuestrar las pulsaciones de teclas, pero "presionar teclas" es mucho más difícil de decir). Hay varias formas en que este proceso puede llevarse a cabo, pero todas tienen una cosa en común: un usuario piensa que está haciendo clic en una cosa, cuando en realidad está haciendo clic en otra.

Muchos ataques de clickjacking incluyen una interfaz de usuario transparente colocada sobre otra interfaz que el usuario espera ver (razón por la cual "corrección de la interfaz de usuario" es otro nombre para este método). Luego, cuando ese usuario piensa que está haciendo clic en algo, en realidad está haciendo clic en otra cosa que no puede ver. Puede pensar que está haciendo clic en un enlace que lo registrará para un boletín genial Aprenda algo nuevo con 10 boletines electrónicos valiososTe sorprenderá la calidad de los boletines de hoy. Están haciendo un regreso. Suscríbase a estos diez fantásticos boletines y descubra por qué. Lee mas , cuando hace clic en un botón que le da acceso cibercriminal a su cuenta de correo electrónico, por ejemplo.

Otro tipo de ataque cambia la posición real del cursor del usuario, pero deja la pantalla intacta, de modo que el cursor parece estar en un lugar, pero en realidad está en otro. Parece que sería una gran molestia, pero se puede usar para hacer que la gente haga clic en cosas que regalan información sensible 10 piezas de información que se utilizan para robar su identidadEl robo de identidad puede ser costoso. Aquí están las 10 piezas de información que necesita proteger para que su identidad no sea robada. Lee mas .

Algunos otros ataques creativos caen bajo el paraguas del clickjacking, también. Por ejemplo, un ataque reciente utilizó una pieza de malware para redirigir las búsquedas de los usuarios en Bing, Google y Yahoo a páginas de resultados personalizadas (y fraudulentas) que estaban llenas de anuncios impulsados ​​por Google-AdSense. Los usuarios harían clic en los anuncios, pensando que eran resultados de búsqueda legítimos, y los atacantes recibirían un pago.

clickjack-transparencia

Algunas personas incluso incluyen ataques de tipo ingeniería social en el clickjacking; por ejemplo, en 2009, un tuit circulaba en Twitter que decía "No haga clic" e incluye un enlace. Cada vez que alguien hace clic en el enlace, se twittea lo mismo desde su cuenta. Técnicas similares Cinco amenazas de Facebook que pueden infectar tu PC y cómo funcionan Lee mas se han utilizado para difundir enlaces generadores de dinero en Facebook.

Sin embargo, el clickjacking no solo se limita a sitios web y aplicaciones en los que los usuarios tienen un mouse; También puede suceder en dispositivos móviles. Un ejemplo reciente es Android. Lockdroid. E, un pedazo de Android ransomware Malware en Android: los 5 tipos que realmente necesita saberEl malware puede afectar tanto los dispositivos móviles como los de escritorio. Pero no tenga miedo: un poco de conocimiento y las precauciones adecuadas pueden protegerlo de amenazas como ransomware y estafas de sextortion. Lee mas que usó clickjacking (o "touchjacking", si lo prefiere) para obtener derechos administrativos para el dispositivo de destino. Y recientemente hemos escuchado sobre el Vulnerabilidad de clickjacking de accesibilidad en Android Cómo se pueden usar los servicios de accesibilidad de Android para hackear tu teléfonoSe han encontrado varias vulnerabilidades de seguridad en la suite de accesibilidad de Android. ¿Pero para qué se usa este software? Lee mas teléfonos inteligentes y tabletas.

Qué puede hacer para evitar el clickjacking

Desafortunadamente, no hay mucho que pueda hacer para evitar el clickjacking a menos que sea un administrador del sitio web. Con mucho, el método más recomendado para protegerte mientras navegas es usar NoScript, el complemento de Firefox que evita que los scripts se carguen sin autorización específica de tú. NoScript tiene algunas características específicamente anti-clickjacking, y es realmente bueno para detectar los tipos de scripts que crean superposiciones transparentes en los sitios web.

noscript-firefox

Cualquier extensión similar que pueda usar para evitar que se carguen scripts o aplicaciones Controle su contenido web: extensiones esenciales para bloquear el seguimiento y las secuencias de comandosLa verdad es que siempre hay alguien o algo que monitorea su actividad y contenido de Internet. En última instancia, mientras menos información dejemos que estos grupos tengan, más seguros estaremos. Lee mas También proporcionará cierta protección.

Sin embargo, las mejores defensas contra clickjacking deben provenir de los administradores del sitio. Muchas de las defensas son bastante técnicas, y si quieres saber exactamente cómo implementarlas, te recomiendo que consultes la hoja de trucos de defensa de clickjacking de OWASP.

Una de las mejores maneras de evitar el clickjacking en su sitio es incluir un encabezado HTTP x-frame-options que evite que el contenido de su sitio se cargue en un marco ( etiqueta) o iframe (

x-frame-options

Previniendo secuencias de comandos entre sitios ¿Qué es la secuencia de comandos entre sitios (XSS) y por qué es una amenaza para la seguridad?Las vulnerabilidades de secuencias de comandos entre sitios son el mayor problema de seguridad del sitio web en la actualidad. Los estudios han encontrado que son sorprendentemente comunes: el 55% de los sitios web contenían vulnerabilidades XSS en 2011, según el último informe de White Hat Security, publicado en junio ... Lee mas (XSS) también ayudará a reducir las posibilidades de un ataque de clickjacking en un sitio. Debido a que XSS también se usa para otros ataques, de todos modos es una buena idea protegerse contra él.

Para minimizar la probabilidad de un ataque de clickjacking en su dispositivo móvil, puede restringir solo para descargar aplicaciones de fuentes confiables, como Apple App Store o Google Play Tienda. Si bien esto no es una garantía de que estará libre de ataques, es mucho menos probable que estas aplicaciones incluyan código malicioso que las que obtiene de una fuente de terceros.

También puede evitar el uso de navegadores en la aplicación, ya que este es un lugar común para que se produzcan ataques táctiles. Establezca el comportamiento predeterminado para abrir enlaces en sus aplicaciones para que se abran en el navegador del sistema, en lugar del navegador en la aplicación, y eliminará una debilidad potencial más en su defensa.

Una verdadera amenaza

Como se mencionó anteriormente, el clickjacking parece más una molestia que una amenaza real para su seguridad, pero si se usa de manera efectiva, puede ayudar a los atacantes a robar información muy importante u obtener acceso a sus cuentas en línea, donde podrían hacer dañar.

Y aunque la mayor parte de la defensa tiene que venir de detrás de escena, puedes usar el bloqueo de guiones extensiones para evitar la mayoría de estos ataques, si está de acuerdo con el uso de este tipo de complementos, como son un poco controvertido AdBlock, NoScript y Ghostery: la trifecta del malEn los últimos meses, un buen número de lectores me han contactado y han tenido problemas para descargar nuestras guías, o por qué no pueden ver que los botones de inicio de sesión o los comentarios no se cargan; y en... Lee mas .

¿Conoces algún ejemplo de ataques de clickjacking a gran escala, o has sido víctima de uno de estos ataques? ¿Utiliza NoScript o despliega defensas en su propio sitio web? ¡Comparte tus pensamientos a continuación!

Credito de imagen: Mozilla.

Dann es un consultor de estrategia de contenido y marketing que ayuda a las empresas a generar demanda y clientes potenciales. También bloguea sobre estrategia y marketing de contenidos en dannalbright.com.