Los investigadores dicen que el clickjacking es una amenaza que esta evolucionando.
Empecemos por saber que es clickjacking sin tanto rodeo, son enlaces que redirigen a los usuarios a poder generar SPAM, publicidad o malware, este ataque ha existido por décadas y se sigue utilizando, aunque ha comenzado a evolucionar y convertirse en algo más sofisticado.
Investigadores de la Universidad de China en Hong Kong, Microsoft Research, La Universidad de Seúl y la Universidad Estatal de Pensilvania, publicaron los hallazgos del estudio llamado "All clicks Belong to me: Investigating Click interception on the Web".
El Clickjacking ya es conocido desde hace tiempo, pero los investigadores afirman que aunque los navegadores han realizado enormes esfuerzos por mitigarlo, sigue afectando a millones de usuarios en internet.
Al rastrear datos de los 250,000 sitios web principales de Alexa, los investigadores descubrieron 437 scripts o códigos de terceros que interceptaron los clicks de los usuarios en 613 sitios web, que en total reciben 43 millones de visitas diarias, y esto se pone mejor, estos enlaces están utilizando nuevas técnicas, como agrandar los enlaces, que los hacen más difÃciles de evitar.
"Además, se detectó que muchos lo utilizan para monetizar mediante el fraude en clicks publicitarios" dijeron los investigadores. "Además, demostramos que la intercepción de clicks puede llevar a los usuarios vÃctimas a contenidos maliciosos. Nuestra investigación arroja luz sobre una amenaza emergente del lado del cliente, y destaca la necesidad de restringir el privilegio del código JavaScript de terceros"
Durante años, han existido discusiones sobre como detener el Clickjacking o Intercepción de Clicks, los sitios Web afectados tienen scripts de terceros dentro de la página (Como el botón de facebook, o twitter), pero secretamente tienen código para una aplicación diferente, solo es la apariencia, entonces, cuando alguien hace click en el enlace, este es secuestrado y lo redirige a la página maliciosa o de publicidad, es por eso el nombre de Clickjacking.
Dentro del estudio, se detectó que el comportamiento es enviar a las vÃctimas a páginas maliciosas y de anuncios que no tienen nada que ver con el enlace en cuestión, con esto el ciberdelincuente monetiza los clicks.
Además, dentro de los cambios del viejo al nuevo clickjacking, ahora se ha recurrido al engaño visual para interceptar los clicks, ya que incluyen enlaces que se hacen pasar por banners de sitios web o botones de descarga; Algunos otros interceptaban selectivamente los clicks de los usuarios para evitar ser detectados.
¿Puedo evitar ser vÃctima?
Durante años, los navegadores han trabajado duro en disminuir el clickjacking, pero claramente, aún no son suficientes los esfuerzos realizados.
La semana pasada, Facebook anunció que impondrá una demanda contra dos desarrolladores de aplicaciones que utilizaron técnicas para abusar de su plataforma publicitaria. Más información
Hasta el dÃa de hoy, aún no se ha logrado mitigar este ataque, y podrán pasar muchos años y seguirá evolucionando con los avances en IoT, sin embargo, los investigadores aconsejaron que se ponga una señal de Advertencia cuando el usuario coloque el puntero sobre un enlace, indicando que contiene script de terceros, e introducir polÃticas de integridad de hipervÃnculos donde no se puedan modificar los enlaces de origen.
Fuente:
"All Your clicks Belong to Me: Investigating Click Interception on the Web"
:background_color(white)/hotmart/product_contents/2725f7a4-d76a-46d7-aade-d11796bfd47c/EASYSECPLANDECIBERSEGURIDADDESCARGA.png)
.png)
