El secuestro de clics o clickjacking, también conocido como reparación de UI, está en la categoría de fraude de clic y es un método utilizado por los hackers criminales para hacer que los usuarios sin saberlo realicen ciertas acciones haciendo clic en los botones o enlaces. Los objetivos del clickjacking incluyen el control de los PCs de otras personas, así como la redirección de usuarios a contenidos de pago o webs fraudulentas. Hoy en día, muchos grandes portales, como Facebook, tienen que tomar medidas contra el clickjacking.

Antecedentes

La visualización de una página web en el navegador es el resultado de la recuperación de un archivo del servidor. Otros scripts, como aplicaciones JavaScript o incluso marcos, también se cargan dependiendo del alcance de la oferta web. Por un lado, esto permite mejorar la funcionalidad de la página web. Por otro lado, estas aplicaciones proporcionan pasarelas ideales para el fraude de clics. Con clickjacking, al usuario se le muestra el contenido sobre el que puede hacer clic. Sin embargo, al hacer clic en el enlace mostrado, las actividades del hacker se inician en segundo plano en lugar de cargar las acciones mostradas en primer plano.

Posibles formas de ataque

Clickjacking puede ser implementado por hackers de varias maneras. En la mayoría de los casos, esto se hace mediante el uso indebido de aplicaciones JavaScript:

Juegos de navegador

Aquí, los usuarios en primer plano hacen clic en los elementos del juego que cambian la configuración de sus ordenadores o navegadores, lo que los hace más vulnerables a los hackers.

Botones de descarga

Estos son utilizados por los estafadores de Internet para atraer al usuario a hacer clic en un enlace de descarga. El enlace entonces carga programas maliciosos en segundo plano.

Todos los botones descargables

Con los marcos, cada botón en una web puede ser básicamente manipulado para hacer que el usuario sin saberlo desencadene las acciones deseadas por el hacker.

Objetivos de los ataques clickjacking

• Espiar a los usuarios.
• Robo de datos confidenciales como contraseñas e información de cuentas.
• Redirigir a los usuarios a webs con contenido perjudicial.
• Hacer cumplir las suscripciones de pago.

Posible defensa

Los navegadores de uso común tienen numerosas oportunidades de desenmascarar el clickjacking. Del mismo modo, también se puede utilizar software antivirus con protección de navegador integrada para evitar posibles ataques. El blog del CMS de WordPress también ha ofrecido protección contra la reparación de la interfaz de usuario desde 2011[1] . Aquí, a menudo se comprueba si las páginas pueden usar marcos o no antes de cargarlos. Del mismo modo, puede ser aconsejable no permitir automáticamente JavaScript para todos los sitios.

Facebook y el clickjacking

Las redes sociales también se ven afectadas por el problema del clickjacking. En este caso, la técnica clickjacking se utiliza para hacer que los usuarios que hacen clic en un enlace se conviertan automáticamente en fans de Facebook de una página de Facebook. Sin embargo, la red reaccionó muy rápidamente a esta tendencia y ha tomado medidas legales contra los métodos de clickjacking que recogen fraudulentamente a los fans de Facebook desde 2012.

Referencias

[1]