El clickjacking engaña a personas desprevenidas para que hagan clic en enlaces que creen que son inofensivos, pero luego descarga malware, recopila credenciales de inicio de sesión y se apodera de cuentas en línea. Lamentablemente, el malware de clickjacking puede evadir las protecciones de seguridad, pero existen formas de protegerse.
¿Qué es el Clickjacking?
También conocido como ataque de reparación de UI, el clickjacking es una forma de ataque basado en la interfaz que manipula a los usuarios para que hagan clic en botones o enlaces disfrazados de otra cosa.
A diferencia de la suplantación de sitios web, donde la víctima es llevada a un sitio web falso diseñado para imitar el sitio web de una empresa legítima, el clickjacking lleva al usuario al sitio web real. Sin embargo, el atacante crea una superposición invisible sobre el sitio web legítimo utilizando herramientas HTML como hojas de estilo en cascada (CSS) e iframes.
Las capas invisibles se crean usando iframe, un elemento HTML utilizado para incrustar una página web o un documento HTML en otra página web. Es transparente, por lo que aún parece que estás interactuando con un sitio web legítimo. Sin embargo, si hace clic en un botón de un sitio web, juega un juego o realiza una tarea que considera inofensiva, esos clics se aplicarán al sitio web invisible en la parte superior. Estos clics brindan a los piratas informáticos acceso a su cuenta, lo que les permite descargar malware, tomar el control de su dispositivo y realizar otras actividades nefastas.
A veces, los atacantes se disfrazan de vendedores para engañar a los usuarios para que les den Me gusta a una página o publicación en una red social . Este ataque se llama likejacking. El atacante envía al usuario un vídeo interesante o una "oferta especial" y al hacer clic en "Reproducir" o interactuar con el contenido, el usuario hará clic accidentalmente en el botón "Me gusta" oculto.
Otra versión de clickjacking, llamada cursor-jacking, engaña a los usuarios con un cursor personalizado para que hagan clic en enlaces o partes de un sitio web con los que el usuario no tenía intención de interactuar.
Una variación más avanzada del clickjacking, llamada doble clickjacking, explota el momento y la secuencia de los dobles clics de los usuarios.
Evitar la protección antivirus y del navegador
Lo que preocupa a la gente acerca del clickjacking es que a menudo elude el software antivirus y antimalware. Debido a que estos ataques ocurren en sitios web confiables y no siempre descargan nada, es posible que el software antivirus tradicional no los detecte.
La mayoría de los navegadores vienen con protecciones integradas, pero como todos sabemos, los piratas informáticos siempre están buscando nuevas formas de explotar a los usuarios en línea. La mayoría de los ataques básicos de clickjacking se bloquean eficazmente, pero no los ataques de doble clickjacking.
En lugar de que ocurra algo malicioso en su primer clic, el código del atacante inserta una superposición secuestrada antes de solicitarle que haga clic una segunda vez. Esto puede venir en forma de un simple doble clic para confirmar la acción o un molesto CAPTCHA. En el segundo clic, puedes instalar accidentalmente un complemento y darle al atacante acceso a tu cuenta.
Actualmente, es posible que los navegadores no detecten esta versión más compleja porque no utiliza la configuración iframe habitual, lo que lo pone en alto riesgo de convertirse en víctima de clickjacking. Esto no se limita sólo a los navegadores de escritorio; Los usuarios móviles también son blanco de avisos que requieren un doble toque.
Cómo el Doublejacking elude las protecciones contra el clickjacking
Muchos navegadores web modernos han mitigado el clickjacking con protecciones de seguridad. Sin embargo, una versión sofisticada llamada “double clickjacking” puede eludir las protecciones tradicionales al explotar la secuencia entre dos clics para apoderarse de cuentas o realizar acciones no autorizadas.
En un ataque de doble clickjacking, se insertan elementos maliciosos entre el primer y el segundo clic del usuario. Primero, lo llevan a un sitio web controlado por el atacante y le dan una instrucción, como resolver un CAPTCHA o hacer doble clic en un botón para autorizar una acción. El primer clic cerrará o cambiará la ventana superior (Captcha superpuesto), lo que provocará que el segundo clic vaya al botón o enlace de autorización previamente oculto. El segundo clic autoriza el complemento malicioso, lo que hace que la aplicación OAuth se conecte a su cuenta o apruebe la solicitud de autenticación multifactor.
Qué puede hacer para protegerse
Las técnicas de clickjacking son sofisticadas y están diseñadas para engañar y robar sus clics, pero hay algunas cosas que puede hacer para protegerse.
Los atacantes a menudo se aprovechan de su confianza en sitios web legítimos y de acciones básicas que solemos realizar sin pensar, como hacer doble clic. Siempre reduzca la velocidad y piense antes de hacer clic para protegerse.
Si bien el Apple Watch es una excelente manera de realizar un seguimiento de tu actividad física diaria, enviar mensajes y más, ¿qué sucede si tu Apple Watch no se empareja?
¿Cuál es la empresa más antigua del mundo? ¿En qué año se fundó la empresa más antigua del mundo? ¡Descubrámoslo juntos!
En la nueva versión One UI 3.0 de Samsung, los usuarios pueden utilizar muchas otras funciones interesantes y atractivas, como revisar las notificaciones eliminadas en la barra de estado de Samsung.
¿Cuáles son los mejores y más cortos deseos del 19 de noviembre para tu amante? Si te has quedado sin ideas, este artículo te sugerirá deseos significativos para el 19 de noviembre.
Los suéteres básicos son una parte indispensable de todos nuestros guardarropas de otoño e invierno. A continuación te mostramos cómo mezclar y combinar suéteres de una manera sencilla pero a la moda.
Tener enemigos siempre es una situación desagradable. Afortunadamente, puedes convertir a tus enemigos en amigos. A continuación se presentan algunas formas sencillas de reparar una relación que están al alcance de todos.
Dado que se puede acceder fácilmente a Netflix en todos los dispositivos, incluidos teléfonos, tabletas, consolas de juegos y dispositivos de transmisión, es posible que se pregunte cuántas personas pueden ver Netflix al mismo tiempo en la misma cuenta.
Centrar celdas en Word cuando se trabaja con tablas es una operación que es necesario realizar para reformatear el texto en cada celda según las regulaciones, así como crear una tabla de Word con un diseño más bonito y fácil de ver.
Según se informa, Samsung Electronics está colaborando con OpenAI en un ambicioso proyecto conjunto para desarrollar televisores con inteligencia artificial que incorporen tecnologías de inteligencia artificial líderes en la industria.
Después de muchas instantáneas, adiciones y cambios, la actualización está completa y lista para su lanzamiento. ¡Se acaba de revelar la fecha de lanzamiento oficial de Minecraft 1.21!
En una sorprendente exhibición de creatividad, 16 robots humanoides de la empresa de robótica líder de China, Unitree, fueron el centro de atención en la Gala del Festival de Primavera anual de CCTV.
¿Por qué la ropa y las toallas se secan a máquina suaves y tersas, pero cuando se cuelgan para secarlas a menudo resultan ásperas o ásperas?
Los satélites de la NASA utilizan una herramienta de imágenes llamada Resolve, que tiene un sensor de sólo 36 píxeles.
Al abrir la App Store en iPhone, iPad, Mac para descargar aplicaciones o juegos, aparece el error No se puede conectar a iTunes Store y aquí está la solución.
VPN (Virtual Private Network) se entiende simplemente como un sistema de red privada virtual, capaz de crear una conexión de red en función de un determinado proveedor de servicios.
