¿Qué son los ataques de clickjacking?

Un ataque de clickjacking, también conocido como un ataque reparación interfaz de usuario (IU), se produce cuando un atacante intenta secuestrar los clics de un ratón de ordenador para llevar a cabo las acciones que el usuario no tenía intención. Esencialmente, un usuario cree que está interactuando con la página Web que se muestra en la pantalla del ordenador, pero sus acciones son realmente lleva a cabo en otra página Web seleccionada por el secuestrador.

iFrame

Clickjacking ataques se aprovechan de un Hypertext Markup Language (HTML) propiedad conocida como marco en línea o iFrame. iFrame permite que un documento HTML insertarse, dentro de un marco, en otro documento HTML. Un atacante puede cargar una página maliciosa en un marco flotante y el uso de hojas de estilo en cascada (CSS) para ocultar todo excepto la región de la página en la que quiere que los usuarios hagan clic.

scripting

Un típico ataque de clickjacking utiliza dos, iframes anidados. El marco flotante exterior es el más pequeño de los dos y actúa como una ventana al marco flotante interno, mientras que el marco flotante interno debe ser lo suficientemente grande como para que la región diana, o elemento, es "visible" sin necesidad de desplazarse. El lenguaje de programación conocido como JavaScript se puede utilizar para crear una, iFrame en movimiento invisible, que se posiciona bajo el cursor del ratón, por lo que el usuario hace clic en el objetivo, independientemente de donde se hace clic en la página; en este caso, el marco flotante exterior puede ser tan sólo 10 o 20 píxeles cuadrados.

Molestia

ataques de clickjacking trabajan en todos los sistemas operativos de los ordenadores, pero, hasta ahora, sólo se han utilizado para crear una molestia en sitios de redes sociales, como Facebook y Twitter. Los usuarios de Facebook, por ejemplo, pueden ver los enlaces a temas que sus amigos han aparentemente "gustado". Los enlaces, sin embargo, son totalmente falsas y, de hecho, redirigir a los usuarios a una página que contiene una cierta instrucción, tales como hacer clic en un botón que confirma que son más de 18 años de edad. Lo que los usuarios están haciendo realidad, sin embargo, es de hacer clic en un invisible "como" el botón, para que ellos también recomiendan la página maliciosa.

Phishing y malware

ataques de clickjacking no pueden haber sido utilizados con fines fraudulentos, como el phishing, o la distribución de software malicioso, o malware, pero de acuerdo con Graham Cluley, consultor de tecnología de Sophos, existe el potencial para que puedan ser adaptados para hacerlo. Algunos navegadores web incluyen pequeños programas libres, o plug-ins, que advierten contra posibles ataques de clickjacking. Estos programas, sin embargo, por lo general requieren algún conocimiento técnico y también advierte contra al hacer clic en los vídeos Flash, que son ampliamente utilizados, legítimamente, en la Web.