El Likejacking asaltando el Me gusta de Facebook


Los investigadores de seguridad están avisando de una nueva amenaza en Facebook, que llaman likejacking, un ataque de clickjacking para engañar a los usuarios y que hagan click en enlaces que marcan una web como Me gusta pero que apuntan a otra página web.





Estos “Me gusta” aparecen luego en tu página de perfil, y por supuesto, en tu News Feed de Facebook, donde tus amigos pueden ver el enlace y hacer click, permientiendo que el círculo vicioso y viral continúe.

Según la firma de seguridad Sophos, cientos de miles de usuarios han caído ya en esta nueva trampa del “likejacking” gracias al astuto y tentador enlace que los spammers utilizan para atraer a la gente a hacer clic en sus enlaces. Por ejemplo:

“LOL Detienen a una chica después de que un policía leyera su Estado”

“¡Este hombre se autorretrata cada día desde hace 8 años!”

“El vestido de baile que consiguió que echaran a esta chica del colegio”

Después de hacer click en el enlace, las víctimas no ven el contenido prometido, sino una página en blanco en la que leen “haz click aquí para continuar”. Esta página contiene el virus del clickjacking (Troj/Iframe-ET) alojado en un enlace invisible. Haz click en cualquier parte de la página y el mensaje es publicado en tu página de perfil y en el News Feed, permitiendo al virus expandirse.

Esta trampa es posible gracias al nuevo botón de “Me gusta” de Facebook y su código asociado para implementarlo. Según la documentación del botón “Me gusta”, los botones pueden ser personalizados con metadatos que incluyen cosas como el título de la página Web, el nombre del sitio y la URL de la fotografía de la página. Adaptando estos campos, los spammers y hackers pueden crear fácilmente enlaces que son, de hecho, botones de “Me gusta” maliciosos.
Os lo dije

La popularidad de este particular vector de ataque no es sorprendente. Poco después de que Facebook fundara el botón “Me gusta”, informamos de su potencial como amenaza, señalando lo increíblemente fácil que es crear botones “Me gusta” que enlazan a cualquier cosa de la Web – incluso páginas que nunca has visitado.

Era solo cuestión de tiempo que los spammers y los hackers empezaran a abusar de esta debilidad para sus propios propósitos (francamente, estamos sorprendidos de que hayan tardado tanto).

El problema tiene que ver con el método -demasiado simple- con que Facebook ha implementado el botón “Me gusta”. Gente sin conocimientos de programación pueden poner una URL en un asistente que genera un código que puede ser copiado y pegado en cualquier parte de la red. Los botones “Me gusta” creados de esta manera o manualmente, vía un código escrito a mano, funcionarán adecuadamente aunque lleven a un sitio web que está en un dominio diferente al de la página donde está alojado el botón “Me gusta”.

Kyle Bragger, un emprendedor que acaba de fundar Forrst, un comunidad online para desarrolladores y diseñadores, avisó a los usuarios de Facebook del “fraude del botón Me gusta” el pasado abril en una entrada de su blog. Para sortear intentos como estos del potencial likejacking, creó un marcador de “Me gusta” que realmente se asegura de que lo que te “gusta”es la página en la que estás.

Si has sido afectado con este ataque de likejacking, lo mejor que puedes hacer es eliminar el “Me gusta” de tu página de perfil y borrar el post de tu News Feed. También, podrías disculparte a tus amigos con una actualización de tu estado en Facebook.

Enlaces:
http://en.wikipedia.org/wiki/Clickjacking

Fuente:
Original: Sarah Perez
http://www.readwriteweb.es



Otras noticias de interés:

Extraña infección masiva causa gran cantidad de tráfico
Un nuevo tipo de infección que posee características poco comunes, ha generado en los últimos días, la mayor cantidad del tráfico de código malicioso monitoreado en la red. ...
Microsoft soluciona las vulnerabilidades de Internet Explorer
En sus boletines de seguridad de diciembre, los de Redmond han introducido parches para 12 vulnerabilidades de sus productos, entre las que se encuentra la relacionada con versiones antiguas del navegador Internet Explorer....
Nace un nuevo grupo de estandarización cloud
Distributed Management Task Force (DMTF) anunció ayer la formación de un grupo cuyos esfuerzos se centrarán en resolver asuntos de gestión e interoperatividad que puedan surgir en entornos virtualizados de informática en nube o cloud computing....
17 de junio fecha para descargar Firefox 3
El próximo martes estará listo para su descarga el esperado Firefox 3, luego de que sus programadores haan trabajado durante mas de 30 meses aportandoles mejoras significativas en rendimiento y calidad....
Nueva versión del kernel de Linux con soporte para Oracle y procesadores Cell
Linus Torvalds, desarrollador del kernel de Linux, ha anunciado el lanzamiento de la versión 2.6.16. ...
Deduplicación: Una vuelta de tuerca en el almacenamiento de datos
El volumen de información se multiplica y los presupuestos se dividen. ¿Qué pueden hacer las compañías TI para resolver este grave problema? La solución pasa por eliminar de forma efectiva los datos redundantes....
Proyecto Origami de Microsoft
Está comenzando a circular un vídeo en el que se desvelan algunas características del misterioso proyecto Origami de Microsoft. ...
Informática envolvente
En el marco del simposio Hot Chips, el director tecnológico de AMD, Mark Papermaster, habló de lo que llamó La Era de la Informática Envolvente ( Surround Computing Era ). Papermaster reveló algunos detalles de las tecnologías, metodologías de...
El ratón (mouse) cumple 36 años
El primer mouse de la historia creado por el estadounidense Douglas Engelbart, fue construído hará 37 años, aunque no fue hasta el Windows 95 cuando el ratón empezó a triunfar....
FELICIDADES a www.xombra.com
He visto paso a paso, el crecimiento de este portal, conociendo sus tropiezos y logros, y de verdad que estoy satisfecho y orgulloso de ser parte de este logro. Más aun de ser, amigo, socio y colega del webmaster de este site, nuestro amigo XOMBRA....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • asaltando
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • facebook
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusta
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • likejacking
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra