Clickjacking ha existido durante mucho tiempo, trabajando de la mano con la persona involuntaria que hace el clic para enviarlos a partes desconocidas, a menudo a expensas de los propietarios del sitio. Los estafadores logran esto al ocultar el objeto de página que la víctima cree que está haciendo clic debajo de una capa (o capas) de ofuscación. Elementos invisibles de la página, como botones, cuadros translúcidos, marcos invisibles y más, son algunas de las formas en que puede producirse este ataque.

A pesar de ser una herramienta antigua, el clickjacking se está convirtiendo en un problema que empeora en la web. Exploremos cómo funciona el clickjacking, la investigación reciente sobre el clickjacking, incluidos los resultados de un estudio que examinó los 250,000 sitios web principales clasificados en Alexa, y otras formas en que los investigadores y los propietarios de sitios están tratando de proteger mejor a los usuarios de este tipo de ataque.

Sentar las bases

Hay muchos objetivos de clickjacking. 

Cursores, cookies, archivos, incluso sus redes sociales. Tradicionalmente, una gran cantidad de clickjacking se relaciona con anuncios y ganancias fraudulentas. En los primeros días de los programas de publicidad en línea, ciertas palabras clave que generaron grandes ganancias por clics se convirtieron en objetivos populares para los estafadores. Cuando no pudieran hacer que las personas hicieran clic involuntariamente en un anuncio, intentarían automatizar el proceso.

Aquí hay un ejemplo de 2016, que se reproduce en los mensajes de la ley europea de cookies aparentemente interminables en todos los sitios web. Haga estallar un anuncio legítimo, hágalo invisible y superpongalo en una ventana emergente Cookie. En ese momento, es tiempo de publicidad no intencional.

Esto no quiere decir que las técnicas de clickjacking estén estancadas; Aquí hay un buen ejemplo de cómo estos ataques son difíciles de manejar.

Clickjacking: de vuelta en la moda

Hay mucha actividad relacionada con el clickjack en este momento, por lo que los investigadores publican sus trabajos y ayudan a otros a tomar medidas para asegurar los navegadores.

Una de esas piezas de investigación se llama Todos sus clics me pertenecen: investigar la intercepción de clics en la web , centrándose en el acceso a URL centrado en JavaScript. Esperaba que la grabación de la charla del Simposio de seguridad de USENIX estuviera disponible para enlazar en este blog, pero aún no está en línea todavía; cuando lo esté, la agregaré. La charla se trata de construir una forma de observar la posible actividad de clickjack en algunos de los sitios web más populares del mundo y de informar sobre los hallazgos.

Los investigadores de una amplia variedad de ubicaciones y organizaciones agruparon recursos y crearon algo llamado «Observer», una versión personalizada de Chromium, el navegador de código abierto. Con él, esencialmente pueden ver bajo el capó de la actividad web y decir de un vistazo el punto de origen de las URL de cada enlace.

Según el trabajo de investigación, Observer se centra en tres acciones que el código JavaScript puede realizar para interceptar un clic:

  • Modificar enlaces existentes en una página
  • Crear nuevos enlaces en una página
  • Registrar controladores de eventos en elementos HTML para «enganchar» un clic

Todos estos eventos se identifican y etiquetan con una identificación única para cualquier secuencia de comandos que dio vida al proceso, junto con la navegación de la página de registro para registrar con precisión dónde un clic interceptado intenta dirigir a la víctima.

Observer registra dos estados de cada página web probada: la página se procesó completamente hasta un límite de tiempo de 45 segundos, y luego los datos de interacción, donde esencialmente ven lo que hace un sitio cuando se usa. También comprueba si los clics del usuario actualizan los elementos originales de alguna manera.

Algunas de las técnicas específicas que observa Observer:

  • Trucos de engaño visual de terceros, ya sean considerados maliciosos o accidentales. Esto se desglosa en elementos de la página que parecen ser del sitio, pero que simplemente imitan el contenido. Una barra de navegación falsa en una página de inicio es un buen ejemplo de esto. También profundizan en la técnica increíblemente común de las superposiciones transparentes, una de las favoritas de los clickjackers en todo el mundo.
  • Intercepción de hipervínculos. Los scripts de terceros pueden sobrescribir el atributo href de un enlace original al sitio web y realizar un clickjack. Detectan esto, además de estar atentos a los dudosos scripts de terceros que realizan esta acción en scripts legítimos de terceros ubicados en el sitio web. Observer también busca otro truco común: elementos grandes en los que se puede hacer clic en una página, donde cualquier interacción con el elemento encerrado está completamente bajo su control.
  • Interceptor de controlador de eventos. Todo lo que haces en un dispositivo es un evento. Los controladores de eventos son rutinas que existen para lidiar con esos eventos. Como puede imaginar, este es un gran camino para que los estafadores realicen algunas travesuras de clickjacking. Observer busca llamadas API específicas y algunas otras cosas para determinar si se está haciendo clic. Al igual que con el truco del elemento grande en el que se puede hacer clic arriba, busca elementos grandes de terceros.

Resultados del estudio

Observer rastreó los principales 250,000 sitios web de Alexa desde mayo de 2018, terminando con datos válidos del 91.45 por ciento de los sitios que verificaron contabilizando tiempos de espera y errores similares. De 228,614 sitios web, terminaron con 2,065,977 URL de navegación de terceros únicos correspondientes a 427,659 dominios únicos, con un promedio de 9.04 URL de navegación de terceros que apuntan a 1.87 dominios.

Al verificar los tres tipos principales de ataques enumerados anteriormente, encontraron no menos de 437 scripts de terceros que interceptan los clics de los usuarios en 613 sitios web. Colectivamente, esos sitios reciben alrededor de 43 millones de visitantes diariamente. Además, una buena parte de los sitios estaban trabajando deliberadamente con guiones dudosos con el fin de monetizar los clics robados, con el 36 por ciento de las URL de intercepción relacionadas con la publicidad en línea.

El documento completo es una lectura fascinante, y vale la pena buscarlo en [ PDF ].

Planes para el futuro

Los investigadores señalan que hay margen de mejora con su análisis, esto es más un asunto de «conocerte» que una inmersión profunda total. Por ejemplo, con tantos sitios para mirar, solo miran la página principal para su análisis. Si hubiera desagradables al acecho en las subpáginas, no lo habrían visto.

También señalan que su interacción con el sitio web con guión probablemente no es cómo la gente real de carne y hueso usaría los sitios web. De todos modos, este es un trabajo fenomenal y un gran componente para futuros estudios.

¿Qué más está pasando en clickjacking?

Fuera de las conferencias y documentos de investigación, también se dice que una sugerencia de tres años para combatir el clickjacking iFrame ha sido revivida y ampliada para Chrome . En otros lugares, Facebook está demandando a los desarrolladores de aplicaciones por fraude de inyección de clics.

Como puede ver en una revisión informal de las noticias de Google / Yahoo, el clickjacking no es un tema que quizás se cubra con la frecuencia que debería. Sin embargo, sigue siendo un gran problema, genera ganancias masivas para las personas que no son buenas y merece acaparar parte de la atención de vez en cuando.

¿Cómo puedo evitar el clickjacking?

Esto es muy interesante para reflexionar, ya que esto no es sólo una cosa de los usuarios finales. Los propietarios de sitios web también deben hacer su parte para garantizar que los visitantes estén sanos y salvos en sus viajes [ 1 ], [ 2 ], [ 3 ]. En cuanto a las personas que se sientan detrás de sus teclados, el consejo es muy similar a otras medidas de seguridad.

Dada la  cantidad de clics que se basa en el efectivo publicitario falso, considere con qué nivel de exposición a los anuncios se siente cómodo. Implementar una combinación de bloqueadores de anuncios y extensiones de control de script , especialmente en lo que respecta a JavaScript, funcionará de maravilla.

Sin embargo, esos complementos podrían romper fácilmente la funcionalidad de ciertos sitios web, y eso es antes de que dejemos de considerar que muchos sitios ni siquiera le darán acceso si los anuncios están bloqueados por completo. Todo se reduce, como suele suceder, a las redes publicitarias que libran una guerra en su escritorio . Lo bien que le vaya frente a los riesgos potenciales del clickjacking podría depender exactamente de dónde coloca su bandera con respecto al acceso del anunciante a su sistema.

Elija lo que elija, le deseamos una navegación segura y una clara falta de clickjacking. Con suerte, veremos más investigaciones y soluciones propuestas para combatir este problema en el futuro cercano.