El “Likejacking” asaltando el “Me gusta” de Facebook

facebook_like_buttonLos investigadores de seguridad están avisando de una nueva amenaza en Facebook, que llaman “likejacking”, un ataque de clickjacking para engañar a los usuarios y que hagan click en enlaces que marcan una web como “Me gusta” pero que apuntan a otra página web.  Estos “Me gusta” aparecen luego en tu página de perfil, y por supuesto, en tu News Feed de Facebook, donde tus amigos pueden ver el enlace y hacer click, permientiendo que el círculo vicioso y viral continúe.

Según la firma de seguridad Sophos, cientos de miles de usuarios han caído ya en esta nueva trampa del “likejacking” gracias al astuto y tentador enlace que los spammers utilizan para atraer a la gente a hacer clic en sus enlaces. Por ejemplo:

“LOL Detienen a una chica después de que un policía leyera su Estado”

“¡Este hombre se autorretrata cada día desde hace 8 años!”

“El vestido de baile que consiguió que echaran a esta chica del colegio”

Después de hacer click en el enlace, las víctimas no ven el contenido prometido, sino una página en blanco en la que leen “haz click aquí para continuar”. Esta página contiene el virus del clickjacking (Troj/Iframe-ET) alojado en un enlace invisible. Haz click en cualquier parte de la página y el mensaje es publicado en tu página de perfil y en el News Feed, permitiendo al virus expandirse.

Esta trampa es posible gracias al nuevo botón de “Me gusta” de Facebook y su código asociado para implementarlo. Según la documentación del botón “Me gusta”, los botones pueden ser personalizados con metadatos que incluyen cosas como el título de la página Web, el nombre del sitio y la URL de la fotografía de la página. Adaptando estos campos, los spammers y hackers pueden crear fácilmente enlaces que son, de hecho, botones de “Me gusta” maliciosos.

Os lo dije

La popularidad de este particular vector de ataque no es sorprendente. Poco después de que Facebook fundara el botón “Me gusta”, informamos de su potencial como amenaza, señalando lo increíblemente fácil que es crear botones “Me gusta” que enlazan a cualquier cosa de la Web – incluso páginas que nunca has visitado.

Era solo cuestión de tiempo que los spammers y los hackers empezaran a abusar de esta debilidad para sus propios propósitos (francamente, estamos sorprendidos de que hayan tardado tanto).

El problema tiene que ver con el método -demasiado simple- con que Facebook ha implementado el botón “Me gusta”. Gente sin conocimientos de programación pueden poner una URL en un asistente que genera un código que puede ser copiado y pegado en cualquier parte de la red. Los botones “Me gusta” creados de esta manera o manualmente, vía un código escrito a mano, funcionarán adecuadamente aunque lleven a un sitio web que está en un dominio diferente al de la página donde está alojado el botón “Me gusta”.

Kyle Bragger, un emprendedor que acaba de fundar Forrst, un comunidad online para desarrolladores y diseñadores, avisó a los usuarios de Facebook del “fraude del botón Me gusta” el pasado abril en una entrada de su blog. Para sortear intentos como estos del potencial likejacking, creó un marcador de “Me gusta” que realmente se asegura de que lo que te “gusta”es la página en la que estás.

Si has sido afectado con este ataque de likejacking, lo mejor que puedes hacer es eliminar el “Me gusta” de tu página de perfil y borrar el post de tu News Feed. También, podrías disculparte a tus amigos con una actualización de tu estado en Facebook.

Original: Sarah Perez

Etiquetas

Contenidos Relacionados

Top