El clickjacking (secuestro de clic) es una técnica maliciosa para engañar a usuarios de Internet con el fin de que revelen información confidencial o tomar control de su ordenador cuando hacen clic en páginas web aparentemente inocentes. En un ataque de clickjacking mediante el uso de script, iframe, CSS y cuadros de texto permite que el atacante capture los datos en una capa que controla y el usuario no puede ver, debido a que utilizan diversos métodos para ocultarla.

Representa como opera el Clickjacking, inyectando en el sitio una capa transparente que secuestra el click del usuario.

Descripción

editar

El clickjacking es posible debido a características aparentemente inofensivas de una página web HTML que pueden ser empleadas para realizar acciones inesperadas.

Existen varias formas de ejecutar esta técnica:

  1. Completamente oculto: el ataque original consistía en cargar una pieza de contenido de la víctima en un iframe de 1x1 que evita que el usuario final pueda verla. Luego, el atacante centra el iframe 1x1 debajo del cursor para que el usuario final haga clic en él.
  2. Eventos de puntero: se crea una etiqueta div flotante sobre la interfaz de confianza. Utilizando la propiedad de CSS pointer-events en 'none', los eventos ocurren en el div implantado que recibe toda la información.
  3. Recortar: consiste en ocultar parte del contenido mediante recorte dejando visibles los botones originales de 'permitir' y 'cancelar'. Sin embargo, el atacante superpondría una nueva pregunta encima de la pregunta original. También puede presentarse como variante de este ataque, que se realice superposición de palabras individuales en la pantalla de confianza en lugar de superponer una sección completa.
  4. Superposición transparente: sobre la ventana de confianza se crea una capa transparente. Esto hace que el usuario final crea que está haciendo clic en el contenido que se encuentra debajo de la ventana transparente, cada clic es registrado por la ventana transparente ya que es el contenido más alto en el momento del clic.

Historia

editar

El término clickjacking fue acuñado por Jeremiah Grossman y Robert Hansen en 2008,[1]​ también conocido como UI redressing. El clickjacking puede ser entendido como una variante del problema de reemplazo confuso.[2]​ La directiva de la Unión Europea de 2011 sobre privacidad, conocida como ley de cookies, obliga a los sitios web que almacenan datos sobre sus visitantes a incluir una advertencia. Recientemente, se ha comprobado el ataque a sitios web que consiste en modificar la advertencia incluida en el sitio para que su clic sea desviado, abriendo un sitio web diferente. Los ataques detectados incluyen publicidad no visible dentro del aviso de privacidad. Al hacer clic en cualquier parte del aviso aparece la página del sitio publicitado.[3]

Referencias

editar
  1. «SecTheory - Internet Security». web.archive.org. 2 de junio de 2016. Archivado desde el original el 2 de junio de 2016. Consultado el 22 de octubre de 2022. 
  2. The Confused Deputy rides again!, Tyler Close, October 2008
  3. «EU Cookie Law Abused in Clickjacking Campaign». 8 de enero de 2016. Consultado el 11 de enero de 2016. 

Enlaces externos

editar