Site icon Panda Security Mediacenter

Así es DoubleClickjacking, la nueva ciberestafa que explota la interactividad del usuario

asi-es-doubleclickjacking-la-nueva-ciberestafa-que-explota-la-interactividad-del-usuar

 Esta técnica consiste en la creación de páginas web por parte de atacantes que simulan ser legítimas y se aprovechan la acción de hacer doble clic para activar código malicioso que puede robar los datos.

El “ransomware” o “secuestro de datos” sigue siendo uno de los principales ciberataques que más revuelve las tripas a los usuarios. “Phishing”, “malware”, “smishing”, “DDoS”, “ingeniería social” … Hay muchos más tipos, pero siempre surgen nuevas actividades para complicarle la vida a los internautas

De hecho, en Panda Security hemos detectado que, recientemente, se está popularizando de una variante de la técnica “Clickjacking”, conocida como “DoubleClickjacking”, que puede amenazar la seguridad de numerosos sitios web al dejarlos expuestos a posibles robos de cuentas.

Esta sofisticada técnica explota una acción muy habitual como es el doble clic del usuario para ejecutar acciones no deseadas, como el secuestro de cuentas online. A diferencia del “clickjacking” tradicional, que engaña a los usuarios para que hagan clic en elementos ocultos o disfrazados, lleva esta técnica un paso más allá al aprovechar la acción de doble clic que continuamente hacen los usuarios cuando navegan por internet, aunque en los últimos años los navegadores han introducido mecanismos de protección ante los botones disfrazados que aparecen en muchos sites.

“Haga clic aquí para demostrar que no es un robot”

Y ahí está la clave: los cibercriminales han descubierto cómo explotar la secuencia habitual de dos clics de los usuarios para engañarles. La técnica de “DoubleClickjacking” puede sortear las protecciones de los navegadores actuales. Para llevar a cabo este ataque, los autores engañan a un usuario para que éste haga doble clic en un mensaje tipo “haga clic aquí para demostrar que no es un robot”, aprovechando una acción muy habitual a la hora de consultar una página web. Muy habitual porque, cada vez más, las webs introducen sistemas de verificación tipo “captcha”, con lo que los usuarios están familiarizados con estas funciones. 

Nada hace sospechar que, luego, se manipula la secuencia por medio de distintos métodos, entre ellos, mostrar un elemento visible, como el hecho de abrir una nueva ventana. Al pulsar el segundo clic da permiso a una acción maliciosa capaz de conceder acceso a la cuenta. Esto se consigue superponiendo y manipulando elementos invisibles dentro de algunos botones o enlaces de la interfaz de una web. 

La clave es que, una vez que el usuario interactúa, el usuario carga un código malicioso. Así que, de manera inconsciente, es el propio usuario quien se deja expuesto, pudiendo ser víctima de un robo de datos personales mediante DoubleClickjacking. Así que, sin saberlo, los usuarios caen en la trampa de los atacantes después de insertar un elemento malicioso entre el primer y segundo clic. 

Posible robo de datos personales sin darse cuenta

Entre los datos que los cibercriminales pueden robar mediante esta técnica se encuentra información sensible de una cuenta, tener acceso completo a un perfil de una red social, autorizar pagos online, tener acceso a la API de una herramienta o, incluso, instalar código malicioso en el equipo para posteriormente tener control. De momento, los principales navegadores no cuentan con funciones tan robustas para proteger de este novedoso ataque. 

Para evitar caer en la trampa del DoubleClickjacking recomendamos verificar que se navega bajo el protocolo de seguridad “https”, tener los navegadores actualizados, revisar los mensajes fuera de lo común o mostrar sospecha ante la apertura de una ventana emergente inesperada. Además, para protegerse de este ataque, es fundamental que los desarrolladores y administradores de sitios web utilicen políticas de seguridad adecuadas como el uso de Content Security Policy (CSP) y el establecimiento de un marco de seguridad para los anuncios, de manera que se minimice la posibilidad de que contenido externo no autorizado interactúe con la página.

 

Exit mobile version