ClickJacking, nueva técnica de ataque a través de navegadores web
El ClickJacking es una nueva metodología de ataque que aprovecha vulnerabilidades en los navegadores web para redirigir a los usuarios a sitios maliciosos.
El funcionamiento de dicha técnica se basa en manipular un enlace web con el fin de engañar al usuario y que ingrese a un sitio dañino sin saberlo. En dicha página web se podrían realizar distintas acciones maliciosas como robar credenciales de acceso (usuarios, contraseñas, etc) o bien, descargar cualquier tipo de malware.
Cuando un usuario hace clic en un enlace manipulado a través de la técnica de ClickJacking, se podrían abrir dos ventanas o pestañas del navegador distintas, una real y la otra con fines maliciosos.
“Esta vulnerabilidad en los navegadores web existe desde hace tiempo, pero por el momento no se la estaba utilizando para realizar ataques en Internet. La peligrosidad del ClickJacking radica en que puede ser completamente imperceptible para el usuario y así ser víctima de un ataque sin notarlo”, explicó Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.
El ClickJacking afecta a todos los navegadores web más utilizados de la actualidad, y si bien se pueden tomar medidas de prevención, a través de configuraciones especiales o plug-ins, ante esta metodología de ataque, es importante que cada usuario esté atento a extraños comportamientos de los sitios web que suele visitar, o bien en el mismo navegador, como puede ser doble apertura o superposición de ventanas, ejecución de páginas transparentes, etc.
El funcionamiento tradicional y adecuado de un enlace web es la apertura de una única página web, ya sea en una nueva ventana o pestaña, o bien directamente en la misma que se realizó el clic en el enlace. No es normal, ni tampoco lo adecuado que se abran dos páginas o se note cualquier otro accionar al hacer clic en un único enlace web. En caso que suceda una acción similar, es necesario considerarla maliciosa y cerrarla inmediatamente.
“El posible accionar a través de esta metodología es demasiado amplio y podría ser utilizada de muchas formas distintas con fines dañinos, ya que a través de esta técnica se puede descargar cualquier tipo de malware o dirigir al usuario a sitios web para robar datos personales como usuarios y contraseñas de cuentas bancarias, entre otras cosas”, dijo Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica.
Consejos de prevención para los usuarios:
Esta vulnerabilidad proviene y es utilizada en los navegadores web, por lo tanto los principales consejos técnicos radican en la correcta configuración de cada aplicación para prevenirse del ataque:
• En Internet Explorer, es necesario mejorar la seguridad del navegador desde las Opciones de Internet en el menú Herramientas, aunque también es necesario aclarar que dicha configuración no garantiza una completa protección ante este tipo de ataques.
• En Firefox, el plug-in NoScript evitaría por completo el funcionamiento del ClickJacking, ya que inhabilita por defecto el accionar de scripts e iframes.
• En Opera, se debe que deshabilitar los iframes a través de una configuración especial.
Para ver una guía de configuración de los navegadores web mencionados y otros como Safari y Chrome, se puede visitar el Blog del Laboratorio de ESET para Latinoamérica.
“Los tradicionales consejos de no hacer clic en sitios de baja reputación o poca confianza, no hacer clic en enlaces disponibles en correos electrónicos y estar atentos a los posibles engaños de Ingeniería Social, son de vital importancia para tratar de no ser víctimas del ClickJacking”, concluyó Borghello.
Fuente: http://www.eset-la.com/company/1983-clickjacking-nueva-tecnica-ataque-navegadores-web
El funcionamiento de dicha técnica se basa en manipular un enlace web con el fin de engañar al usuario y que ingrese a un sitio dañino sin saberlo. En dicha página web se podrían realizar distintas acciones maliciosas como robar credenciales de acceso (usuarios, contraseñas, etc) o bien, descargar cualquier tipo de malware.
Cuando un usuario hace clic en un enlace manipulado a través de la técnica de ClickJacking, se podrían abrir dos ventanas o pestañas del navegador distintas, una real y la otra con fines maliciosos.
“Esta vulnerabilidad en los navegadores web existe desde hace tiempo, pero por el momento no se la estaba utilizando para realizar ataques en Internet. La peligrosidad del ClickJacking radica en que puede ser completamente imperceptible para el usuario y así ser víctima de un ataque sin notarlo”, explicó Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.
El ClickJacking afecta a todos los navegadores web más utilizados de la actualidad, y si bien se pueden tomar medidas de prevención, a través de configuraciones especiales o plug-ins, ante esta metodología de ataque, es importante que cada usuario esté atento a extraños comportamientos de los sitios web que suele visitar, o bien en el mismo navegador, como puede ser doble apertura o superposición de ventanas, ejecución de páginas transparentes, etc.
El funcionamiento tradicional y adecuado de un enlace web es la apertura de una única página web, ya sea en una nueva ventana o pestaña, o bien directamente en la misma que se realizó el clic en el enlace. No es normal, ni tampoco lo adecuado que se abran dos páginas o se note cualquier otro accionar al hacer clic en un único enlace web. En caso que suceda una acción similar, es necesario considerarla maliciosa y cerrarla inmediatamente.
“El posible accionar a través de esta metodología es demasiado amplio y podría ser utilizada de muchas formas distintas con fines dañinos, ya que a través de esta técnica se puede descargar cualquier tipo de malware o dirigir al usuario a sitios web para robar datos personales como usuarios y contraseñas de cuentas bancarias, entre otras cosas”, dijo Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica.
Consejos de prevención para los usuarios:
Esta vulnerabilidad proviene y es utilizada en los navegadores web, por lo tanto los principales consejos técnicos radican en la correcta configuración de cada aplicación para prevenirse del ataque:
• En Internet Explorer, es necesario mejorar la seguridad del navegador desde las Opciones de Internet en el menú Herramientas, aunque también es necesario aclarar que dicha configuración no garantiza una completa protección ante este tipo de ataques.
• En Firefox, el plug-in NoScript evitaría por completo el funcionamiento del ClickJacking, ya que inhabilita por defecto el accionar de scripts e iframes.
• En Opera, se debe que deshabilitar los iframes a través de una configuración especial.
Para ver una guía de configuración de los navegadores web mencionados y otros como Safari y Chrome, se puede visitar el Blog del Laboratorio de ESET para Latinoamérica.
“Los tradicionales consejos de no hacer clic en sitios de baja reputación o poca confianza, no hacer clic en enlaces disponibles en correos electrónicos y estar atentos a los posibles engaños de Ingeniería Social, son de vital importancia para tratar de no ser víctimas del ClickJacking”, concluyó Borghello.
Fuente: http://www.eset-la.com/company/1983-clickjacking-nueva-tecnica-ataque-navegadores-web
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!