Más de 100 mil personas fueron engañadas por una reciente trampa de clickjacking en Facebook, similar a la comentada hace algunos días. Los atacantes aprovecharon una noticia reciente relacionada con Hayley Williams, la cantante de Paramore, y un acceso no autorizado a su cuenta de Twitter donde se publicaron fotografías suyas en topples.
El mensaje utilizado como carnada fue: Paramore n-a-k-ed photo leaked!
Al hacer clic en el enlace los usuarios terminaban en el siguiente sitio:
La página solicita confirmar la edad como si se fueran a mostrar contenidos para adultos, sin embargo se trata de un engaño. Al hacer clic en la página, en realidad se hace clic sobre un botón oculto de «Me gusta» (clickjacking) que publica de inmediato el enlace en la Actividad reciente del perfil, de esta forma el engaño se sigue propagando.
Luego se realiza una redirección a una página que muestra un par de fotos de la cantante y solicita un correo electrónico para recibir -supuestamente- más fotos. De esta forma los atacantes recolectan direcciones para luego enviar spam.
El dominio que utilizan para mostrar la página fraudulenta fue registrado recientemente y gracias a Google se puede ver que también están haciendo lo mismo con el cantante Justin Bieber:
Evitando el clickjacking:
En Firefox se pueden evitar estos engaños de hacer clic en elementos ocultos gracias a la extensión NoScript, en la siguiente captura se la puede ver en acción, alertando y bloqueando el intento de clickjacking al visitar el sitio:
Los navegadores Internet Explorer 8, Opera, Safari y Chrome incluyen una tecnología llamada X-Frame-Options que evita el clickjacking.
Hay una cosa que queda clara de todo esto, las redes sociales son una mina de oro para infectar!