Hay pocas aplicaciones que son más seguras que el software bancario de los dispositivos móviles. Pero no obstante, estas aplicaciones pueden proporcionar a los cibercriminales información confidencial y de gran valor de los usuarios, como son credenciales de inicio de sesión y datos de contacto. En este artículo, vamos a conocer qué es el clickjacking y cómo podemos evitarlo.
La técnica del clickjacking facilita el robo de información privada confidencial, hasta el punto de que llevar a cabo este tipo de ataque sólo requiere el registro en una aplicación. Malware especializado como Svpeng es una prueba de la eficacia y prevalencia, de este tipo de delito.
El clickjacking permite a los ciberdelincuentes insertar una capa de interfaz de usuario invisible entre la yema de nuestro dedo y el contenido que se nos muestra en la pantalla.
Tras introducir nuestra ID y contraseña, podemos pensar que estamos viendo la pantalla de nuestra aplicación bancaria. Sin embargo, es muy probable que lo que estemos viendo realmente, sea una réplica de la pantalla, superpuesta a la auténtica.
Generalmente, nuestro banco no comprueba la información privada que introducimos, sino que ésta información se dirige a los servidores de archivos que los cibercriminales utilizan para robar los datos de acceso a las cuentas bancarias.
Lucro mediante el clicjacking
En julio de 2017, un analista de malware sénior de Kaspersky, Roman Unuchek, informó en el blog SecureList que el malware Svpeng se estaba haciendo viral. Svpeng se empezó a utilizar en 2013 para robar los datos bancarios de usuarios en dispositivos Android. Una vez se descarga en un dispositivo móvil, se apropia de los datos del usuario mediante un ataque de clickjacking, pero el problema no queda en eso sólo.
Una vez el malware obtiene privilegios de administrador, puede seleccionar las pantallas de superposición que va a utilizar, enviar y recibir SMS, realizar llamadas telefónicas y buscar en la lista de contactos.
Después, el malware envía capturas de pantalla y cualquier otro material del dispositivo del que se haya apropiado al servidor de comando y control (C&C), que utilizan los ciberdelincuentes. Esto podría incluir contactos, aplicaciones instaladas, registros de llamadas y SMS. El caso de los SMS resulta especialmente complejo, ya que normalmente los bancos envían SMS con códigos de verificación a los usuarios.
Según Unuchek, Svpeng se extendió a 23 países en tan sólo una semana.
Cualquier plataforma puede sufrir un ataque de clickjacking
Aunque los teléfonos Android parezcan especialmente vulnerables al clickjacking, en realidad este tipo de ataques puede afectar a cualquier dispositivo con acceso a Internet: móviles, tablets, ordenadores de sobremesa y portátiles.
A mediados del año 2016, Google eliminó los anuncios con capas transparentes que habían logrado engañar a millones de usuarios que hicieron clic en los enlaces que conducían a sitios web no solicitados. En la mayoría de casos, estos sitios web contenían malware, adware e incluso spyware que se descargaba e instalaba en los dispositivos y sin que el usuario fuera consciente de ello.
Muchas compañías sin escrúpulos pueden usar páginas que hayan sufrido ataques de clickjacking para emitir pedidos de Amazon con sólo un clic. El clickjacking crea «likes» falsos en publicaciones de redes sociales como Facebook (lo que se conoce como «likejacking»), e incluso capta a seguidores desprevenidos en Twitter. Según informaba la propia web MarketingLand.com, los atacantes también descargan malware que obliga a los usuarios a hacer clic en anuncios invisibles de forma fraudulenta.
Aunque todo esto pueda parecer algo anticuado, es muy importante saber que se trata de una técnica usada a día de hoy por los ciberdelincuentes, debido al poco riesgo al que se exponen y los grandes beneficios que pueden obtener.
Cómo podemos defendernos de los ataques de clickjacking
Hay que tener en cuenta que una de las vías de acceso más comunes del software de clickjacking a los dispositivos son los correos electrónicos con un objetivo específico. En un mundo en el que los ciberdelincuentes roban miles de millones de cuentas de clientes con sus datos de contacto, los cibercriminales pueden adquirir esta información con sólo invertir unos céntimos.
Debemos prestar especial atención a los correos de nuestra bandeja de entrada que requieran nuestra atención para abordar un asunto urgente. Estos correos electrónicos nos piden que hagamos clic en un enlace que puede conducirnos a un sitio web idéntico al de nuestro banco u otro sitio web oficial, donde se nos tenderá una trampa para que descarguemos la última versión de la aplicación de la institución o completemos la información de perfil.
Si el objetivo es que descarguemos una aplicación, probablemente esta aplicación será malware que capturará nuestras credenciales. En otros casos, el propio sitio web puede ser el origen del malware que accede a nuestro dispositivo silenciosamente. Independientemente de cómo se lleve a cabo el ataque, el malware presentará capas de entrada falsas para que las rellenemos.
También es muy importante evitar hacer clic en anuncios de Google o Facebook que nos ofrezcan algo demasiado bonito para ser cierto o que divulguen noticias o historias extraordinarias. En algunos casos, al hacer clic en estos elementos, se nos conduce a un sitio web que descarga del software de clickjacking en nuestro ordenador. Es preferible buscar la información por otro canal, como un periódico conocido o una fuente fiable. Si las noticias son reales, no nos resultará difícil encontrar resultados válidos.
A la hora de descargar aplicaciones en nuestros dispositivos, debemos hacerlo desde repositorios de aplicaciones autorizadas y seguras. Estas bibliotecas combinan el factor humano con agentes de software para eliminar el malware y ofrecer el contenido adecuado. No siempre es fácil de detectar interfaces falsas o invisibles, pero una dosis de escepticismo razonable por nuestra parte a la hora de usar todo lo que tenga que ver con Internet, puede contribuir considerablemente a lograr una experiencia de usuario satisfactoria.
Aunque puedan parecer técnicas muy similares, no debemos confundir el clicjacking con el phising.
El clickjacking es también conocido como redireccionamiento de la interfaz de usuario, que se realiza mostrando una página invisible o un elemento HTML, dentro de un iframe, sobre la página que está viendo el usuario. De esta forma, el usuario cree que está haciendo clic en la página visible, pero en realidad lo está haciendo sobre en un elemento transparente de la página enmarcada sobre la original.
Para prevenir caer en la trampa del clickjacking, es muy importante observar los siguientes consejos:
- Mantener siempre actualizado nuestro navegador web a la última versión disponible.
- Utilizar software antivirus en nuestros dispositivos con acceso a Internet.
- Instalar extensiones de seguridad en nuestros navegadores, como pueden ser Malwarebytes, Adblock o Virus Total for browsers, entre otras. Estas las podemos encontrar en la tienda de extensiones de nuestro navegador web y nos puede resultar de gran ayuda tenerlas activas en nuestro navegador.
- Verificar la URL/dirección web de los enlaces, antes de hacer click en ellos, prestando siempre atención al sentido común.
- Procurar acceder a webs HTTPS, ya que aunque podemos encontrar webs con el certificado de seguridad fraudulentas, pero siempre será más fácil comprobarlo que si navegamos en una que que no lo tiene.
- Prestar atención a las pop-ups (ventanas emergentes) y anuncios, evitando hacer click en ellos, sobre todo cuando nos solicitan cumplimentar formularios con nuestra información personal.
Puesto que la técnica de clickjacking, requiere también de ingeniería social, las redes sociales se convierten en los princiales vectores de ataque.
Diferencias entre clickjacking y phising
Clickjacking y phishing, son estafas similares, pero no debemos confundirlas.
Mediante el clickjacking, un objeto en el que se puede hacer clic en un sitio web, como puede ser un botón, imagen o enlace, contiene un programa malicioso. Cuando los usuarios hacen clic en el objeto disfrazado, por ejemplo, son redirigidos a un sitio web falso que solicita información personal o el malware puede descargarse en su dispositivo.
El phishing es una estafa en la que el atacante envía un mensaje de correo electrónico o SMS «oficial», con la intención de obtener información personal o financiera. Algunos mensajes de phishing, nos piden que respondamos con nuestra información, mientras que otros nos dirigen a un sitio web falso o ventana emergente que se parece al sitio web cebo, donde se recopila nuestra información.
Si recibimos un mensaje que parece legítimo y nos solicita que actualicemos números de tarjeta de crédito, números de la Seguridad Social, de cuenta bancaria, contraseñas u otra información privada, siempre es recomendable visitar el sitio web real directamente (sin hacer clic en el enlace recibido), para asegurarnos que la solicitud es válida. En su lugar, escribimos la dirección web en nuestro navegador, que ya podemos tener guardada en los favoritos o buscar en internet. Los filtros de phishing son programas que nos advierten o bloquea sitios web potencialmente fraudulentos o sospechosos y nunca estaría de más tener uno instalado en nuestro navegador.
Una extensión de testeo antijacking disponible para el navegador Chrome o aquellos basados en el proyecto Chromium entre otros (como Brave, Edge, etc.) y que podemos obtener pinchando en el enlace de este párrafo, nos puede ser de gran utilidad específica, además de las extensiones anteriormente recomendadas.
STI 2020 ® 
Deja un comentario