Facebook: Inusual ataque combinado con Ingeniería Social afecta a sus usuarios

ESET-facebook-malware_

Se denomina Cross-site Request Forgery y se trata de un tipo de ataque que se vale de una sesión autenticada a un sitio web para lograr que el usuario lleve a cabo acciones indeseadas. No es un tipo de ataque habitual, y además es muy complicado de rastrear, ya que las acciones son literalmente llevadas a cabo por un usuario común. Recientemente hemos analizado muestras que presentan este tipo de amenaza en la popular red social.

Todo comienza cuando un usuario cualquiera es etiquetado en una notificación como la siguiente:

fb1

La publicación alega que ejecutando un script en la consola del navegador podremos obtener la contraseña de quien deseemos, pero no es así. La parte visible del script en la imagen sólo tiene la función de abrir un reproductor de audio utilizando un conocido servicio de streaming. El resto se encuentra completamente ofuscado, y presenta algo completamente distinto: el payload del ataque. En él también se evidencian acciones de viralización.En la siguiente imagen se puede apreciar una parte del código ofuscado, así como también la capacidad de viralización de la amenaza:

fb2

Ahora, ¿qué sucede si ejecutamos el script que nos presentan? Aquí es donde la ingeniería social logrará su cometido, y de esta forma un usuario real autenticado en un sitio real llevará a cabo las acciones que el atacante desee. En la siguiente captura podemos observar la vista de actividad reciente de un perfil de Facebook antes de caer en la trampa:

c3

Ahora, si ejecutamos el script, veremos que la situación cambiará:

c4

Vemos entonces que en este caso el script presenta acciones de Black Hat SEO, intentado aumentar la difusión de una página de Facebook. En este punto es importante aclarar que esta modalidad no solamente puede ser utilizada para obtener resultados como el anterior, ya que puede esconder funcionalidad más compleja, que también puede pasar completamente desapercibida por el usuario que ejecuta el script.

Si bien las técnicas de Black Hat SEO pueden lograr reconocimiento y difusión a corto plazo (como vemos que sucedió con el sitio en cuestión en la captura siguiente), su utilización suele estar penada. Tal es el caso de Google, que puede hasta llegar a borrar de sus resultados de búsqueda a los sitios que detecte que utilicen tales prácticas.

c1

Como Facebook es una de las redes sociales más populares de la actualidad, los cibercriminales utilizan Ingeniería social para llevar a cabo sus campañas, debido a su fácil implementación y gran alcance. Por eso, es importante utilizar dichas redes sociales con cuidado, siendo criteriosos al analizar la información presentada, para así no ser víctima de ataques como este.
welivesecurity

¿Qué es el cloaking?

 

El cloaking es una de las herramientas más antiguas en lo que respecta a Black Hat SEO. Veamos cómo funciona, qué implicancias tiene, y qué aspectos a considerar presenta en materia de seguridad informática.

Para entender qué es el cloaking, primero es necesario saber cómo es el proceso de reconocimiento e indexación de sitios web de los motores de búsqueda. Estos se valen de web spiders (robots encargados de encontrar e indexar sitios) para llevar a cabo su tarea. Por ejemplo, Google utiliza uno llamado Googlebot, que tiene dos versiones distintas: deepbot y freshbot. Mientras que el primero se encargará de visitar todos los sitios siguiendo los links que estos contengan, freshbot buscará contenido nuevo, visitando sitios ya conocidos que cambian de contenido frecuentemente.

La información obtenida por una web spider permitirá que un motor de búsqueda pueda indexar y presentar los sitios web en sus resultados. La información que esta recolecte será fundamental para determinar el posicionamiento del sitio en las búsquedas que hagan los usuarios. Ahora, ¿es posible manipular la información que ellas ven, para así mejorar el posicionamiento de un sitio? La respuesta es que sí, puede llevarse a cabo. A este proceso de optimización de un motor de búsqueda se lo conoce como SEO (Search Engine Optimization). Cuando los medios para llevar a cabo ese proceso no son éticos, estaremos hablando de Black Hat SEO. Uno de dichos medios se conoce como cloaking.

Pero, ¿qué es entonces el cloaking?

El cloaking es una técnica de Black Hat SEO mediante la cual un sitio muestra un contenido a los usuarios que lo acceden, pero muestra otro distinto a la web spider. Esto se logra gracias a la identificación de esta última, proceso que puede llevarse a cabo con técnicas diversas, como reconocimiento por IP o user agent. De esta forma, un sitio puede por ejemplo ser encontrado en una búsqueda de juegos para niños, pero finalmente presentar pornografía a aquellos que accedan a él.

El cloaking es multado por los motores de búsqueda. Algunos de estos pueden llegar a borrar el sitio de sus resultados de búsqueda en caso de que detecten que lo esté implementando. Además, puede ser utilizado para redirigir usuarios hacia sitios con algún tipo de amenaza. Es por ello que debido a la existencia de estas y otras amenazas recomendamos contar siempre con una solución de seguridad para evitar el acceso a sitios comprometidos, y así poder navegar seguro.

blogs eset-la