El siguiente mensaje publicado en un muro de Facebook enlaza a una página falsa que parece ser un portal de videos como YouTube:
Al hacer clic en cualquier parte de la página en realidad se está haciendo clic en un botón de Me gusta que está oculto, esta técnica se denomina clickjacking y permite que los visitantes hagan clics sin saberlo en elementos ocultos.
Como el usuario ya está logueado en Facebook, se publicará automáticamente un mensaje en su muro similar al de la primer captura, de esta forma la página falsa se propaga y más usuarios la visitan.
El objetivo de los atacantes es hacer dinero, al intentar ver el supuesto video se despliega una ventana de verificación que muestra distintas encuestas (surveys) según el país, cada ves que una es completada los atacantes ganan dinero (ver ejemplos de estas encuestas):
Esta técnica la están utilizando desde hace meses y los resultados que se obtienen son bastante buenos, incluso existen kits a la venta que hacen todo esto de forma automática.
A la izquierda de la captura se puede ver el número 810 en un rectángulo rojo, eso es un contador que indica la cantidad de personas que hay en la página en ese momento. Todos esos visitantes accedieron engañados por el mensaje publicado en el muro de alguno de sus amigos que cayó en la trampa, suponiendo que sólo 100 de esos 800 contestan una encuesta, se generarían unos 10 o 15 dólares de ganancia.
Facebook bloquea rápidamente estas páginas falsas gracias al sistema de denuncias, pero los atacantes cambian la URL y todo comienza de nuevo, es algo viral y masivo. El control también debería de estar del lado de las empresas que ofrecen estos sistemas de encuestas para hacer dinero, pero parecen hacer la vista gorda ante estos abusos, de hecho hace poco Facebook demandó a una empresa por esta clase de spam.
El clickjacking tiene una limitación y es que en Internet Explorer 8, Safari, Chrome y Opera no funciona… es decir que el mensaje automático que hace viral la campaña dentro de Facebook funciona si la víctima utiliza Firefox o una versión anterior a IE8.
Por último dejo una captura de lo que sucede al acceder a la página falsa con el complemento NoScript de Firefox:
NoScript, además de evitar la carga de scripts desconocidos, detecta el clickjacking y lo bloquea.
Gracias Ricardo por el aviso!
Ver también:
¿Te gustaría volar gratis? cuidado con esta estafa.
Jeque petrolero regala cheques de mil dólares.