El ClickJacking es una nueva metodología de ataque que aprovecha vulnerabilidades en los navegadores web para redirigir a los usuarios a sitios maliciosos.

El funcionamiento de dicha técnica se basa en manipular un enlace web con el fin de engañar al usuario y que ingrese a un sitio dañino sin saberlo. En dicha página web se podrían realizar distintas acciones maliciosas como robar credenciales de acceso (usuarios, contraseñas) o bien, descargar cualquier tipo de malware.

Como imaginarás es un problema grave, que para peor está relacionado con la estructura básica de la Web. Imagina intentar entrar a tu correo electrónico y en lugar de eso permitir acceso a un sitio a tu ordenador.

Cuando un usuario hace clic en un enlace manipulado a través de la técnica de ClickJacking, se podrían abrir dos ventanas o pestañas del navegador distintas, una real y la otra con fines maliciosos.

¿Que se puede hacer? te estarás preguntando a esta altura. Bueno, los hackers que estuvieron investigando el tema están en contacto con gente como Giorgio Maone, creador de NoScript. Este agregado para Firefox permite bloquear scripts y otros contenidos potencialmente nocivos de sitios Web no confiables. Maone, luego de entender básicamente como era el funcionamiento, agregó a la nueva versión de NoScript una tecnología que dio en llamar “ClearClick”. Esta tecnología chequearía que no estamos usando un botón pensando que es otro. Mediante diferentes renderizaciones del sitio el agregado chequearía que no estamos interactuando con controles escondidos en parte o transparentes y nos avisaría si ese es el caso.

Consejos de prevención de ESET:

En Internet Explorer, es necesario mejorar la seguridad del navegador desde las Opciones de Internet en el menú Herramientas, aunque también es necesario aclarar que dicha configuración no garantiza una completa protección ante este tipo de ataques.

En Firefox, el plug-in NoScript evitaría por completo el funcionamiento del ClickJacking, ya que inhabilita por defecto el accionar de scripts e iframes.

En Opera, se debe que deshabilitar los iframes a través de una configuración especial.

Para ver una guía de configuración completa de los navegadores web mencionados y otros como Safari y Chrome, se puede visitar el blog del laboratorio de ESET para Latinoamérica en http://blogs.eset-la.com/laboratorio/2008/10/07/prevencion-navegadores-ataques-clickjacking

Enlaces de Interes:Neoteo