Todos lo hemos visto en Facebook: uno de tus amigos “comparte” un enlace a un nuevo batido que te ayudará a perder diez libras en dos días o un código para obtener Ray-Bans con descuentos sospechosos. Afortunadamente, la mayoría de estas publicaciones son, obviamente, spam. Desafortunadamente, los piratas informáticos están encontrando más formas de publicar contenido molesto y potencialmente peligroso. Un investigador descubrió recientemente un gusano de Facebook de prueba de concepto que publica enlaces de spam no deseados.
Un investigador de seguridad polaco, que se conoce con el seudónimo de “Lasq”, fue el primero en encontrar el problema. Señaló que varios de sus amigos de Facebook parecían estar publicando un enlace a un sitio de cómics francés alojado en un depósito de Amazon Web Services (AWS). A los usuarios que hicieron clic en el enlace se les pidió en francés que verificaran su edad y luego se les redirigió a una página con cómics y anuncios. El mismo enlace se publicó en el muro de Facebook de un usuario después de hacer clic en él.
Lasq investigó un poco y descubrió que los piratas informáticos estaban usando un código que explotaba el elemento IFrame del cuadro de diálogo para compartir dispositivos móviles de Facebook. Un “IFrame” o “marco en línea” es un documento HTML incrustado dentro de otro documento HTML. Los IFrames se utilizan con frecuencia para insertar contenido directamente de una fuente a otra.
Facebook tampoco había establecido un encabezado X-Frame-Options para el sitio sospechoso de spam. Se puede utilizar un encabezado X-Frame-Options para determinar si un navegador debe poder representar una página. Generalmente se usa para evitar que el código se cargue en un IFrame.
En cambio, Facebook permite a los desarrolladores de dispositivos móviles “abrir el cuadro de diálogo para compartir en un iframe en la parte superior de su sitio web”. Se suponía que una ventana emergente preguntaba si el usuario quería compartir el correo no deseado, pero en este caso no fue así. Quizás la “verificación de edad” del spam eludió el sistema de Facebook. Lasq señaló que “como demostró esta campaña, no es muy eficaz”.
Lasq se acercó a Facebook, pero se negaron a solucionar el problema. Facebook argumentó que el secuestro de clics, o la capacidad de ocultar hipervínculos dañinos bajo contenido aparentemente benigno, es solo un problema cuando altera fundamentalmente una cuenta. También insistieron en que están mejorando continuamente sus “sistemas de detección de clickjacking” para ayudar a prevenir el spam.
El código de prueba de concepto que encontró Lasq no contenía necesariamente elementos de clickjacking, pero podría incorporarlos. Lasq teme que los piratas informáticos hagan más daño en el futuro. Señaló: “Esta vez solo se aprovechó para difundir spam, pero puedo pensar fácilmente en un uso mucho más sofisticado de esta técnica”.
Los usuarios de Facebook son frecuentemente un objetivo de spammers y estafadores. El mes pasado, varios sitios web anunciados en Facebook convencieron a los usuarios de que compraran productos baratos que nunca habían recibido. Por ejemplo, un monitor de juegos curvo Massdrop Vast de 35 pulgadas de $ 549 se anunciaba por $ 69.98 USD. Al menos 300 personas informaron haber sido defraudadas por estos sitios web fraudulentos. Facebook argumenta que están trabajando continuamente para eliminar el spam, pero nunca se puede tener demasiado cuidado en línea.
