Clickjacking: cuando un clic esconde la estafa
Marco es un gran aficionado al fútbol. Cada día sigue las noticias de su equipo favorito en distintos sitios, desde los oficiales hasta los más pequeños. Probablemente es el momento del día que más disfruta, ¿pero lo será siempre? Durante una navegación, Marco se siente atraído por un enlace con una noticia sensacional sobre su equipo. Entusiasmado, hace clic y no ocurre nada. “Será un problema del sitio”, piensa. Pero no. Pocos días después Marco recibe un correo con una foto suya en pijama y un mensaje: “Tengo muchas fotos como esta, puedo espiarte, pero si me pagas dejaré de hacerlo”.(Los ataques de Clickjacking pueden permitir acceder a la webcam y al micrófono modificando la configuración del software Adobe Flash)
Wikipedia dice: durante una navegación web normal, el usuario hace clic con el puntero del ratón sobre un objeto, por ejemplo un enlace, pero en realidad su clic es redirigido, sin que lo sepa, hacia otro objeto. Normalmente la vulnerabilidad explota Javascript o Iframe.
Pharming: ¿sitio original o página web creada ad hoc?
Giuseppe pasa muchas horas frente al PC, sobre todo en redes sociales. Le gusta compartir enlaces, mirar fotos de amigos, comentar la página fan de su cantante favorito y chatear con su pareja. Lástima que Giuseppe tenga solo 14 años y sea algo ingenuo. Mientras navega, en su navegador se abre una página que parece la home de Facebook, pero no es Facebook. Giuseppe introduce sus datos e inicia sesión: en un instante el hacker de turno posee usuario y contraseña de la cuenta y, entrando en ella, crea situaciones muy embarazosas...Wikipedia dice: Pharming es una técnica de cracking usada para obtener acceso a información personal y reservada con distintos fines. Gracias a esta técnica, el usuario es engañado y llevado a revelar sin saberlo a desconocidos sus datos sensibles, como número de cuenta, usuario, contraseña, número de tarjeta de crédito, etc.
Pishing: picar como peces en la trampa del hacker
Giovanni trabaja como enfermero en el hospital de su ciudad. Su sueño siempre fue ayudar a la gente, curarla, sostenerla en momentos de necesidad. Sus jornadas son tan intensas que, al volver a casa, solo quiere tumbarse y revisar tranquilamente sus correos. Una noche llega un correo de Correos: “Estamos verificando la seguridad de las cuentas de nuestros clientes, introduzca aquí sus datos de acceso y comprobaremos si su cuenta es segura”. El cansancio y las preocupaciones no le permiten ver la grave estafa. Introduce los datos y su cuenta desaparece en muy poco tiempo.Wikipedia dice: se trata de una actividad ilegal que explota una técnica de ingeniería social. Mediante el envío aleatorio de correos que imitan la gráfica de sitios bancarios o postales, un atacante intenta obtener de las víctimas la contraseña de acceso a la cuenta, las claves que autorizan pagos o el número de tarjeta de crédito.
Moraleja
Marco deberá instalar un navegador actualizado para no caer de nuevo en la misma estafa. Conviene recordar: “Nunca aceptar caramelos de desconocidos”.Giuseppe deberá conseguir un buen antivirus y controlar cada sitio donde introduce datos personales. Giovanni tendrá que aprender que bancos y entidades serias no piden contraseñas por email. Para todos, la regla es la misma: desconfiar, verificar y mantener los sistemas actualizados.
¿Quieres saber qué tan expuesto está tu sitio?
EasyAudit WEB verifica sitios, portales y e-commerce con una auditoría externa profesional pensada para PYMEs.