No lea este post

El último viernes, los usuarios de la popular red social  Twitter fueron víctimas de un ingenioso ataque de Ingeniería Social.

Para resumirlo, lo que pasó fue una persona divirtiéndose a costa del resto. Explicado por el autor en su blog: “Algo divertido fue lo que probé ayer con mis seguidores de Twitter… ¡El Twitter-Jacking! O mejor dicho, cómo escribir en el Twitter de otra persona, ¡lo que  tu quieras!“.

Básicamente la técnica consistió en colocar una entrada en Twitter con el siguiente texto: “Don’t Click: http://tinyurl.com/[eliminado]” (en castellano, “No haga clic: http://tinyurl.com/[eliminado]”). Utilizando la técnica de Clickjacking, el autor publicó una entrada en su cuenta y, si el usuario (uno de sus seguidores) hacía clic en el enlace, automáticamente se publicaba en la cuenta de la víctima una entrada promocionando el blog personal del autor.

Es decir que cada usuario ahora tenía una nueva entrada promocionado el enlace, por lo que el mismo se propagagó como pólvora en pocos minutos. En la imagen se puede observar cuánta gente no resistió la tentación del enlace “No haga clic“:

Twitter-Jacking

El texto que se insertaba automáticamente promocionaba el sitio web del autor: “Busque en www.korben.info! @ Korben gracias!” (originalmente en francés). Cabe aclarar que la vulnerabilidad ya fue solucionada por Twitter para que no se repita esta situación, al menos de esta forma.

Para suerte de todas las víctimas, los fines de quien propagó la idea no eran dañinos para el usuario o su privacidad, pero esta misma técnica puede ser utilizada con acciones maliciosas y peligrosas para los usuarios.

Como le diría un padre a su hijo, “no es no“. Si un link dice “no haga clic aquí” puede deberse a dos motivos: a que el enlace es peligroso y la persona que lo escribió realmente no quiere que uno entre o, que quien lo escribió realmente desea tentar al usuario. En cualquiera de los dos casos, es recomendable no hacer clic en estos enlaces.

Además de tener cuidado con los clics que realizan por la web, los usuarios pueden leer los métodos de prevención que publicó ESET Latinoamérica cuando se descubrió la amenaza del Clickjacking, en Octubre del año pasado.

Sebastián

Autor , ESET

Síguenos