Clickjacking + Facebook = Likejacking

En estos días tenía pensado escribir un poco sobre los peligros de las cookies que no expiran, así que para empezar el tema nada mejor que hacerlo con esta técnica bautizada como "Likejacking" (en referencia al botón "Like" de Facebook). El Likejacking ha sido carne de noticiario, saliendo en televisión y periódicos recientemente, por lo que me parece algo adecuado para entrar en materia.

El concepto es una combinación de un ataque de clickjacking (creo que ya publiqué algo por el blog en su momento) con los Social Plugins de FB. Se trata de que al clickar un video, o cualquier parte de una web, en realidad estemos clickando un botón de "Like" en forma de iframe invisible, por lo que aparecerá en nuestro muro como que "Nos gusta" esa web. Esto puede dar pie a que algún amigo nuestro también clicke sobre la web que supuestamente nos gusta, y también caiga en la trampa, extendiendose la plaga.

Normalmente se suelen identificar estos enlaces fraudulentos por que tienen nombres o descripciones bastante morbosos y que despiertan esa curiosidad innata en el hombre, de ahí el éxito de su extensión entre los amigos de una persona cuyo FB ha sido "infectado". En lo personal me recuerda a aquellos virus que se extendían vía MSN y que para clickar en el enlace ponían mensajes del tipo "Mira mis últimas fotos en la playa desnuda" y cosas al estilo.

Además del spam y la publicidad gratis que se puede conseguir con esta técnica, los creadores de malware lo están empleando para su distribución, con trucos tan viejos (y todavía efectivos) como hacer que el incauto visitante se descargue un plug-in (hete aquí el malware) para poder visualizar contenido.

El problema es tan generalizado debido a que un elevado número de usuarios de redes sociales por comodidad mantienen las sesiones abiertas a través de cookies que no expiran en vez de cerra sesión y loguearse otra vez cada vez que quieran hacer uso de FB. Amén de las personas que tienen el FB abierto durante todo el día.

El código para poner un "Like" en tu web es bastante simple, con un iframe similar a:

<iframe
src="http://www.facebook.com/plugins/like.php?href=Tu-sitio-web;layout=button_count&show_faces=true&width=100&action=like&font=arial&colorscheme=light"
scrolling="no" frameborder="0" allowTransparency="true" style="border:none; overflow:hidden; width:100px; height:px"></iframe>

Todos los parámetros se pueden modificar (en la propia web de Facebook explican cada uno en detalle). Con este iframe base se puede trabajar para dejarlo invisible (opacity: 0) y además colocarlo en algún punto clave donde el usuario vaya a clickar obligatoriamente. Por supuesto se puede ir más lejos, ofuscando el código por ejemplo.

Autor: The X-C3LL

Si, investigando un poco, encontré un usuario que usaba un video fake de youtube. El boton play (el negro con la flecha  blanca) tenia como resultado un like de facebook y lo usaba para sus propios fines.

Saludos!

preeguntalo en el sub foro de programacion web y te ayudamos:)

Primero y principal, si buscas pelear, tenes los MP.

Segundo, nadie te va a dar el código hecho, necesitas sirvientes? Andá y pagá por alguno en tu país.

Tercero, como se te ha dicho anteriormente, y de manera educada, investiga y luego pregunta en la sección correspondiente y se te dará una mano.

Saludos.

PD: xxx-zero-xxx? Que raro que no te hallan banneado. Nunca cambias.

Nadie se da cuenta o a nadie le importa, es todo un dilema

PD: buena info la del que comentaba, no la conocía, otra cosa funcionará con google+?

Con google + no funcionaria porque el +1 obtiene la dirección de la página actual :p necesitarias un xss en la página víctima

Hola, me gustaria que me ayudasen con un tema de estos en mi grupo de facebook. Puede ser, por favor?