Recientemente hemos analizado en nuestro Laboratorio de Investigación de ESET Latinoamérica evidencias que relacionan esta inusual forma de ataque utilizando Ingeniería Social en Facebook, una de las redes sociales más populares. Veamos cómo funciona.
Se denomina Cross-site Request Forgery y se trata de un tipo de ataque que se vale de una sesión autenticada a un sitio web para lograr que el usuario lleve a cabo acciones indeseadas. No es un tipo de ataque habitual, y además es muy complicado de rastrear, ya que las acciones son literalmente llevadas a cabo por un usuario común. Recientemente hemos analizado muestras que presentan este tipo de amenaza en la popular red social.
Todo comienza cuando un usuario cualquiera es etiquetado en una notificación como la siguiente:
La publicación alega que ejecutando un script en la consola del navegador podremos obtener la contraseña de quien deseemos, pero no es así. La parte visible del script en la imagen sólo tiene la función de abrir un reproductor de audio utilizando un conocido servicio de streaming. El resto se encuentra completamente ofuscado, y presenta algo completamente distinto: elpayload del ataque. En él también se evidencian acciones de viralización.En la siguiente imagen se puede apreciar una parte del código ofuscado, así como también la capacidad de viralización de la amenaza:
Ahora, ¿qué sucede si ejecutamos el script que nos presentan? Aquí es donde la ingeniería social logrará su cometido, y de esta forma un usuario real autenticado en un sitio real llevará a cabo las acciones que el atacante desee. En la siguiente captura podemos observar la vista de actividad reciente de un perfil de Facebook antes de caer en la trampa:
Ahora, si ejecutamos el script, veremos que la situación cambiará:
Vemos entonces que en este caso el script presenta acciones de Black Hat SEO, intentado aumentar la difusión de una página de Facebook. En este punto es importante aclarar que esta modalidad no solamente puede ser utilizada para obtener resultados como el anterior, ya que puede esconder funcionalidad más compleja, que también puede pasar completamente desapercibida por el usuario que ejecuta el script.
Si bien las técnicas de Black Hat SEO pueden lograr reconocimiento y difusión a corto plazo (como vemos que sucedió con el sitio en cuestión en la captura siguiente), su utilización suele estar penada. Tal es el caso de Google, que puede hasta llegar a borrar de sus resultados de búsqueda a los sitios que detecte que utilicen tales prácticas.
Como Facebook es una de las redes sociales más populares de la actualidad, los cibercriminales utilizan Ingeniería social para llevar a cabo sus campañas, debido a su fácil implementación y gran alcance. Por eso, es importante utilizar dichas redes sociales con cuidado, siendo criteriosos al analizar la información presentada, para así no ser víctima de ataques como este.