Likejacking: Secuestro de “Me gusta”, nueva forma de propagación en Facebook

Al momento de seguir el enlace, se cargó, en otra ventana, un sitio en el cual había una imagen que representaba un video de Youtube antes de ser reproducido, con el título, precisamente, Dad walks in on daughter... EMBARRASING!!

Lo interesante y precisamente de lo que se trata este tipo de ataque, es que cuando el usuario trata de reproducir el video, dando clic, ya sea en el “botón” central o en aquel situado en la esquina inferior izquierda de la imagen, lo que está realmente haciendo, es dar clic en un botón de “Me gusta” integrado en la página y escondido detrás de la imagen.

Como resultado, en el perfil del usuario, aparece precisamente la acción que realizó, al “gustarle” la página maliciosa. Es así como se propaga este ataque, ya que cualquiera de nuestros “amigos” pueden ver el mensaje y si son lo suficientemente curiosos, van a caer en el mismo engaño. Lo más recomendable, es eliminar la publicación cuanto antes.

Y en la página maliciosa, aparece una ventana en la cual se pide completar una supuesta encuesta para verificar la edad de la persona que intenta ver el “video”.

Si se da clic en cualquiera de los enlaces, somos redirigidos a un sitio que nos pide ingresar nuestro número de celular y obtener una contraseña que nos permitirá obtener aquello que se publicitaba en el enlace. En este caso, nosotros dimos clic en el que hace referencia a los tonos de llamada.

Esta técnica, no es nueva, está basada en lo que se conoce como “secuestro de clic”, clickjacking o UI redressing (corrección de la interfaz de usuario) en la cual el atacante, de alguna manera, genera una capa visual falsa sobre una página web existente, para que únicamente cambie la forma en que el usuario aprecie la página y su comportamiento o funcionalidad se mantiene sin alteración.

En nuestro ejemplo, la capa visual, es decir, con la que el usuario interactúa (o cree interactuar), es lo que parece ser un video de Youtube sin reproducir, mientras que la página real, o digamos, la capa inferior o la que el usuario no ve directamente, es la que contiene los botones de “Me gusta” y es con la que el usuario realmente está interactuando, aunque no conscientemente.

A continuación, mostramos la “capa inferior”, es decir, la que contiene los botones de “Me gusta”:

En los botones, se puede apreciar que el conteo de personas a las que les “gusta” el contenido, ascendía en ese momento, eran de 251. En la primera imagen de este blog, se aprecia que ese número ha incrementado hasta las 326 personas, que fue el conteo que se tenía hasta el momento de publicar este reporte.

Por último, al revisar el código fuente de la página, encontramos que el creador está utilizando el API de desarrollo creado por Facebook para crear interactuar con su interfaz. El día 18 de febrero publicamos un reporte que explica a grandes rasgos, este aspecto. 

En el caso de la página del supuesto video, el creador está usando el método para manejar eventos llamado FB.Event.subscribe, a través del evento global edge.create, el cual es desencadenado cuando al usuario “Le gusta” algo y es usado a través de la etiqueta fb:like. Precisamente, cuando el usuario realiza la acción anterior (inconscientemente), es cuando se publica en el muro del usuario el mensaje para la propagación.

Aunque estos ataques podrían considerarse poco peligrosos, realmente el impacto que llegan a tener es bastante, porque afectan a una gran cantidad de usuarios y el beneficio económico para los creadores, puede ascender a los miles de dólares.

Es importante tomar en cuenta que si se llega a ser víctima de este tipo de engaños, no se haga clic en los enlaces de las “encuestas”, se borre inmediatamente el mensaje que se llegue a publicar en el muro y se denuncie la página o la aplicación.