Los ataques de clic han evolucionado para aprovechar la acción del doble clic del ratón con el objetivo de engañar a las víctimas y eludir las protecciones de las páginas frente a este tipo de amenazas.
La manipulación de la interfaz de usuario en páginas web facilita el lanzamiento de los ataques de clic, que dependen de una web maliciosa para engañar a la víctima y conseguir que pinche sobre un elemento de la pantalla, bajo la promesa de ver un vídeo o recibir una recompensa.
Habitualmente, un cibercriminal aprovecha una web legítima para enmascarar una web creada con fines malintencionados y ocultar botones y enlaces que desencadenan acciones maliciosas, como la descarga de un 'malware' o el robo de una credencial en un sistema de autenticación multifactor.
Este tipo de ataque no es nuevo en el panorama de las ciberamenazas, y, de hecho, con el tiempo, los navegadores web han implementado medidas para identificar y proteger a los usuarios de los ataques de clic.
Sin embargo, este tipo de ataque ha evolucionado, como ha advertido el investigador de ciberseguridad Paulos Yibelo: ahora, en lugar de un clic, se aprovecha la secuencia de doble clic del ratón.
La premisa sigue siendo la misma: engañar a la víctima para que haga clic en un elemento de una web (un vídeo), que oculta un botón o un enlace que en realidad desencadena una acción maliciosa. Solo que en esta ocasión, abre una nueva pantalla, por ejemplo, con un captcha que solicita hacer doble clic para resolverlo.
Lo que ocurre, como explica el investigador, es que el ataque aprovecha el lapso que hay entre que comienza el primer clic y se completa el segundo para introducir un nuevo elemento malicioso, que es en el que finalmente caerá el último clic del usuario.
"Una de las cosas sorprendentes de hacerlo de esta manera es que no importa cómo de lento o de rápido sea el doble clic del objetivo. Favorecer el controlador de eventos mousedown permite explotar esto incluso para los dobles clics más rápidos o más lentos", apunta Yibelo en su blog.
Para este investigador, se trata de una amenaza importante, porque apenase exige nada del usuario (solo que haga doble clic), y no se limita a las páginas web, sino que esta técnica puede emplearse también en extensiones del navegador.
También apunta su capacidad para sortear las protecciones frente a los ataques de un solo clic, y advierte que cualquier web es vulnerable a esta amenaza.
Últimas Noticias
"Rechazo unánime" de la ultraperifería europea al nuevo marco financiero: "La UE vale menos si no están las RUP"
Representantes de regiones remotas exigen a Bruselas mantener políticas diferenciadas y vínculos directos, alertando sobre un retroceso de varias décadas si la Unión Europea no garantiza fondos y atención a sus realidades sociales y económicas singulares
Civitatis refuerza su presencia en Latinoamérica con una nueva red de hubs en México, Brasil y Argentina
La compañía avanza en la región al instalar centros operativos en tres ciudades clave, apostando por desarrollo acelerado, fortalecimiento de alianzas y una estructura regional encabezada por expertos locales, según destacó el CEO, Andrés Spitzer
España se desmarca de la misión de la UE para mantener abierto el estrecho de Ormuz que plantea Kallas
La ministra Margarita Robles confirmó que, pese a la invitación de la Unión Europea y la propuesta de Kaja Kallas, el gobierno español no contempla enviar fuerzas a la zona, reafirmando su enfoque en operaciones defensivas ya establecidas
Kazajistán aprueba con un 87,15% la reforma constitucional que otorga más poderes al presidente
La consulta celebrada en la nación centroasiática movilizó a más de nueve millones de personas, otorgando un respaldo abrumador a la iniciativa impulsada por Kasim Yomart Tokayev, quien destacó el resultado como "un logro común" para la sociedad
Una investigación sobre la práctica escénicas tras el 15M gana el Premio de Investigación de la Fundación SGAE
