Lamentablemente, la cosa no es tan sencilla: con una variación de una técnica de ataque conocida, es posible acceder a todos los datos de la cuenta de Facebook de cualquier usuario, sin conocer la contraseña!
Como siempre, debe haber un engaño de por medio, que le permita al atacante acceder a su información personal y la de sus contactos, pero lo novedoso de esta técnica es que el tipo de engaño necesario es sorprendentemente fácil de conseguir.
El nombre que recibe esta técnica es "cross-site identification" o CSID, y se trata de generar, en primer lugar, que Ud. ingrese a un sitio elegido por el atacante mientras que está logueado en Facebook (o cualquiera de las otras redes sociales que son vulnerables, como por ejemplo Orkut).
De esta manera, el atacante aprovecha que ud. ya había ingresado la contraseña, para engañar a la red social y solicitar el envío de información como si ud. mismo lo estuviera haciendo.
Por supuesto, en ningún momento durante el ataque es posible detectar esta actividad, y lamentablemente esta operación no deja rastros.
En cuanto al sitio necesario para el engaño, es necesario que genere una motivación para que el usuario acceda a hacer click en algún link o una imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el hacker, sino que se puede utilizar un sitio legítimo para realizar el ataque.
¿Qué se puede hacer para evitar caer en esta nueva técnica? Bueno, lo cierto es que la mayor de las posibilidades de evitar un ataque de cross-site identification recae en los sitios de las redes sociales, ya sea mejorando el diseño de sus interfases, aumentando la seguridad de las aplicaciones, y fortaleciendo las políticas de entrega de datos personales de los usuarios.
Sin embargo, podemos citar 5 recomendaciones que siempre es necesario tener en cuenta, y que pueden ayudar a protegerse también de este tipo de ataque:
· En las redes sociales, acepte invitaciones solamente de gente conocida.
· Configure siempre las preferencias de seguridad y privacidad de su perfil; puede tomar algo de tiempo, pero realmente vale la pena para protegerse!
· Utilice aplicaciones en las redes sociales solamente cuando conozca el origen, es decir, quién es el autor o la empresa que la distribuye, y qué hace exactamente.
· Al otorgar acceso a sus datos personales, tanto a una aplicación como a la red social en sí, evalúe las consecuencias potenciales de la decisión; la recomendación es probar primero denegar accesos, y habilitarlos si comprueba que son necesarios.
· No habilite las opciones que le permiten mantenerlo logueado durante mucho tiempo en un sitio; es preferible ingresar la contraseña varias veces; generalmente, esta opción se presenta como "no cerrar mi sesión", "mantenerme logueado", "keep my session alive" o algo por el estilo.
· Cuando deje de utilizar una página que requiere de una contraseña (ya sea una red social, su correo o el home-banking), siempre asegúrese de desconectarse; típicamente, existe una opción llamada "sign out", "log out", "salir" o similares.
No hay comentarios:
Publicar un comentario