Nuevos ataques de ingeniería social en Facebook
Y consiguen que les muestren códigos de seguridad secretos. Este nuevo ataque utiliza la ingeniería social para conseguir tokens anti-CSRF.
Nuevos ataques de ingeniería social están engañando a los usuarios de Facebook para que expongan tokens anti-CSRF asociados a sus cuentas. Estos códigos de seguridad permiten a los atacantes realizar peticiones no autorizadas a través del navegador de la víctima.
CSRF (Cross-site request forgery) es una técnica de ataque que abusa de la relación de confianza que se establece entre páginas web y usuarios autentificados. Debido al modo en que funciona la Web, una página puede, teóricamente, forzar al navegador de un visitante a emitir una solicitud a una página de terceros, donde el usuario es autentificado, por lo tanto, haciéndose con su sesión activa. Para prevenir que esto ocurra, las páginas web incluyen códigos de autorización únicos conocidos como tokens anti-CSRF.
Sin embargo, los investigadores de seguridad de Symantec han detectado un nuevo tipo de ataque en Facebook en el que las víctimas son engañadas para que manejen esos tokens manualmente llevándoles hasta un proceso de verificación falso.
Las estafas comienzan con mensajes de spam que promueven interesantes vídeos que son publicados en los muros de la red social. Los mensajes contienen enlaces a páginas de terceros que imitan YouTube. Cuando llegan a estas páginas de ataque, se solicita a las víctimas, con “pícaros” diálogos, que les den las instrucciones necesarias para que peguen el código generado aleatoriamente alegando que se ha generado por un mecanismo antispam.
En realidad, esta pieza de código se obtiene haciendo una petición a un script de Facebook que contiene el token anti-CSRF asignado por la página web de la red social al usuario. Por lo tanto, al pegarlo en el cuadro de diálogo, se da al atacante todo lo que necesita para realizar solicitudes autorizadas en nombre de la víctima. En el ejemplo mostrado por Symantec, el token fue utilizado para propagar la estafa publicando el mensaje de spam original en el muro del usuario.
Este truco de ingeniería social es similar a lo que se solía conocer como ataque XSS, que implicaba que los usuarios pegaran código JavaScript en la barra de direcciones de su navegador. No está claro porqué los atacantes han adoptado el método CSRF, puesto que ambos ataques son bastante difíciles de eliminar. En cualquier caso, podría tener algo que ver con el hecho de que Facebook ha implementado nuevos mecanismos de seguridad este año para detectar y autobloquear XSS. 
Según Symantec, el gigante de las redes sociales ha afirmado estar trabajando con los desarrolladores de navegadores para conseguir solucionar estos ataques y que está monitorizando constantemente cuentas buscando comportamientos sospechosos.
“Los atacantes están utilizando algunas técnicas de ingeniería social realmente innovadoras para engañar a sus víctimas. Aconsejamos a los usuarios que mantengan su software de seguridad actualizado y que no hagan clic en ningún link que pueda parecerles sospechoso”, avisan desde Symantec.
Noticias relacionadas
El 40 por ciento de los usuarios se siente inseguro cuando utiliza Facebook
Un ataque en Facebook utiliza publicidad maliciosa sin intervención del usuario
El phishing llega a Facebook
Facebook refuerza la protección contra malware
