Pesquisar

19 de fev de 2009

Twitter bloqueia o golpe “Don’t Click”.

Alguns usuários se surpreenderam com posts estranhos em alguns perfis que eles seguiam, que continham links antecedidos da expressão “Don’t Click”, o que produzia uma intensa curiosidade de clicá-los. Tais links poderiam conter direcionamentos a sites maliciosos que se utilizam da técnica de clickjacking.


A forma clássica deste golpe induz o internauta a clicar em coisas que jamais clicaria, mas que o faz porque os botões são invisíveis e estão num nível acima da página verdadeira. O usuário pensa que está clicando nos botões visíveis, “avança”, “cancela”, “retorna”, “ok”, etc., quando na realidade, está comandando a instalação de códigos maliciosos.

A Wikipédia define o golpe de clickjacking como uma vulnerabilidade presente em vários browsers e plataformas (Java - Sun, Flash - Adobe, ActiveX - Microsoft), que permite que os cibercriminosos inoculem um código malicioso que é disparado sem o consentimento do usuário, tal como um simples clicar de botão que produz ações inesperadas. Uma destas ações pode ser o aparecimento de postagens estranhas no perfil do usuário, que não foram escritas pelo próprio usuário e que vão induzir outros twitters a clicar nos links dos novos posts “Don’t Click”, formando assim um círculo vicioso de crescimento geométrico.

Felizmente, o maior dano deste ataque de clickjacking no Twitter se limitou à reprodução em massa dos twitts do tipo “don’t click”, já que o link gerava automaticamente um post no perfil do usuário, pois o script no link tratava-se de um iframe com o seguinte código:
“iframe src="http://twitter.com/home?status=Don't Click: http://tinyurl...”

A aparente inofensividade inicial deste golpe de clickjacking poderia ter redundado ações mais danosas, se os administradores do Twitter não tivessem tomado medidas mais enérgicas, além de ter avisado aos twitters que não clicassem nos links dos posts que continham a expressão “Don’t Click”

Segundo o comunicado publicado no blog do Twitter, eles conseguiram bloquear este golpe de clickjacking no dia 12/09/2009. O grande dano, à primeira vista, causado à rede do Twitter foi a proliferação de posts redundantes que oneraram inutilmente a capacidade dos servidores, que em última análise são crimes ambientais por exaurirem a capacidade dos computadores na realização de tarefas nulas.

Fontes:
Blog do Twitter.
Twitter Don't Click Exploit.
Definição de Clickjacking na Wikipédia.

Nenhum comentário:

Postar um comentário