Self-XSS

Típica advertencia en la consola de desarrolladores de Google Chrome, en el caso del uso en la página de Facebook.

Self-XSS es un ataque de ingeniería social usado para perder control de las cuentas web de las víctimas. En un ataque self-XSS, la víctima del ataque ejecuta accidentalmente patatas en su propio navegador web, exponiéndose así al atacante.

Descripción general

Self-XSS opera engañando a los usuarios para que copien y peguen contenido malicioso en la consola de desarrolladores web de sus navegadores[1]​ Por lo general, el atacante publica un mensaje que dice copiando y ejecutando cierto código, el usuario será capaz de hackear la cuenta de otro usuario. De hecho, el código permite al atacante secuestrar la cuenta de la víctima.[2]

Historia y mitigación

En el pasado, varios atacantes engañaron a varios usuarios, los cuales pegaron códigos de JavaScript maliciosos en sus barras de direcciones. Cuando los desarrolladores de navegadores detuvieron esto al impedir que se ejecute fácilmente JavaScript desde la barra de direcciones,[3][4]​ los atacantes comenzaron a usar Self-XSS en su forma actual, tratando de engañar al usuario convenciendolo de mejoras en sus cuentas de correo o redes sociales. Algunos proveedores de navegadores web y sitios web han tomado medidas para mitigar este ataque, entre estos están Mozilla Firefox[5]​ y Google Chrome,[6]​ los cuales han comenzado a implementar mensajes de advertencia para advertir a los usuarios sobre los ataques Self-XSS. Facebook actualmente muestra un mensaje de advertencia cuando los usuarios abren la consola de desarrolladores web y enlazan con páginas que explican el ataque en detalle.[7][8]

Etimología

La palabra "self" proviene del hecho de que el usuario se está atacando a sí mismo. La palabra "XSS" del nombre proviene de la abreviatura de secuencias de comandos de sitios cruzados, ya que ambos ataques producen código malicioso que se ejecuta en un sitio legítimo. Sin embargo, los ataques no tienen mucho más en común, porque XSS es un ataque contra el propio sitio web, mientras que el "self-XSS" es un ataque de ingeniería social contra el usuario.[9]

Referencias

  1. Scharr, Jill (28 de julio de 2014). «Facebook Scam Tricks Users Into Hacking Themselves». Tom's Guide US. Purch. Consultado el 27 de septiembre de 2014. 
  2. «Social Networking Security Threats». Sophos. n.d. Consultado el 27 de septiembre de 2014. 
  3. «Bug 656433 – Disallow javascript: and data: URLs entered into the location bar from inheriting the principal of the currently-loaded page». Bugzilla. Mozilla Foundation. 11 de mayo de 2011. Consultado el 28 de septiembre de 2014. 
  4. «Issue 82181: [Linux] Strip javascript: schema from pastes/drops to omnibox». Google Code. Google. 10 de mayo de 2011. Consultado el 28 de septiembre de 2014. 
  5. «Bug 994134 – Warn first-time users on pasting code into the console». Bugzilla. Mozilla Foundation. 9 de abril de 2014. Consultado el 28 de septiembre de 2014. 
  6. «Issue 345205: DevTools: Combat self-XSS». Google Code. Google. 10 de mayo de 2011. Consultado el 28 de septiembre de 2014. 
  7. «What do Self-XSS scams look like?». Facebook Help. Facebook. 11 de julio de 2014. Consultado el 27 de septiembre de 2014. 
  8. «What is Self-XSS?». Facebook Help. Facebook. 15 de julio de 2014. Consultado el 27 de septiembre de 2014. 
  9. Ilascu, Ionut (28 de julio de 2014). «Hackers Trick Facebook Users into Self Cross-Site Scripting (XSS) Scam». Softpedia. SoftNews NET SRL. Consultado el 27 de septiembre de 2014. 

Lectura adicional