Ocultando URLs con JavaScript
No se si muchos lo habrán notado, pero uno suele confiar en las urls que aparecen en la barra de estado del navegador cuando colocamos el mouse sobre un link. Bueno, esto no debería ser así!

Hace ya bastante tiempo que observo que si hacemos mouse over sobre los resultados devueltos por google, vemos la dirección real de la página a la que hace referencia. Esto me puso a pensar... google mantiene muchas estadísticas de los usuarios, así que si colocan directamente la dirección de una página en sus resultados, ellos no tienen forma de darse cuenta si clickeamos un link o no... debe haber algo detrás!
Bien, hoy ya no pude más con la incertidumbre, así que le di un vistazo al código de la página y encontré la verdad oculta. Esto me dio pie para explicar algunas formas simples de ocultar el destino real de un link y engañar al usuario.

Hay algunas formas de ocultar la URLs para engañar al usuario... la más simple es escribir una dirección de url entre tags <a></a> (osea, lo que se ve en el browser), pero hacer que el puntero apunte a otra dirección. Por ejemplo si tenemos el siguiente link <A HREF="http://tehackeo.com">http://www.google.com</A> el usuario verá en el browser la dirección http://www.google.com, pero el enlace realmente apunta a http://tehackeo.com. Esto es un engaño bastante simple y usado incluso en los e-mails falsos, y puede despistar a los más básicos. Si colocamos el mouse sobre el link, en la barra de estado veremos la dirección real del link.

Algo que se podía hacer hace algún tiempo, era modificar desde Java Script lo que el browser muestra en el status bar, usando la propiedad window.status. Por suerte en los browsers modernos removieron esta facilidad. En firefox si miran en about:config veran que la propiedad dom.disable_window_status_change está en true, osea, que no podemos modificar el valor de la barra de estado.

Otra forma para ocultar la url real usando Java Script, es hacer no solo que el link falso aparezca en el cuerpo de la página, sino también en la barra de estado del browser y además en el código html! De esta forma, podemos lograr un mejor efecto, haciendo creer al usuario que accede a donde cree, mientras lo redirigimos a donde queremos =D

La forma en que google resuelve esto es bastante simple, utilizar la función de JS onMouseDown para reescribir la url justo en el momento en que el usuario hace click y lograr que el resultado sea un acceso a google y no a la página real... mágico?... no, bastante simple pero efectivo. De esta forma, no sólo la dirección aparecerá en el status bar, sino que también aparecerá en el código html!, y tendremos que revisar una función de Java Script bastante codificada para entender el resultado final.
Para que se den una idea, ustedes pueden utilizar un código como el siguiente:
<A HREF="http://www.google.com" onMouseDown="return codifica(this);">http://www.google.com<A>
<SCRIPT>
function codifica(link)
{
link.href="http://tehackeo.com";
link.onmousedown = "";
return true;
}
</SCRIPT>
Con ese sencillo código despistaremos hasta a los usuarios avanzados que no se tomaron el tiempo de analizar el código HTML... y es lo que suele pasar. Imaginense, uno no se la pasa mirando el código HTML de todas las páginas que visita para saber si las URLs que sigue son válidas o no. Pero el problema es que podemos terminar en una página con cualquier tipo de malware, cuando en realidad capaz queríamos ver la página de un amigo! =P

Más allá del uso maligno de este código, también nos sirve para demostrar que Google nos observa constantemente... estén alerta =P

0 comentarios:

Publicar un comentario