02.02.2014 | 22:53

Adam Haertle

Zaatakuj siebie sam, czyli nowy rodzaj ataku na użytkowników Facebooka

Odgadywanie cudzych haseł? A może automatycznie wrzucanie postów na oś czasu wszystkich znajomych? Wystarczy, że wkleisz jeden niewinny skrypt JS, a on włączy niedostępne na co dzień funkcje. A przy okazji jeszcze kilka innych.

Od około miesiąca Facebooka obiega nowy rodzaj ataku socjotechnicznego, wymagającego od użytkownika korzystania z Google Chrome oraz wklejenia i uruchomienia odpowiednio spreparowanego skryptu JS. Jak na razie nie widzieliśmy wersji polskojęzycznej, ale pewnie jest to tylko kwestia czasu.

Atrakcyjna oferta

Jak wiadomo dobry atak socjotechniczny powinien zacząć się atrakcyjną przynętą. W tym wypadku na osi czasu naszych znajomych pojawia się informacja o nowych funkcjach Facebooka. Oprócz klasycznego „zobacz hasło swoich znajomych” mamy także cały pakiet skryptów rozszerzających pakiet możliwości serwisu.

AUTO POST TIMELINE/WALL 2014
AUTO POST IN ALL GROUP 2014
AUTO PAGE INVITER 2014
AUTO TAG/MENTION 2014
ANONYMOUS THEME FACEBOOK 2014
AUTO POST TIMELINE/WALL 2014
AUTO SUGGEST/FOLLOW 2014

„Wyrafinowana” metoda

Zamiast prostego „kliknij tutaj a wszystko będzie dobrze” od ofiary wymagana jest dość zaawansowana interakcja (choć instrukcja jest bardzo prosta). Najczęściej polecania wyglądają tak:

Get The Code Open/Click Link :
---------------------------------------------
http://pastebin.com/raw.php?i=Z7ctnVB6
( Ctrl a ) 
( Ctrl c )
---------------------------------------------
open | https://www.facebook.com/ |
F12 ConsoleBox or Ctrl+Shift+J ConsoleBox .
Paste All The Code ( Ctrl v ) .
Enter . DONE.

Banalne, prawda? Skrypt po wykonaniu wyświetla nawet okna sugerujące, że faktycznie działa zgodnie z oczekiwaniem.

Skrypt udaje, ze działa

Skrypt udaje, ze działa

Czasem także instrukcje, jak uruchomić skrypt, przekazywane są w wersji wideo dla opornych.

Naszym Czytelnikom nie musimy tłumaczyć, ze wykonywanie nieznanego kodu JS we własnej przeglądarce z zalogowaną sesją Facebooka raczej nie skończy się dobrze, ale wygląda na to, ze sporo osób się na to łapie. Poniżej przykład dzisiejszego ataku, który skusił prawie 50 tysięcy osób.

Ponad 47 tysięcy ofiar ataku

Ponad 47 tysięcy ofiar ataku

Co tak naprawdę robi skrypt

To oczywiście zależy tylko od inwencji jego autorów. W przypadkach, które analizowaliśmy, wklejane skrypty wykonywały następujące operacje w imieniu zalogowanego użytkownika:

  • polubienia wielu stron
  • publikowanie treści ataku na własnej osi czasu
  • wymienianie w komentarzu do wpisu po kolei wszystkich swoich znajomych
  • zapraszanie znajomych do polubienia stron i profili

Po sieci krąży wiele wersji wklejanego skryptu – oto linki do niektórych przykładów: 1, 2, 3, 4, 5, 6. Niektóre z nich są intensywnie zaciemnione, by ukryć prawdziwą treść, inne w kodzie zawierają widoczne polecenia.

Co robić po fakcie?

Jeśli ktoś uruchomił skrypt, to pozostaje pogratulować atakującym pomysłu a sobie nierozwagi, usunąć nieznane „lajki” i przeprosić zaspamowanych znajomych. My czekamy z niecierpliwością na polskojęzyczną wersję ataku.

Dziękujemy Piotrowi za wskazanie tematu.

Powrót

Komentarze

  • 2014.02.02 23:26 wytrzeszcz

    ej robiłem filmik jak zrobić taki atak (z naciskiem jak nie dać sie nabrać) to mi YT zablokowało:(

    Odpowiedz
    • 2014.02.04 09:25 steppe

      No to już wiesz kto stoi za atakami ;)

      Odpowiedz
  • 2014.02.03 11:55 Tomek

    …będzie, będzie się działo :D

    Odpowiedz
    • 2014.02.03 17:17 Sivin

      Script Kiddes ;)

      Odpowiedz
  • 2014.02.03 23:08 m

    ehhhh mordoksiążka rządzi :)
    „Script Kiddes ;)” – czy na pewno? ja bym prędzej powiedział „dzieci we mgle” lolz.

    Odpowiedz
  • 2014.02.08 11:22 Tomasz

    Znalazlem cos takiego. Nie znam sie na skryptach ale wydaje mi sie ze niegrozne ;]

    Nie chce wam się klikać na każdą osobę oddzielnie? Można to zrobić w 3 minuty. Kliknij „Zaproś znajomych” i przewiń listę do samego dołu. Następnie w zależności od przeglądarki użyj kombinacji klawiszy:
    a) CTRL+SHIFT+J (Chrome)
    b) CTRL+SHIFT+K (FireFox)

    W dolnej części okna przeglądarki ukaże się okno, do którego należy wkleić poniższy kod:
    javascript:elms=document.getElementsByName(„checkableitems[]”);for (i=0;i<elms.length;i++){if (elms[i].type="checkbox" )elms[i].click()};

    Po wklejeniu kodu naciśnij [Enter] i poczekaj aż wszyscy Twoi znajomi zostaną zaznaczeni.

    Zródło:
    https://www.facebook.com/events/701660176545082/

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zaatakuj siebie sam, czyli nowy rodzaj ataku na użytkowników Facebooka

Komentarze