Odgadywanie cudzych haseł? A może automatycznie wrzucanie postów na oś czasu wszystkich znajomych? Wystarczy, że wkleisz jeden niewinny skrypt JS, a on włączy niedostępne na co dzień funkcje. A przy okazji jeszcze kilka innych.
Od około miesiąca Facebooka obiega nowy rodzaj ataku socjotechnicznego, wymagającego od użytkownika korzystania z Google Chrome oraz wklejenia i uruchomienia odpowiednio spreparowanego skryptu JS. Jak na razie nie widzieliśmy wersji polskojęzycznej, ale pewnie jest to tylko kwestia czasu.
Atrakcyjna oferta
Jak wiadomo dobry atak socjotechniczny powinien zacząć się atrakcyjną przynętą. W tym wypadku na osi czasu naszych znajomych pojawia się informacja o nowych funkcjach Facebooka. Oprócz klasycznego „zobacz hasło swoich znajomych” mamy także cały pakiet skryptów rozszerzających pakiet możliwości serwisu.
AUTO POST TIMELINE/WALL 2014 AUTO POST IN ALL GROUP 2014 AUTO PAGE INVITER 2014 AUTO TAG/MENTION 2014 ANONYMOUS THEME FACEBOOK 2014 AUTO POST TIMELINE/WALL 2014 AUTO SUGGEST/FOLLOW 2014
„Wyrafinowana” metoda
Zamiast prostego „kliknij tutaj a wszystko będzie dobrze” od ofiary wymagana jest dość zaawansowana interakcja (choć instrukcja jest bardzo prosta). Najczęściej polecania wyglądają tak:
Get The Code Open/Click Link : --------------------------------------------- http://pastebin.com/raw.php?i=Z7ctnVB6 ( Ctrl a ) ( Ctrl c ) --------------------------------------------- open | https://www.facebook.com/ | F12 ConsoleBox or Ctrl+Shift+J ConsoleBox . Paste All The Code ( Ctrl v ) . Enter . DONE.
Banalne, prawda? Skrypt po wykonaniu wyświetla nawet okna sugerujące, że faktycznie działa zgodnie z oczekiwaniem.
Skrypt udaje, ze działa
Czasem także instrukcje, jak uruchomić skrypt, przekazywane są w wersji wideo dla opornych.
Naszym Czytelnikom nie musimy tłumaczyć, ze wykonywanie nieznanego kodu JS we własnej przeglądarce z zalogowaną sesją Facebooka raczej nie skończy się dobrze, ale wygląda na to, ze sporo osób się na to łapie. Poniżej przykład dzisiejszego ataku, który skusił prawie 50 tysięcy osób.
Ponad 47 tysięcy ofiar ataku
Co tak naprawdę robi skrypt
To oczywiście zależy tylko od inwencji jego autorów. W przypadkach, które analizowaliśmy, wklejane skrypty wykonywały następujące operacje w imieniu zalogowanego użytkownika:
- polubienia wielu stron
- publikowanie treści ataku na własnej osi czasu
- wymienianie w komentarzu do wpisu po kolei wszystkich swoich znajomych
- zapraszanie znajomych do polubienia stron i profili
Po sieci krąży wiele wersji wklejanego skryptu – oto linki do niektórych przykładów: 1, 2, 3, 4, 5, 6. Niektóre z nich są intensywnie zaciemnione, by ukryć prawdziwą treść, inne w kodzie zawierają widoczne polecenia.
Co robić po fakcie?
Jeśli ktoś uruchomił skrypt, to pozostaje pogratulować atakującym pomysłu a sobie nierozwagi, usunąć nieznane „lajki” i przeprosić zaspamowanych znajomych. My czekamy z niecierpliwością na polskojęzyczną wersję ataku.
Dziękujemy Piotrowi za wskazanie tematu.
Komentarze
ej robiłem filmik jak zrobić taki atak (z naciskiem jak nie dać sie nabrać) to mi YT zablokowało:(
No to już wiesz kto stoi za atakami ;)
…będzie, będzie się działo :D
Script Kiddes ;)
ehhhh mordoksiążka rządzi :)
„Script Kiddes ;)” – czy na pewno? ja bym prędzej powiedział „dzieci we mgle” lolz.
Znalazlem cos takiego. Nie znam sie na skryptach ale wydaje mi sie ze niegrozne ;]
Nie chce wam się klikać na każdą osobę oddzielnie? Można to zrobić w 3 minuty. Kliknij „Zaproś znajomych” i przewiń listę do samego dołu. Następnie w zależności od przeglądarki użyj kombinacji klawiszy:
a) CTRL+SHIFT+J (Chrome)
b) CTRL+SHIFT+K (FireFox)
W dolnej części okna przeglądarki ukaże się okno, do którego należy wkleić poniższy kod:
javascript:elms=document.getElementsByName(„checkableitems[]”);for (i=0;i<elms.length;i++){if (elms[i].type="checkbox" )elms[i].click()};
Po wklejeniu kodu naciśnij [Enter] i poczekaj aż wszyscy Twoi znajomi zostaną zaznaczeni.
Zródło:
https://www.facebook.com/events/701660176545082/