Zaatakuj siebie sam, czyli nowy rodzaj ataku na użytkowników Facebooka

dodał 2 lutego 2014 o 22:53 w kategorii Socjo  z tagami:
Zaatakuj siebie sam, czyli nowy rodzaj ataku na użytkowników Facebooka

Odgadywanie cudzych haseł? A może automatycznie wrzucanie postów na oś czasu wszystkich znajomych? Wystarczy, że wkleisz jeden niewinny skrypt JS, a on włączy niedostępne na co dzień funkcje. A przy okazji jeszcze kilka innych.

Od około miesiąca Facebooka obiega nowy rodzaj ataku socjotechnicznego, wymagającego od użytkownika korzystania z Google Chrome oraz wklejenia i uruchomienia odpowiednio spreparowanego skryptu JS. Jak na razie nie widzieliśmy wersji polskojęzycznej, ale pewnie jest to tylko kwestia czasu.

Atrakcyjna oferta

Jak wiadomo dobry atak socjotechniczny powinien zacząć się atrakcyjną przynętą. W tym wypadku na osi czasu naszych znajomych pojawia się informacja o nowych funkcjach Facebooka. Oprócz klasycznego „zobacz hasło swoich znajomych” mamy także cały pakiet skryptów rozszerzających pakiet możliwości serwisu.

„Wyrafinowana” metoda

Zamiast prostego „kliknij tutaj a wszystko będzie dobrze” od ofiary wymagana jest dość zaawansowana interakcja (choć instrukcja jest bardzo prosta). Najczęściej polecania wyglądają tak:

Banalne, prawda? Skrypt po wykonaniu wyświetla nawet okna sugerujące, że faktycznie działa zgodnie z oczekiwaniem.

Skrypt udaje, ze działa

Skrypt udaje, ze działa

Czasem także instrukcje, jak uruchomić skrypt, przekazywane są w wersji wideo dla opornych.

Naszym Czytelnikom nie musimy tłumaczyć, ze wykonywanie nieznanego kodu JS we własnej przeglądarce z zalogowaną sesją Facebooka raczej nie skończy się dobrze, ale wygląda na to, ze sporo osób się na to łapie. Poniżej przykład dzisiejszego ataku, który skusił prawie 50 tysięcy osób.

Ponad 47 tysięcy ofiar ataku

Ponad 47 tysięcy ofiar ataku

Co tak naprawdę robi skrypt

To oczywiście zależy tylko od inwencji jego autorów. W przypadkach, które analizowaliśmy, wklejane skrypty wykonywały następujące operacje w imieniu zalogowanego użytkownika:

  • polubienia wielu stron
  • publikowanie treści ataku na własnej osi czasu
  • wymienianie w komentarzu do wpisu po kolei wszystkich swoich znajomych
  • zapraszanie znajomych do polubienia stron i profili

Po sieci krąży wiele wersji wklejanego skryptu – oto linki do niektórych przykładów: 1, 2, 3, 4, 5, 6. Niektóre z nich są intensywnie zaciemnione, by ukryć prawdziwą treść, inne w kodzie zawierają widoczne polecenia.

Co robić po fakcie?

Jeśli ktoś uruchomił skrypt, to pozostaje pogratulować atakującym pomysłu a sobie nierozwagi, usunąć nieznane „lajki” i przeprosić zaspamowanych znajomych. My czekamy z niecierpliwością na polskojęzyczną wersję ataku.

Dziękujemy Piotrowi za wskazanie tematu.