Спамеры Facebook уже использовали значительное число различных приемов, чтобы заставить пользователей без своего ведома им помогать, и большинство из них относятся к социальной инженерии. Довольно интересный метод был замечен недавно исследователями из Symantec, и, по их словам, в ближайшее время его будут часто использовать. Если коротко, то мошенники заставляют аккаунт жертвы оставлять сообщения, выполняя Cross-site Request Forgery атаку после того, как жертву обманным путем принуждают поделиться анти-CSRF токенами, сгенерированными Facebook. Получив анти-CSRF токен, преступники способны сгенерировать действительный CSRF токен, что позволяет им использовать подлинную сессию, чтобы оставлять оскорбительные сообщения баз ведома пользователя. Атака начинается с типичного сообщения, приглашающего пользователя посмотреть "классное видео" или что-нибудь в этом роде. Клик по ссылке переносит пользователя на поддельную страницу YouTube, и когда он хочет включить видео, выскакивает окошко, в котором говорится, что он должен пройти "Проверку Безопасности YouTube". Когда пользователь жмет на ссылку "Сгенерировать Код", посылается запрос на 0.facebook.com/ajax/dtsg.php, после чего в отдельном окне возвращается JavaScript код, содержащий анти-CSRF токен сессии. После того, как пользователь скопировал и вставил сгенерированный код в пустое поле и нажал кнопку "Подтвердить", код отправляется хакеру, который извлекает анти-CSRF токен, создает CSRF токен и вставляет его в свой собственный образец кода, который, в конце концов и выполняет атаку и публикует вредоносное сообщение и ссылку на стене пользователя. Атаки, которые просят пользователей копировать и вставить JavaScript, чтобы получить доступ к какому-либо контенту, не новы для социальных сетей, но спамеры не слишком часто их использовали в последнее время. Возможно из-за автоматизированного мониторинга аккаунтов, который Facebook начала использовать, или, возможно, они слишком часто использовали этот подход за короткий период времени, из-за чего у пользователей к подобным запросам выработалось определенное отношение. В любом случае, исследователи полагают, что этот конкретный подход может набрать популярность, но и другие, еще более инновационные методы, обязательно появятся.
Xakep.ru