Спамеры Facebook уже использовали значительное число различных приемов, чтобы
заставить пользователей без своего ведома им помогать, и большинство из них
относятся к социальной инженерии.
Довольно интересный метод был замечен недавно исследователями из Symantec, и,
по их словам, в ближайшее время его будут часто использовать.
Если коротко, то мошенники заставляют аккаунт жертвы оставлять сообщения,
выполняя Cross-site Request Forgery атаку после того, как жертву обманным путем
принуждают поделиться анти-CSRF токенами, сгенерированными Facebook.
Получив анти-CSRF токен, преступники способны сгенерировать действительный
CSRF токен, что позволяет им использовать подлинную сессию, чтобы оставлять
оскорбительные сообщения баз ведома пользователя.
Атака начинается с типичного сообщения, приглашающего пользователя посмотреть
"классное видео" или что-нибудь в этом роде. Клик по ссылке переносит
пользователя на поддельную страницу YouTube, и когда он хочет включить видео,
выскакивает окошко, в котором говорится, что он должен пройти "Проверку
Безопасности YouTube":
Когда пользователь жмет на ссылку "Сгенерировать Код", посылается запрос на
0.facebook.com/ajax/dtsg.php, после чего в отдельном окне возвращается
JavaScript код, содержащий анти-CSRF токен сессии.
После того, как пользователь скопировал и вставил сгенерированный код в
пустое поле и нажал кнопку "Подтвердить", код отправляется хакеру, который
извлекает анти-CSRF токен, создает CSRF токен и вставляет его в свой собственный
образец кода, который, в конце концов и выполняет атаку и публикует вредоносное
сообщение и ссылку на стене пользователя.
Атаки, которые просят пользователей копировать и вставить JavaScript, чтобы
получить доступ к какому-либо контенту, не новы для социальных сетей, но спамеры
не слишком часто их использовали в последнее время.
Возможно из-за автоматизированного мониторинга аккаунтов, который Facebook
начала использовать, или, возможно, они слишком часто использовали этот подход
за короткий период времени, из-за чего у пользователей к подобным запросам
выработалось определенное отношение. В любом случае, исследователи полагают, что
этот конкретный подход может набрать популярность, но и другие, еще более
инновационные методы, обязательно появятся.