Otkriven novi način napada na Facebook

Nova vrsta napada na Facebook društvenu mrežu se pojavila, gdje se korisnik nastoji zavarati da sam otkrije svoju lozinku, tačnije da otkrije antiCSRF token koji je povezan sa trenutnom sesijom korisnika.  Sigurnosni kodovi u sesiji omogućavaju napadaču zahtjeve nad žrtvinim web preglednikom.

Cross site request forgery (CSRF) je tehnika koja zloupotrebljava vezu idmeđu web stranice i autentificiranog korisnika. Na način na koji web radi, web stranica može natjerati web preglednik korisnika da podnese zahtjev nekom servisu ili stranici (third-party) na kojem je korisnik autentificiran, i tako doda podatke sa tog servira u trenutnu sesiju. Kako bi se to izbjeglo, u stranice se ugrađuje jedinstven autorizacijski kod, poznat kao antiCSRF token. Pošto ovi nisu dostupni napadačima, “lopovski” zahtjevi se ne mogu više uspješno izvoditi.

Sad međutim, sigurnosni istraživači iz Symantec-a su otkrili novi način za napad na Facebook, gdje korisnik nesvjesno preda informacije o svome tokenu, tako što podlegne lažnom verifikacijskom procesu. Prevara počinje sa spam porukama u kojima se reklamiraju interesantni video snimci koji se postiraju na Facebook zidu od već zaraženih / napadnutih korisinka. Poruke većinom sadrže linkove ka lažnoj YouTube stranici. Kada dospiju na takve stranice, korisniku iskoči dialog u koji je potrebno paste-ati nasumično generisani kod koji je navodno generiran od strane anti spam mehanizma. Zapravo je taj dio koda uzet od facebooka pomoću skripte, i sadži antiCSRF token, dodjeljen od strane društvene mreže (u ovom slučaju).

Ovaj način napada je sličan takozvanom self-XSS napadu, gdje su korisnici lijepili dijelove JavaScript koda u adresni bar svoga web preglednika.

Dakle oprez svima, nadograđujte antivirusni softer i malver/spam softver čim prije, i budite na oprezu kada prihvatate nove prijatelje na Facebook-u ili kada dobijete poruke od nepoznatih osoba ili sumnjivog sadržaja.

Autor

Informatički entuzijast, uživa u muzici i društvu. Studira Informacijske Tehnologije u Mostaru i polako ali sigurno se približava diplomi. Interesovanja mu teku u pravcu programiranja, no aktivan je i u drugim oblastima IT-a. Veliki fan Star Wars ciklusa te Matrix trilogije.