Спамеры на Facebook обманным путем вынуждают пользователей делиться анти-CSRF токенами

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 31 окт 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Спамеры Facebook уже использовали значительное число различных приемов, чтобы заставить пользователей без своего ведома им помогать, и большинство из них относятся к социальной инженерии.

    Довольно интересный метод был замечен недавно исследователями из Symantec, и, по их словам, в ближайшее время его будут часто использовать.

    Если коротко, то мошенники заставляют аккаунт жертвы оставлять сообщения, выполняя Cross-site Request Forgery атаку после того, как жертву обманным путем принуждают поделиться анти-CSRF токенами, сгенерированными Facebook.

    Получив анти-CSRF токен, преступники способны сгенерировать действительный CSRF токен, что позволяет им использовать подлинную сессию, чтобы оставлять оскорбительные сообщения баз ведома пользователя.

    Атака начинается с типичного сообщения, приглашающего пользователя посмотреть "классное видео" или что-нибудь в этом роде. Клик по ссылке переносит пользователя на поддельную страницу YouTube, и когда он хочет включить видео, выскакивает окошко, в котором говорится, что он должен пройти "Проверку Безопасности YouTube":

    [​IMG]

    Когда пользователь жмет на ссылку "Сгенерировать Код", посылается запрос на 0.facebook.com/ajax/dtsg.php, после чего в отдельном окне возвращается JavaScript код, содержащий анти-CSRF токен сессии.

    После того, как пользователь скопировал и вставил сгенерированный код в пустое поле и нажал кнопку "Подтвердить", код отправляется хакеру, который извлекает анти-CSRF токен, создает CSRF токен и вставляет его в свой собственный образец кода, который, в конце концов и выполняет атаку и публикует вредоносное сообщение и ссылку на стене пользователя.

    Атаки, которые просят пользователей копировать и вставить JavaScript, чтобы получить доступ к какому-либо контенту, не новы для социальных сетей, но спамеры не слишком часто их использовали в последнее время.

    Возможно из-за автоматизированного мониторинга аккаунтов, который Facebook начала использовать, или, возможно, они слишком часто использовали этот подход за короткий период времени, из-за чего у пользователей к подобным запросам выработалось определенное отношение. В любом случае, исследователи полагают, что этот конкретный подход может набрать популярность, но и другие, еще более инновационные методы, обязательно появятся.



    источник
     
    1 человеку нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894

Поделиться этой страницей