0 Kč

Facebook terčem útoku z ČR

Během pátku se objevil "červ", šířící se po sociální síti Facebook. Na "zdi" uživatelů se tak mohly objevit hlášky "try not to laugh xD" s odkazem na server fbhole.com. Pokud přihlášený uživatel Facebooku kliknul na zmíněný odkaz, pak si mohl dobře naběhnout k tomu, aby se hláška objevila i na jeho "zdi". I když konkrétně tento útok nezpůsoboval žádné škody, ale jen množil příspěvky "try not to laugh xD" na zdech uživatelů, existují různé studie i ukázky, kdy lze s použitím podobné metody odčerpávat peníze, bez vědomí uživatele zapnout webkameru, apod.

Na "červu" (otázkou je, jak to vlastně nazvat) FBHOLE jsou zajímavé dvě věci. Tou první je to, že doména fbhole.com směřuje na IP adresu v České republice. Jak se uvádí na weblogu společnosti F-Secure, stačilo zavolat na kontakt uvedený v informacích o jiné doméně, hostující na stejné IP. Potom přestal klíčový skript http://www.fbhole.com/omg/allow.php fungovat jak měl.
Právě tento skript vyvolal druhou zajímavou věc a tou je technologie nazvaná jako "clickjacking". Obecně využívá clickjacking toho, že lze umístit dvě webové stránky na sebe (podobně jako když dáte dva papíry na sebe) pomocí tagu iframe. V tomhle případě byla dole otevřená stránka s adresou ve tvaru:

http://www.facebook.com/ connect/prompt_feed.php?locale=en_US &message=try%20not%20to%20laugh %20xD%20http%3A%2F%2F%www.fbhole.com %2Fomg%2Fallow.php%3Fs%3D%26r%3D

která vyvolá následující situaci (tj. že po stisknutí "Publish" by došlo k vystavení hlášky na zeď):

publish

Nahoře (přes dolní stránku) se zobrazila stránka útočníka s fiktivní chybovou hláškou, která se ale tlačítkem "OK" kryla s tlačítkem "Publish" na dolní stránce. Člověk by asi očekával, že kliknutím na "OK" opravdu fyzicky odklikne tlačítko "OK" - asi stejně, jako že když bude psát na horní papír, objeví se text na horním papíře. Právě vznik techniky "clickjacking" ale souvisí s tím, že ve skutečnosti překvapivě mačkáte tlačítko na dolní stránce (které nevidíte), tudíž v tomto případě tlačítko "Publish", kterým si příspěvek umístíte nevědomky na zeď Facebooku!

hlaska
Fiktivní chybová hláška a klíčové tlačítko OK.

zeď
Zaflákané zdi Facebooku (obrázek z weblogu F-Secure)...

Celé se to slovy těžko popisuje. Nicméně možná to objasní toto demo video z trocha jiného soudku (nevědomá aktivace web kamery). Nejprve se to jeví jako hra, kdy jen klikáte na tlačítko "click", které se na první pohled náhodně pohybuje. Ve skutečnosti je ale pohyb cílený a vy tak mačkáte překrývající se tlačítka / odkazy na dolní stránce, vedoucí až ke spuštění webkamery. To je vidět přibližně od poloviny videa, kdy je horní stránka mírně průhledná a konkrétně pak v časech: 1 minuta:11 sekund, 1m:16s, 1m:26s, 1m:33s

Zroj viry.cz

Přehled komentářů

    Komentáře byly uzavřeny

Novinky

  • 06 Zář 2022

    Money S3 Aktualizace 2023

    Nové ceny předplatného služby Podpora a aktualizace Money S3 pro rok 2023

  • 12 Čec 2022

    Epson EcoTank Pro M15180

    Podrobnosti o skvělých nových tiskárnách od Epsonu. Komu jsem ji prodal a nainstaloval, ten je spokojený.
  • 22 Dub 2022

    Akce ZAHRÁDKOVNÉ

    Akce pro restaurace, kavárny, cukrárny... apod. s předzahrádkou. Kdo by nechtěl mobilního číšníka s výraznou slevou, nebo třeba ZADARMO?

  • 09 Lis 2021

    TIP na výhodný nákup notebooků (9. 11. 2021)

    Vypadá to teď velmi dobře na skladech distribucí. Tzn., že repas se asi v tuto chvíli nevyplatí kupovat, pokud chcete standardní spotřební notebook.

  • 04 Bře 2021

    Rostlinolékařský pas

    Někteří prodejci květin jsou povinni u vybraných druhů rostlin vydávat rostlinolékařské pasy

  • 16 Úno 2021

    Stravenkový paušál 2021

    Stravenkový paušál představuje od 1.1.2021 třetí způsob, jak poskytnout zaměstnanci daňově zvýhodněné stravování.

  • 10 Lis 2020

    AKCE! ZDARMA platební terminál s EET pokladnou

    Lepší nabídku už nehledejte. :o) Platební terminál zdarma. Internet zdarma. EET aplikace zdarma. Navíc bez poplatků za platby kartou do výše 50 tisíc Kč/měsíc.

  • 12 Srp 2020

    Money S3 - Nové mzdy

    Od verze 20.700 je v Money S3 nový modul Mzdy a personalistika. Nabízí souběžné pracovní poměry, automatickou aktualizaci mzdové legislativy, víceúrovňový kontroling, podrobné nastavení zaúčtování položek mzdy a řadu dalších vylepšení.

  • 10 Čec 2020

    Zálohové faktury v InPage

    Zoner software zapracoval do redakčního systému můj návrh zálohových faktur

  • 31 Bře 2020

    Přímá podpora pro OSVČ zasažené opatřeními proti koronaviru

    Na částku v nominální výši 25 000 Kč bude mít nárok OSVČ, která o ni požádá a prohlásí splnění několika základních požadavků

Archív