Bagaimana tepatnya cara kerja worm Facebook?

27

Saya awalnya berasumsi bahwa seorang teman FB saya sedang menyebarkan tautan berbahaya karena dia telah dengan polosnya menerima aplikasi dan memberinya hak istimewa, tapi dia bilang bukan itu masalahnya. Lihat pertukaran:

Teman: "Jangan mengklik tautan yang Anda dapatkan dari saya! Itu terinfeksi! Saya mendapatkannya dari (nama dihapus) !!! Maaf! Saya harus berhenti ******!"
Saya: "Anda menerima aplikasi FB. Yang harus Anda lakukan adalah masuk ke Akun -> Pengaturan privasi -> Aplikasi dan situs web dan jangan terima aplikasi yang menyinggung itu. Itulah sebabnya saya tidak melakukan aplikasi FB, titik."
Teman: ini bukan aplikasi. tidak ada dalam daftar ... itu adalah cacing

Bagaimana cara kerjanya? JavaScript dapat terjadi ketika orang mengklik tautan?

JCCyC
sumber

Jawaban:

31

Ya, tepatnya JavaScript. Saya baru saja bertemu cacing dan mencoba memecahkannya.

Apa masalah sebenarnya adalah:

Cacing Facebook baru-baru ini berfungsi dengan membuat pengguna mengunjungi halaman, yang membuat mereka memasukkan string JavaScript ke dalam bilah alamat dan karenanya menjalankannya.

Jadi, JANGAN PERNAH menyalin beberapa kode JavaScript ke bilah alamat Anda. Itulah masalah utamanya. Dan jangan klik tautan apa pun yang tidak Anda percayai. Atau setidaknya buka tautan tersebut di jendela baru menggunakan Mode Privasi (Firefox) atau mode Penyamaran (Chrome) sehingga tidak akan dapat mengakses sesi Facebook Anda.


Apa yang dilakukan peretas kami untuk membuat orang tidak menyadari apa yang mereka lakukan?

Meloloskan skrip

String yang Anda salin ke bilah URL sebagian besar tautan ke JavaScript lain yang dieksekusi. Script ini sebenarnya diterjemahkan menjadi entitas. Jadi alih-alih menggunakan karakter string, keseluruhan skrip dimasukkan ke dalam string dan melarikan diri sehingga tidak ada manusia yang bisa membacanya di tempat pertama.

Misalnya, jika saya memiliki fungsi yang sangat jahat, saya akan menghindarinya dan pengguna hanya akan melihat:

function% 20test% 28% 29% 20% 7B% 20alert% 20% 28% 22LOL% 22% 29% 3B% 20% 7D

dan itu akan hilang

tes fungsi () {alert ("LOL"); }

Script karena itu menghapus "dirinya" sebelum dieksekusi.

Mengacaukannya

Sekarang semakin buruk: Sebelum menghindarinya, kode JavaScript jahat dikaburkan, dengan nama fungsi suka _____xdan variabel suka aLDIWEJ. Ini masih masuk akal untuk JavaScript, tetapi sepenuhnya tidak dapat dibaca oleh manusia. Ini dilakukan, sekali lagi, untuk menutupi maksud peretas Facebook kita.

Pada titik ini, kodenya mungkin terlihat seperti ini:

masukkan deskripsi gambar di sini

Apa yang dilakukan skrip

Nah, yang dilakukan skrip ini adalah mengikuti sesi Facebook Anda saat ini. Karena Anda masuk ke situs, itu dapat melakukan apa saja atas nama Anda. Misalnya, hal yang dapat dilakukan melalui API Facebook adalah:

  • membuat acara seperti "OMG, aku bisa melihat siapa yang menguntitku!"
  • mengobrol dengan orang
  • memposting pembaruan status
  • dll.

Ini semua terjadi dengan memanggil beberapa halaman API Facebook (beberapa halaman PHP, saya lupa yang mana).

slhck
sumber
5

Singkatnya ... itu virus ... seperti yang lainnya. Metode yang digunakan untuk mereplikasi dirinya sendiri adalah dengan membuat posting di akun Anda setelah dieksekusi dari halaman orang lain. Bergantung pada browser dan / atau sistem operasi yang Anda gunakan, dan kerentanan yang dimilikinya, segalanya mungkin terjadi. Pada dasarnya, begitu skrip berjalan di dalam browser Anda (yang dapat dimulai dari satu klik sederhana), skrip itu pada gilirannya menggunakan kredensial cache Anda untuk membuat posting di halaman Anda ... yang berisi tautan yang sama / mirip dengan yang Anda klik pada awalnya.

Pendek menonaktifkan javascript / flash / dan banyak hal lainnya (yang diperlukan oleh facebook) Anda tidak akan dapat melindungi diri dari eksploitasi tersebut.

Solusi cepat & kotor ... sebelum Anda mengeklik tautan apa pun di pos orang lain ... lihat ke mana ia pergi. Hindari tautan apa pun yang diakhiri dengan tanda pagar ("#") atau miliki semacam referensi javascript ... atau tidak memiliki tautan yang sebenarnya. (mis. tampaknya tidak membuka URL apa pun)

Atau Anda selalu bisa mengambil pendekatan saya ... dan menghindari facebook / twitter / etc ... sepenuhnya. Saya belum menemukan apa pun di salah satu layanan yang akan saya berikan nilai atau importir. Teman & Keluarga tahu cara mengirim email ... atau lebih baik lagi ... angkat telepon. (Hanya pendapat saya untuk apa nilainya)

TheCompWiz
sumber
1
tidak terlalu akurat ... ada banyak cara untuk melindungi diri dari ini. Anda dapat menggunakan plugin seperti NoScript, misalnya, untuk tidak menjalankan javascript. Anda dapat membuka tautan di jendela baru menggunakan mode privasi / mode penyamaran dan jendela baru tidak akan memiliki akses ke sesi facebook Anda. Jika keamanan Anda hanya bergantung pada menghindari tautan yang mencurigakan, itu tidak terlalu efektif. Jika Anda menggunakan alat penjelajahan aman dengan benar, Anda tidak perlu hidup dalam ketakutan apa yang bersembunyi di balik setiap klik tautan.
Brian Schroth
@ Brian Schroth: Seperti yang saya katakan di posting saya, "singkat menonaktifkan javascript / flash / ...." NoScript melakukan hal itu. Anda benar bahwa hanya dengan melihat target tautan tidak akan menyelamatkan Anda dari banyak eksploitasi ... Mode penyamaran & semacamnya tidak akan melindungi Anda dari mendapatkan virus ... dan juga menyebabkan masalah ketika mencoba mengikuti tautan antar sesi. Sebenarnya ... orang harus hidup dalam ketakutan akan apa yang ada di luar hubungan. Mereka harus berpikir sejenak tentang apa yang mereka klik.
TheCompWiz
1
NoScript tidak menonaktifkan Javascript. Ini memberikan kontrol halus atas apa yang dilakukan dan tidak dilakukan javascript. Jawaban Anda menyiratkan bahwa jika Anda "menonaktifkan Javascript", Anda tidak dapat menggunakan Facebook lagi. Tetapi jika Anda menggunakan NoScript, Anda dapat mengizinkan skrip facebook.com sambil tetap dilindungi dari Javascript beberapa situs malware acak.
Brian Schroth