Fidusmagere på Facebook lader brugerne gøre arbejdet

Nye tricks på Facebook forsøger at lokke brugerne til selv at indlæse ondsindet scriptkode. Brugervenlige guides på Youtube viser tilmed hvordan.

Nye tendenser fra de mørkeste afkroge på Facebook har set dagens lys. Fup- og fidusmagerne, der blandt andet ønsker at manipulere med adgangstilladelserne til brugernes Facebookvæg, er nu begyndt at lokke deres ofre til manuelt selv at kopiere og eksekvere ondsindet scriptkode fra browserens adressefelt.

Ifølge et blogindlæg på sikkerhedsfirmaet Symantecs hjemmeside, så bliver brugerne lokket med klassiske linkstitler som 'Se hvem der har kigget på din profil' og løfter og gratis point til sociale spil og lignende.

Følger brugeren linket, vil vedkommende blive mødt med enten en Facebookside, en Facebook applikationsside eller et eksternt domæne. Her vil brugeren blive bedt om at kopiere et - ved første øjekast - lille javascript til browserens adressefelt, for at systemet kan udløse den funktion eller gevinst, som blev lovet.

For at sikre, at alle brugere kan følge med, har fupmagerne tilmed konstrueret Youtubevideoer, der trin for trin guider brugeren igennem processen.

I 'Se hvem der har kigget på din profil'-eksemplet, så vil systemet rigtig nok returnere en liste over venner, der angiveligt har besøgt din profil.

Men alt det er selvfølgelig snyd og humbug. Først og fremmest fordi, at Facebook ikke har en funktion, der tillader, at brugerne kan se hvem, der har kigget på deres profil. For det andet udfører javascriptet ondsindet kode under kølerhjelmen.

Scriptet skaber den falske tryghed for den aktuelle bruger ved at udnytte vedkommendes login-session til at enumerere vennelisten. Men herefter indleder den sine ondsindede fiksfakserier.

Afhængig af scriptets udformning vil scriptet udnytte de stjålne vennedata til at poste nye lokkebeskeder på venners Facebookvægge, sende chatbeskeder eller i nogle tilfælde ligefrem oprette en invitation til en falsk event, som bliver sendt i ofrets navn.

Symantec advarer om, at eftersom scriptet udnytter brugerens åbne loginsession til at stjæle vennelisten, så er der i princippet ingen begrænsninger for, hvad lignende scripts ellers kan gøre med din Facebookprofil.

Læs mere på Symantecs blog.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Jølnæs Jacobsen

Yep. Jeg endte med at forlade Facebook pga. det... Nu skal jeg så høre på folk der brokker sig over at jeg ikke er på Facebook, men i det mindste får jeg ingen spam skal ikke bekymre mig om mine personlige oplysninger bliver spredt ud over nettet fordi sikkerhedsindstillingerne er så latterlige...
Som bonus har jeg fået et liv igen..

  • 0
  • 0
Morten Jølnæs Jacobsen

Kan vi blive enige om at sikkerhedsindstillingerne tidligere har været virkelig hullede? Kan vi blive enige om at der faktisk var en masse generel kritik af Facebook tidligere fordi sikkerhedsindstillingerne som default var sat så løst at alle mulige havde adgang til alverdens oplysninger om folk med mindre de aktivt gik ind og strammede op? Og hvor mange af den jævne befolkning gør det? Jeg skal ikke kunne sige om det er bedre nu, da jeg netop ikke bruger sitet mere, men det HAR i hvert fald været helt galt tidligere.

Hvis det der var et forsøg på at fornærme så ramte det ved siden af. Det er meget muligt det siger mere om mig end om facebook, men hvis det skal til at være sådan, at man bliver nedgjort for ikke at have en profil, så siger dét til gengæld rigtig meget om fjæsbogen...

  • 0
  • 0
Jesper Hedemann

Du kan hav et hav af sikkerhed på et social netværk, men hvad hjælper det når der bare skal klikkes på et link, også sidder du på en anden side, eller hvor folk skal kopierer et lille javascript til browserens adressefelt eller hvad de nu finder på.

I bund og grund handler det jo om at folk bare klikker løs, uden og tænke sig om?

Du kan beskytte dig imod mange ting men ikke dumhed/uvidenhed.

  • 0
  • 0
Jesper Poulsen

Kan vi blive enige om at sikkerhedsindstillingerne tidligere har været virkelig hullede?

Nej.

Kan vi blive enige om at der faktisk var en masse generel kritik af Facebook tidligere fordi sikkerhedsindstillingerne som default var sat så løst at alle mulige havde adgang til alverdens oplysninger om folk med mindre de aktivt gik ind og strammede op?

Ja.

Men som jeg skrev, så er det bare at læse hvad der står på Privacy-menu'en; der kan lukkes af og specificeres adgang på et meget fintmasket niveau.
Og jeg udnytter den funktionalitet.

Hvis det der var et forsøg på at fornærme så ramte det ved siden af.

Du klandrede Fjæsbog for at være usikker, men du gjorde ikke selv noget for at sikre dig selv. Du droppede i stedet sitet. Suk!

  • 0
  • 0
Jesper Poulsen

Det siger åbenbart det samme om mig så. Jeg har aldrig set nogen grund til at oprette en bruger på facebook.

Man kan bruge Fjæsbog til mange ting. Jeg kan ikke forstå at folk gider at spilde deres tid med de ualmindeligt ringe spil der er på sitet.
Jeg kan heller ikke forstå dem der skriver alt hvad de foretager sig i deres statusopdatering - få jer dog et liv!

Det er tilgengæld praktisk når man skal have adressere flere på én gang - jeg ved godt at mailinglister kan gøre det samme, men det er nu engang lettere at lave en "rundbordssamtale" via Fjæsbogen.

  • 0
  • 0
Morten Jølnæs Jacobsen

Heh Jeg gjorde sådan set hvad jeg skulle for at sikre mig. Jeg har aldrig trykket på links eller tilføjet apps jeg ikke skulle. Jeg blev bare træt af at se det spam mine venner slog op. Og det har da haft den virkning at når jeg snakker med folk nu så begynder de at tænke mere over deres sikkerhed fordi jeg ikke gad være med mere.

Jeg gik som sagt ikke fordi jeg selv oplevede problemer. Jeg gik fordi jeg synes det i bund og grund er et problem at folk uden computer know-how i den grad bliver udnyttet på facebook. Jeg synes det kan betegnes som et hul i sikkerhedsindstillingerne når en nyoprettet profil som udgangpunkt deler ALT med sine venner, og aktivt skal ind og slå det fra. Igen jeg ved ikke hvordan det ser ud nu, da jeg ikke har været på sitet i over et år, men sådan var det til at starte med. Og ja så var der en periode hvor venners venner kunne få adgang til ens informationer uden man gav samtykke, men den del er dog vist blevet fixet nu.

Lad mig forstå det ret - den del af Facebook du sætter mest pris på er den del af funktionaliteten der er præcis magen til et almindeligt forum på nettet? Hvoror så risikere at få solgt sine oplysninger til tredjepart når man kan sætte phpbb op på under 10min?

  • 0
  • 0
Jesper Poulsen

Jeg gik fordi jeg synes det i bund og grund er et problem at folk uden computer know-how i den grad bliver udnyttet på facebook.

Det skal nok hjælpe dem.

Lad mig forstå det ret - den del af Facebook du sætter mest pris på er den del af funktionaliteten der er præcis magen til et almindeligt forum på nettet?

Bortset fra at de folk jeg skal henvende mig til ikke altid er at finde på et almindeligt forum på nettet. Hvis jeg skal have fat i Linux-folk, så bruger jeg ikke Fjæsbog. Der er bedre løsninger. Men skal jeg have fat i gamle klassekammerater, så er Fjæsbog løsningen.

Hvoror så risikere at få solgt sine oplysninger til tredjepart når man kan sætte phpbb op på under 10min?

Hvis man kan læse og kender lidt til sikkerhed, så kan man også sikre sig på Fjæsbog. Det har man alle dage kunnet.

Det er let at sætte noget mailingliste op, men det er ikke let at få de folk på som skal deltage. Been there, done that, got the t-shirt. På Fjæsbog kan jeg sende den samme besked til alle dem der skal deltage - også til folk der ikke aner hvad en maillingliste er og som dårligt kan finde ud af deres email-system.

Det eneste jeg kan gøre er at oplyse folk om at passe på dem selv på Fjæsbog og ellers give råd og vejledning til dem der ønsker det.

Du har (forhåbenligt) kompetancerne til at hjælpe dine venner i ukendt territorium, men du vender dem ryggen. Sikke en ven.

  • 0
  • 0
Morten Jølnæs Jacobsen

Forstår ikke hvorfor du skal være så aggressiv/nedladende...

Jeg prøvede skam også at hjælpe dem, og det er muligt du har venner der lytter til hvad du siger, men prøv du at forklare til en pige der interesserer sig minus for computere at den applikation hun har tilføjet der viser et billede af en sød kat på hendes profil i virkeligheden handler om at få adgang til hendes informationer som så kan sælges videre til nogen andre - Jeg tror de vil være pænt ligeglade (Det var i hvert fald min oplevelse).

At der stadig jævnligt er historier i cirkulation med "MSN bliver betalings service!" eller "Facebook lukker!" eller lign. beviser jo bare at folk netop ikke tænker sig om (eller er ligeglade) og bare sender tingene videre uden at undersøge sagen. (Det er i øvrigt også fint beskrevet her: http://www.computerworld.dk/art/115918/derfor-er-facebook-spam-kommet-fo... )

Sidst men ikke mindst (vi kommer alligevel ingen vegne her): Jeg har aldrig sagt noget om at du eller andre ikke må/bør bruge facebook, så ingen grund til at du hidser dig sådan op ;)

  • 0
  • 0
Per Sikker Hansen

Personligt forstår jeg ikke hvorfor det stadig er muligt overhovedet at eksekvere javascript i urlen. Det er jo fare numero uno, og det er usandsynligt svært at beskytte sig imod. Dertil kommer at det ikke tjener noget praktisk formål til andet end debugging, og der bruger folk på Firebug idag.

  • 0
  • 0
Log ind eller Opret konto for at kommentere