פייסבוק תולעים פייסבוק עם פיתיון מזעזע

התולעת מציבה תמונה על קיר הפייסבוק של הקורבן עם תמונה של אישה בביקיני ואת המסר "לחץ על כפתור דה, תינוק." הודעות קיר ניתנות לצפייה על ידי חברים של משתמש בפייסבוק.

אם חבר לוחץ על התמונה ונכנס לפייסבוק, התמונה נשלחת אל הקיר שלו. דפדפן האינטרנט שלהם יפתח דף אינטרנט עם גרסה גדולה יותר של אותה תמונה. לחץ נוסף על "כפתור דה" מפנה את החבר לאתר פורנוגרפיה, על פי רוג'ר תומפסון מנהל מחקר ראשי של ספק האנטי וירוס AVG Technologies. תומפסון פרסם סרטון על ההתקפה על הבלוג שלו.

[המשך קריאה: כיצד להסיר תוכנות זדוניות ממחשב Windows]

יוצרי התולעת עשויים להרוויח כסף על ידי הפניית הפניות לאתר הפורנוגרפיה, אמר ניק פיצגגרד, חוקר איומים עבור ספק האבטחה AVG.

החוקרים אינם בטוחים בדיוק כיצד פועלת התולעת, אך מאמינים שהיא עשויה להיות התקפת זיוף בין אתרים (CSRF) או התקפת clickjacking או שילוב של שניהם. > התקפת CSRF מתרחשת כאשר אישורי הקורבן משמשים לביצוע פעולה כלשהי, אך ללא ידיעתם. במקרה זה, התוקף שולח במרמה את התמונה לקיר הפייסבוק של הקורבן, על חשבון העובדה שהקורבן נרשם לחשבון.

אפשרות אחרת היא קליק, כאשר התוקפים משתמשים בתוכניות אינטרנט מיוחדות כדי להטעות קורבנות בלחיצה על לחצני אינטרנט מממש את זה.

Clickjacking אפשרי בשל תכונה עיצוב בסיסי ב- HTML המאפשר אתרי אינטרנט כדי להטביע תוכן מדפי אינטרנט אחרים. דפדפני אינטרנט חשופים ללחיצה על התקפות, אף על פי שמקבלי הדפים עבדו כדי להגן על ההגנות נגדם.

Facebook מסווג את ההתקפה כ"לחיצת כפתור ", התקפה שאינה" ספציפית לפייסבוק ", על פי הודעה בכתב. פייסבוק גם אמר שההתקפה לא היתה תולעת.

"נקטנו פעולה לחסימת כתובת האתר (Uniform Resource Locator) המשויכת לאתר זה, ואנו מנקים את המקרים היחידים שבהם פורסמה" אמר. "באופן כללי, אחוז קטן מאוד מהמשתמשים הושפעו."

אם התולעת אכן מתפשטת באמצעות התקפת clickjacking, "ייתכן שיהיה קשה לפייסבוק לתקן בצורה מהימנה", אמר פיצג'רלד. "ללא קשר, זה תולעת."

פייסבוק הזהיר משתמשים לא ללחוץ על קישורים חשודים. עם זאת, במקרה זה, הקישור אינו בולט כמו חשוד בהכרח בהתחשב במגוון של רישומי קיר, גרפיקה ויישומים המופיעים בכל רחבי אתר הרשתות החברתיות הפופולריות.

למעשה, אחד חוקר אבטחה reposted חשוד הגרפי לפני שמבינים משהו לא היה בסדר. "זה מראה שאפילו מומחים יכולים להפוך למערכות שאננות ולמערכות אמון כאשר הם באמת לא צריכים", כתב גדי עברון, חוקר אבטחה עצמאי, בבלוג של Dark Reading.