Социальная инженерия в Facebook и не только. Разбор новой «уязвимости»

    image
    Сегодня встретил в Facebook разновидность червя, использующего социальную инженерию. Если я ошибусь в терминах Facebook, то заранее прошу прощения — не часто им пользуюсь.

    Приходит личное сообщение или приглашение от друга (или нескольких), где ссылка, похожая на расшаренное видео в Facebook. Она ведёт на facebook.com/pages/(имя страницы). После перехода появляется страница с изображением, похожим на видеоплеер. После нажатия Play появляется окно, где приглашают пройти валидацию одним из трёх способов:
    • клавиатурой;
    • мышью;
    • тачскрином.
    image

    Клавиатура. Последуют инструкции: 1) нажать Ctrl-C, 2) нажать Alt-D, 3) нажать Ctrl-V, Enter.
    Проделав эти действия, посетитель скопирует букмарклет, переведёт фокус на адресную строку, вставит его и исполнит. В попытке внимательно следовать инструкции он и не заметит подлога.

    image

    Мышь. Будет предложение перетащить текст в адресную строку браузера. Текст представляет собой ссылку-букмарклет. После перетаскивания ссылка самостоятельно исполняется (Enter не нужен).

    image

    Тачскрин. Сообщает, что функция не поддерживается. Вероятно, просто заглушка.

    В результате успешно проведённой «валидации» ссылка разошлётся друзьям, и запустится вожделенное видео.

    Условия для реализации и последствия


    Эта «уязвимость» с соответствующим дизайном будет работать для любого сайта.

    Успешная реализация позволяет манипулировать любыми данными пользователя на текущем сайте при помощи JavaScript. Это включает в себя: рассылки личных сообщений, изменение и удаление постов и комментариев, смену пароля, передачу личных данных другим пользователям сайта или на сторонние сайты (при помощи API сайта) и т. п.

    Техническая информация


    Это не очередная дыра в Facebook, а применение социальной инженерии для достижения цели. Окно валидации сделано аккуратно и в стиле Facebook, посетитель думает, что это новый способ защиты от ботов и старательно выполняет, что от него требуется.

    При проверке клавиатурой сам код присутствует в виде текста, и пользователь сам его запускает через адресную строку браузера. Если посетитель задумался или переключил фокус, то скрипт выводит окошко с подсказкой и предлагает начать заново.

    При проверке мышкой подгружается <iframe> с адресом http://*wvvv.info/i/chrome2.php, в котором содержится ссылка с JS кодом. Браузер запрещает <iframe> доступ к родительской странице, и сам код блокируется NoScript от исполнения, но если перенести его в адресную строку то, конечно, исполнится, поскольку уже не будет являться частью сайта (см. ниже как правильно настроить NoScript для этого случая).

    Интересное


    Иногда была замечена ошибка:
    Warning: mysql_connect() [function.mysql-connect]: User minus90i_acce55 already has more than 'max_user_connections' active connections in /home/minus90i/WWVVV.INFO/i/data/db.php on line 8
    Error connecting to mysql.

    Видимо, авторы не забыли собирать статистику по своему творению.

    Видео всё-таки показывается, про трюки с футбольным мячом, неплохое.

    Сейчас страница с «видео» грузится, но дальше не работает. Видимо, сервер не выдержал всё-таки нагрузки. Обновление: в комментариях говорят, что уже редирект на отдельную страницу с видео (сайт — тот же http://*wvvv.info).

    Как избежать


    К сожалению, программного решения нет; только аппаратное.
    Не следовать непонятным инструкциям, особенно связанным с манипуляцией браузером (клавиатура, адресная строка, закладки, исключения, настройки и т. п.).
    Обновление: тем не менее, есть частичное решение для FireFox.

    Частичное решение для FireFox


    1. Установить NoScript.
    2. Набрать в адресной строке “about:config” и согласиться быть зайками, если попросят.
    3. В строке фильтра набрать “allowURLBarJS” и переключить значение на “false” двойным щелчком.
    Это запретит data и javascript в адресной строке для всех сайтов, кроме разрешённых (Allowed, Trusted, Whitelisted). Решение частичное, поскольку FaceBook чаще всего добавляется посетителями в разрешённые сайты (иначе JavaScript на нём будет работать не везде).

    P.S. * = w. (имя страницы) = WOW-this-guy-has-the-most-amazing-skills-ever-This-is-unbelievable/162965220400728.
    В интернете нашёл ещё скриншоты.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 131

      +4
      Угу, наблюдал такое. «Ctrl + C» сразу вызвал ощущение подозрительного.
        0
        У меня ощущение подозрительного вызвало уже «WOW-this-guy-has-the-most-amazing-skills-ever-This-is-unbelievable» в письме-алерте от фейсбука )
        +116
        Спасибо за Alt-D.
          +13
          Для FireFox фокус в адресную строку — это Alt-D, или F6, или Ctrl-L. Фокус в строку поиска — Ctrl-E или Ctrl-K. Для остальных браузеров, вероятно, похоже.
            +4
            Alt+D в русской раскладке (Alt+В) открывает меню «Вид». Ctrl-L или F6 надежнее
              0
              в Opera Alt+D у меня тоже работает только при ангийском языке ввода (в русском не работает).
              Ctrl+L в этом смысле надёжнее, работает и при русском, и при английском языке ввода.
                +1
                Странно, у меня в Опере при любом языке ввода Alt+D работает.
                  –5
                  потому что опера
                    +1
                    а у меня вызвыает меню Opera DragonFly
                      0
                      > Странно, у меня в Опере при любом языке ввода Alt+D работает.

                      Дык то в виндовсе…
                      0
                      При включённых однокнопочных хоткеях — h.
                        0
                        В Опере, так же, можно нажать F8 для перемещения фокуса ввода в адресную строку.
                          0
                          И F9, чтобы вернуть фонкус на страницу.
                      +2
                      А на маке как?
                        +6
                        Cmd+L
                          0
                          Работает, спасибо. Надо приучить себя пользоваться.
                      +1
                      F6 вроде работает тоже. Интересно везде ли (проверил в FF, Chrome, IE8)
                        –1
                        В Опере не работает, в ней Ctrl + L или F8.
                          +1
                          Вполне работает, последняя сборка 11-й.
                            0
                            11ая — Ctrl + L или F8.
                              0
                              И ALT+D в англ. раскладке…
                                –1
                                а вот и нет — Ubuntu 10.04 x64
                                  –1
                                  А вот и да — mac os x 10.6.4
                                    –1
                                    А вот и да — Ubuntu 10.10 amd64.
                                      0
                                      почему у меню тогда в русской раскладке — контекстом основное меню, в английской — меню DragonFly? Все интереснее :-)
                                        +1
                                        Рандом?:)
                              –1
                              Opera 10.63, Win7
                              Alt+D работает
                                0
                                не, вы ктрл путаете ) ктрл+д это в закладки страницу )
                                  0
                                  все в опере через ж… по-своему. ;)
                                  –5
                                  Ещё Ctrl+Q в некоторых браузерах работает.
                                    –7
                                    Я так понимаю, кто-то уже проверил и убедился, что действительно работает?
                                      0
                                      в опере например нет )
                                • UFO just landed and posted this here
                                  –2
                                  Блин, я повелся.
                                    +15
                                    Злоумышленники всё умнеют, люди всё глупеют.
                                      +16
                                      Сумма разума на земле постоянна, а население растет…
                                        0
                                        Сумма IQ*
                                          +1
                                          Кстати, IQ нормально распределено с математическим ожиданием 100 и среднеквадратическим отклонением 15. Так что сумма не постоянна.
                                          +13
                                          Выходит, удельное количество разума, приходившееся на одного неандертальца в пещере, в сотни тысяч раз превосходило таковое у среднестатистического соверменного человека.
                                            +18
                                            А то, костры научились жечь из ниоткуда, в пещеры перебрались, оружие придумали… Это щас рождаешься и тебе все на блюдечке…
                                        +25
                                        Просто, но эффективно. Ровно по этой же причине бесполезно продвигать десктопный линукс под лозунгом «самая безопасная ОС».
                                          –16
                                          Тролим? :)
                                            +1
                                            вы троллитесь без троллинга
                                            +8
                                            А если у пользователя спросят пароль от рута в похожей формочке и он вобьет его, то будем опять грешить на линукс?
                                              +6
                                              Слабое звено любой системы — человек.
                                              Об этом и шла речь выше.
                                                0
                                                Ну дак речь об ОС, а не об юзере :)
                                                  0
                                                  Речь о юзере, а не об ОС. ОС упоминается в том контексте, что обезьяна с гранатой — это обезьяна с грантой, вне зависимости от типа гранаты.
                                                  0
                                                  Просто автор верхнего комментария грешит на систему, на не на пользователя. Я же пытаюсь показать, что такое можно сделать на любой системе, вне зависимости от ее защищенности, а в зависимости только от того, какой пользователь ей пользуется.
                                                    0
                                                    Повторю написанное человеком, но чуть иначе: по причине пользователей-идиотов, ведущихся на любые разводки, бесполезно продвигать Linux как «самую безопасную ОС».
                                                    Вся безопасность сойдёт на нет, когда очередной лемминг будет собственноручно вводить «sudo rm -rf» :)

                                                    Никто не грешил на систему.
                                                  0
                                                  Да. Потому что эту проблему можно решить: в Windows с UAC весь экран затемняется при появлении формочки ввода пароля администратора, что вебстраница сделать не может.
                                                    0
                                                    В Debian и Ubuntu тоже затемняется экран при запуске gksu.
                                                    Для глупого пользователя хватит затемнения и web-страницы.
                                                  +10
                                                  99.99% проблем не в ОС, а в их пользователях.
                                                    +1
                                                    Не стоит недооценивать потенциал стоящих эксплоитов =)
                                                    Даже на убунте через java уже запускали червя, и хоть и после перезагрузки он исчезал в небытие, факт остаётся фактом =)
                                                    0
                                                    Ну как сказать… Если бы этот скрипт во процессе своих редиректов еще бы какой нибудь эксплоит пробовал применить, а не только сессии тырил или что он там делает… То ОС имела бы значение.
                                                  • UFO just landed and posted this here
                                                      +5
                                                      Может лучше использовать антивирус «Здравый смысл».jpg?
                                                        +4
                                                        Кому делать откаты? Производителям антивирусов?
                                                          +2
                                                          О… дожили… Теперь от слова «откат» только одна ассоциация… Наверное надо где то тут вставить «в этой стране»…
                                                            0
                                                            Какая еще может быть ассоциация, когда вместо того, чтоб башкой думать, предлагают «почаще» откаты делать? :-)
                                                          +17
                                                          Мммм, откат…
                                                          +4
                                                          Такая же пришла)
                                                          Странно, что в ФБ можно сообщить только о «сексуальном недомогательстве» и угрозе «физической расправы» в сообщениях, но о спаме нельзя =(

                                                          ЗЫ у меня интерфейс английский, но думаю, что то, что я имею в виду понятно.
                                                            +44
                                                            «Cексуальное НЕдомогательство» это дааа, серьезная проблема
                                                              0
                                                              Именно поэтому каждое второе спам-сообщение в почте ей посвящено.
                                                            0
                                                            >>К сожалению, программного решения нет; только аппаратное.
                                                            Извините, а какое решение?
                                                              +7
                                                              аппаратное ;)
                                                                +13
                                                                Замена головного мозга =)
                                                                  +1
                                                                  вполне может хватить и hands.dll )
                                                                +7
                                                                Установить правильную прокладку между стулом и монитором.
                                                                  +2
                                                                  заменить пользователя. не?
                                                                  0
                                                                  pastebin.com/eXxTw57s — код, который будет выполнен в результате. Делает несколько запросов к api facebook, например:
                                                                  Адрес: www.facebook.com/ajax/social_graph/invite_dialog.php?class=FanManager&node_id=172541296106263&__a=1
                                                                  Данные: class=FanManager&node_id=172541296106263&__d=1&lsd&post_form_id_source=AsyncRequest&post_form_id={{что-то вытащенное из api}}&fb_dtsg={{что-то вытащенное из api}}

                                                                  Что конкретно делается — я не разобрался. Может быть, какой-нибудь знаток facebook api объяснит?
                                                                    +6
                                                                    увидел в url «social_graph» и в свете последних новостей первая мысль — гугл нашел способ заполучить социальный граф facebook ))
                                                                    0
                                                                    Все гениальное просто.
                                                                      +13
                                                                      6,398 People Like This
                                                                      • UFO just landed and posted this here
                                                                        0
                                                                        О, сейчас маководы порадуются, что шоткаты эти не подходят, ибо там все как минимум через command :)
                                                                        Но когда доля пользователей будет побольше — найдутся и на них подобные атаки :(
                                                                          +4
                                                                          думаем контрл — нажимаем комманд. азбука свичера, хех
                                                                            +1
                                                                            Не, ну если ковыряться — то Alt-G не работает, а Cmd+G вообще общепризнанное «искать еще»

                                                                            Время встраивать в браузеры доп.вопрос — «вы что, действительно хотите выполнить скрипт из адресной строки?», подавляющему большинству пользователей этот функционал все равно не нужен, а кому нужен — (надеюсь) не поймаются на такой трюк :)
                                                                              0
                                                                              Большинство пользователей не знают, что такое адресная строка и тем более — что такое скрипт.
                                                                                +1
                                                                                Именно поэтому и надо скрипты из адресной строки выполнять только по доп. подтверждению или вообще запретить
                                                                                Абстрактный пользователь в ваакуме — как ребенок, не нужно ожидать от него навыка отличать радио-розетку от 220В, лучше просто поставить на обе две спец.заглушки
                                                                                  +1
                                                                                  Да, лучше сделать дополнительную опцию в настройках браузера, которая по умолчанию будет запрещать скрипты из адресной строки. Кому надо — тот включит.
                                                                                    +3
                                                                                    Абстрактный пользователь просто нажмет энтер не читая.
                                                                                    Если в результате ничего не произойдет (т.е. по умолчанию будет «нет») — подумает "#$%" и повторит прошлые действия выбрав не-дефолтный вариант мышкой (все так же не читая текст).

                                                                                    Толку от вопросов «Вы уверены?» ноль — они в 99% случаев либо вообще не читаются, либо со второго раза закрываются на автомате, вплоть до механического нажатия «шифт+дел, энтер» для удаления файлов в винде.
                                                                            +2
                                                                            Спасибо автору, благодаря статье не выполнил подобных действий.
                                                                              +1
                                                                              Спасибо здравому смыслу, благодаря ему я только с Хабра узнал о том, что за «видеоплейером» скрывались какие-то «проверки» :)
                                                                              +2
                                                                              Стыд и позор, но я тоже попался. Уж больно окошки реалистичные были и на фейсбуке не так часто бываю, думал это нормально((

                                                                              Главное, если попался, потом не забыть со своей страницы удалить эту ссылку и на странице с роликом в левом нижнем углу воспользоваться кнопочками «пожаловаться» и «больше не нравится»
                                                                                0
                                                                                Почему-то многие, в том числе и я, думают что это не нормально… Авторизовался раз, никаких проверок безопасности, единственная проверка безопасности — логин на странице входа в фейсбук!
                                                                                  +2
                                                                                  Зря вы так думаете. При смене страны (айпи) фейсбук будет вас просить пройти повторную валидацию чтобы убедится что это вы. Меня личных данных не спрашивал, но видел как человеку давалось задание сообщить имя друга изображенного на представленной фотке и так пару раз.
                                                                                    +1
                                                                                    Ну мало ли. Мне в голову пришли примерно такие мысли:
                                                                                    «о… наконец то юзерфрендли каптча, надоело циферки с картинок вводить… какой фейсбук продвинутый… хотя… странно, сочетания клавиш ведь спарсить можно… да наверное там яваскриптом все обфусцируется чтоб тупо не спарсили… ай, да не важно, ведь окошко попап — фейсбучное, страничка фейсбучная… Встроить зловред такого вида можно по идее только в Iframe а тут вкладка Video… сделаю что просят интересно что мне там за видео такое насоветовали»
                                                                                    Т.е. о безопасности то я думал, но не знал что в ФБ можно создать вкладку Video и в нее встроить iframe.
                                                                                      0
                                                                                      Я об этом и не подумал, нажал Ctrl+C, Alt+D, увидел, что выделилась адресная строка и задумался.
                                                                                        +3
                                                                                        Я начал с «мышкового» теста, прекрасно в принципе осознавая, что если в браузерную строку вставить javascript:… то он выполнится и может сделать бяку, но я не знал что после перетаскивания в адресную строку НЕ ОБЯЗАТЕЛЬНО нажимать Enter для выполнения JS.

                                                                                        А уже после того как мышковый тест сработал, стало интересно разобраться как эта хрень устроена. Решил посмотреть на клавиатурный тест и тоже остановился после Ctrl+D т.к. краем глаза увидел что адресная строка выделена.

                                                                                        В любом случае стоит признать, что хреновина эта достаточно грамотно сделана
                                                                                          0
                                                                                          /me — пользователь Vimperator'а, потому у меня по Alt-D открывается окошко Open Web Location и всё становится ясно. Но вообще, сам текст notification'а, пришедшего на почту, заставил задуматься, потому по ссылке я даже не ходил.
                                                                                    +1
                                                                                    А видео-то в итоге показывалось, или нет?
                                                                                      –1
                                                                                      Да, показывалось :( Прикольное, правда…
                                                                                        +1
                                                                                        А я не проделал всех этих действий только потому, что поленился :)
                                                                                          0
                                                                                          А я правда подумал, что это сам ФБ просит. И сначала сделал, а потом понял, что развод…
                                                                                            0
                                                                                            а мне было лень смотреть видео, потому до ctrl+c даже не дошла :)
                                                                                          +1
                                                                                          www.youtube.com/watch?v=N-7-35RaZrE вот это видео
                                                                                            0
                                                                                            Да, вот это: b23.ru/caiz
                                                                                            0
                                                                                            Т.е. ниче зловредного этот червь не делает? По сути, просто автор его проверил, сколько людей попадется?
                                                                                              0
                                                                                              Этот червь мог бы попросить тупо ввести пароль, например сказав что… сессия истекла.
                                                                                              +1
                                                                                              2 часа назад получил такое, так и думал что подстава.
                                                                                                +1
                                                                                                Кстати при установленном Noscript или просто отключенном JS, сей червь редиректит на одну из страниц разных проектов (сюда и сюда), где написано про то как отключить Noscript или про включение JS. Так же для перехода на целевую страницу, червь использует bit.ly, благодаря чему можно увидетьстатистику по кликам.
                                                                                                  0
                                                                                                  Я смутился еще на стадии «Sergii says: Check this out!», потому что маловероятно, что друг будет писать что-то на англ., если мы всегда общаемся на русском :). Но подумал, что автосгенерированное сообщение, как это часто бывает при шаринге ссылок, и в итоге прошел всю процедуру :(. И только последующие сообщения от друзей на англ. типа «This is unbelieveable!» убедили меня, что это очередной социальный вирусняк…
                                                                                                    +1
                                                                                                    Теперь редиректит на страницу wwvvv.info/media/watch?v=iWg397gh_42&h=349c23af272b3ac6af063ba3bda7f954&sess=e65ff59cb64ce945b93328016f59af53&k=washington_dui, где просто вставлен ролик с youtube
                                                                                                      –1
                                                                                                      FFFFFFFFFFFFFFFUUUUUUUUUUUUUUUUUUUUUUUU
                                                                                                      Почему этот пост не появился на три часа раньше?
                                                                                                        +3
                                                                                                        Постфактум, если кто лоханулся — можно зайти в отправленные и грохнуть оттуда последнее сообщение.
                                                                                                          +1
                                                                                                          Заказы на такие вещи на odesk.com были ещё прошлой зимой. Удивлён что «достоянием» общественности это стало только сейчас :-)
                                                                                                            +2
                                                                                                            Социальная инженерия на Хабре: под видом рассказа про червя в Facebook-е собирается информация, какие пользователи Хабра зарегистрированы на Facebook-е :)
                                                                                                              0
                                                                                                              У вас нема профиля на Facebook…
                                                                                                                0
                                                                                                                Я зарегистрирован на Facebook, можешь поставить себе галочку.
                                                                                                                +1
                                                                                                                > Как избежать

                                                                                                                > К сожалению, программного решения нет; только аппаратное.

                                                                                                                При подозрительных ссылках, когда кажется, что картинка чуть размыта лучше а) ткнуть правой кнопкой, у флеша свое меню б) отключить в опере загрузку плагинов автоматически, это покажет все фейки.

                                                                                                                У знакомых на ноуте вываливался сайт с порно, который имел по середине имитацию плеера, через который грузился троян.
                                                                                                                  +9
                                                                                                                  Что тут скажешь! Сделано все очень круто, качественно и убедительно. Юзабельные формы, с подсказкой на каждом шаге, супер. Вот бы все ПО делали таким удобным и понятным, как у этих спамеров в фейсбуке. Социальная инженерия строится на поведении, и чем более доведенное до автоматизма поведение используется, тем больше народу даже не осознает, что они что-то сделали не так. Моральные аспекты оставим в стороне, это и так очевидно, что все спамеры заслуживают вечно гореть в аду с ржавым кирпичом в заднице.

                                                                                                                  Но самое главное! Как же достали все эти нии*аца крутые чуваки (see comments above), которые все как один супер-пупер-мега-умные, у которых IQ выше 549283423, и которые, конечно же, именно благодаря своему невъе.. высшему интеллекту «никогда не попадаются» на такие дела, ну а все остальные — ясен пень, тупые, как первобытные люди.
                                                                                                                  Господа, успешная социальная инженерия строится на поведении, привычках, автоматизме и уровне доверия (который и снижает внимательность), а не на недостатке интеллекта.
                                                                                                                    0
                                                                                                                    Кстати, странно что страницу до сих пор не заблокировали.
                                                                                                                      0
                                                                                                                      Я репортил как абюз. Хз, похоже лайков больше чем репортов про абьюз. Вот системе и кажется что все ок.
                                                                                                                    0
                                                                                                                    Обновление

                                                                                                                    Частичное решение для FireFox
                                                                                                                    1. Установить Noscript.
                                                                                                                    2. Набрать в адресной строке “about:config” и согласиться быть зайками, если попросят.
                                                                                                                    3. В строке фильтра набрать “allowURLBarJS” и переключить значение на “false” двойным щелчком.
                                                                                                                    Это запретит data и javascript в адресной строке для всех сайтов, кроме разрешённых (Allowed, Trusted, Whitelisted). Решение частичное, поскольку FaceBook чаще всего добавляется посетителями в разрешённые сайты (иначе Javascript на нём будет работать не везде).
                                                                                                                      0
                                                                                                                      Интересно, почему alt-d когда стандарт фактически ctrl-l
                                                                                                                        +2
                                                                                                                        Наверное из-за расстояния между клавишами
                                                                                                                        0
                                                                                                                        Почему в посте ни слова о том что происходит после валиадции? У меня оно показало кнопочки «показать видео» и «скачать видео». Последняя предлагала скачать «новейший флэш-плеер».
                                                                                                                          0
                                                                                                                          Ага пришло вчера :) Когда вылетело окошко с «защитой от ботов» слегка удивился и закрыл, не задумываясь.
                                                                                                                            0
                                                                                                                            А в ВКонтакте такое можно реализовать?
                                                                                                                              –2
                                                                                                                              Почему нет? Вы думаете в нем меньше уязвим остей чем в facebook'e?
                                                                                                                                +1
                                                                                                                                Думаю тут дело не в уязвимостях, а в возможностях API.
                                                                                                                              0
                                                                                                                              Сейчас при переходе на страницу с видео предлагают платную хрень =)

                                                                                                                              Вот вам и развитие событий. А вы думали, всё так и останется безобидным развлечением?
                                                                                                                                +2
                                                                                                                                Гениально
                                                                                                                                  +4
                                                                                                                                  Кевин Митник одобряэ
                                                                                                                                    0
                                                                                                                                    Вот чёрт! У меня пришло такое же оповещение, но после нажатия на play ничего не происходило, поэтому и не вызвало подозрения. За пояснения спасибо, будем бдительнее.
                                                                                                                                      –1
                                                                                                                                      А ведь все смеялись когда Дуров запрещал слово javascript… А тем не менее сколько хабровчан попалось. Похоже пора решать проблему на уровне браузера — исполнение javascript нужно только для отладки, потому его лучше в средства отладки (которые сейчас есть во всех браузерах) и перенести.
                                                                                                                                        +2
                                                                                                                                        Что интересно, мне пришло это письмо со ссылкой даже от сотрудника Лаборатории Касперского, который тоже попался на эту фигню.
                                                                                                                                          +2
                                                                                                                                          Что интересно, с точки зрения рядового, ни в чем не разбирающегося, юзера — ваш пост содержит изрядную долю тонкого юмора вроде парадокса лжеца:

                                                                                                                                          ===
                                                                                                                                          Как избежать
                                                                                                                                          Не следовать непонятным инструкциям, особенно связанным с манипуляцией браузером (клавиатура, адресная строка, закладки, исключения, настройки и т. п.).

                                                                                                                                          Частичное решение для FireFox
                                                                                                                                          1. Установить Noscript.
                                                                                                                                          2. Набрать в адресной строке…
                                                                                                                                          ===

                                                                                                                                          … и дальше куча страшных непонятных инструкций… 8)
                                                                                                                                            +1
                                                                                                                                            Супер. А вообще, всё в этом мире — вопрос доверия, да и пост о том же.
                                                                                                                                              0
                                                                                                                                              Ага, базовое правило безопасности — не забудь вовремя проверить, доверяешь ли ты источнику информации. Весь социальный инжиниринг пляшет вокруг доверия. )
                                                                                                                                                0
                                                                                                                                                Вот именно. Мощь этого конкретного хака в том, что он «внутри фейсбука», в котором почти все чувствуют себя в безопасности. Здорово придумано.

                                                                                                                                            Only users with full accounts can post comments. Log in, please.