Комментарии 131
Угу, наблюдал такое. «Ctrl + C» сразу вызвал ощущение подозрительного.
Спасибо за Alt-D.
Для FireFox фокус в адресную строку — это Alt-D, или F6, или Ctrl-L. Фокус в строку поиска — Ctrl-E или Ctrl-K. Для остальных браузеров, вероятно, похоже.
Alt+D в русской раскладке (Alt+В) открывает меню «Вид». Ctrl-L или F6 надежнее
в Opera Alt+D у меня тоже работает только при ангийском языке ввода (в русском не работает).
Ctrl+L в этом смысле надёжнее, работает и при русском, и при английском языке ввода.
Ctrl+L в этом смысле надёжнее, работает и при русском, и при английском языке ввода.
А на маке как?
F6 вроде работает тоже. Интересно везде ли (проверил в FF, Chrome, IE8)
НЛО прилетело и опубликовало эту надпись здесь
Блин, я повелся.
Злоумышленники всё умнеют, люди всё глупеют.
Просто, но эффективно. Ровно по этой же причине бесполезно продвигать десктопный линукс под лозунгом «самая безопасная ОС».
Тролим? :)
А если у пользователя спросят пароль от рута в похожей формочке и он вобьет его, то будем опять грешить на линукс?
Слабое звено любой системы — человек.
Об этом и шла речь выше.
Об этом и шла речь выше.
Да. Потому что эту проблему можно решить: в Windows с UAC весь экран затемняется при появлении формочки ввода пароля администратора, что вебстраница сделать не может.
99.99% проблем не в ОС, а в их пользователях.
Ну как сказать… Если бы этот скрипт во процессе своих редиректов еще бы какой нибудь эксплоит пробовал применить, а не только сессии тырил или что он там делает… То ОС имела бы значение.
НЛО прилетело и опубликовало эту надпись здесь
Такая же пришла)
Странно, что в ФБ можно сообщить только о «сексуальном недомогательстве» и угрозе «физической расправы» в сообщениях, но о спаме нельзя =(
ЗЫ у меня интерфейс английский, но думаю, что то, что я имею в виду понятно.
Странно, что в ФБ можно сообщить только о «сексуальном недомогательстве» и угрозе «физической расправы» в сообщениях, но о спаме нельзя =(
ЗЫ у меня интерфейс английский, но думаю, что то, что я имею в виду понятно.
>>К сожалению, программного решения нет; только аппаратное.
Извините, а какое решение?
Извините, а какое решение?
pastebin.com/eXxTw57s — код, который будет выполнен в результате. Делает несколько запросов к api facebook, например:
Адрес: www.facebook.com/ajax/social_graph/invite_dialog.php?class=FanManager&node_id=172541296106263&__a=1
Данные: class=FanManager&node_id=172541296106263&__d=1&lsd&post_form_id_source=AsyncRequest&post_form_id={{что-то вытащенное из api}}&fb_dtsg={{что-то вытащенное из api}}
Что конкретно делается — я не разобрался. Может быть, какой-нибудь знаток facebook api объяснит?
Адрес: www.facebook.com/ajax/social_graph/invite_dialog.php?class=FanManager&node_id=172541296106263&__a=1
Данные: class=FanManager&node_id=172541296106263&__d=1&lsd&post_form_id_source=AsyncRequest&post_form_id={{что-то вытащенное из api}}&fb_dtsg={{что-то вытащенное из api}}
Что конкретно делается — я не разобрался. Может быть, какой-нибудь знаток facebook api объяснит?
Все гениальное просто.
НЛО прилетело и опубликовало эту надпись здесь
О, сейчас маководы порадуются, что шоткаты эти не подходят, ибо там все как минимум через command :)
Но когда доля пользователей будет побольше — найдутся и на них подобные атаки :(
Но когда доля пользователей будет побольше — найдутся и на них подобные атаки :(
думаем контрл — нажимаем комманд. азбука свичера, хех
Не, ну если ковыряться — то Alt-G не работает, а Cmd+G вообще общепризнанное «искать еще»
Время встраивать в браузеры доп.вопрос — «вы что, действительно хотите выполнить скрипт из адресной строки?», подавляющему большинству пользователей этот функционал все равно не нужен, а кому нужен — (надеюсь) не поймаются на такой трюк :)
Время встраивать в браузеры доп.вопрос — «вы что, действительно хотите выполнить скрипт из адресной строки?», подавляющему большинству пользователей этот функционал все равно не нужен, а кому нужен — (надеюсь) не поймаются на такой трюк :)
Большинство пользователей не знают, что такое адресная строка и тем более — что такое скрипт.
Именно поэтому и надо скрипты из адресной строки выполнять только по доп. подтверждению или вообще запретить
Абстрактный пользователь в ваакуме — как ребенок, не нужно ожидать от него навыка отличать радио-розетку от 220В, лучше просто поставить на обе две спец.заглушки
Абстрактный пользователь в ваакуме — как ребенок, не нужно ожидать от него навыка отличать радио-розетку от 220В, лучше просто поставить на обе две спец.заглушки
Да, лучше сделать дополнительную опцию в настройках браузера, которая по умолчанию будет запрещать скрипты из адресной строки. Кому надо — тот включит.
Абстрактный пользователь просто нажмет энтер не читая.
Если в результате ничего не произойдет (т.е. по умолчанию будет «нет») — подумает "#$%" и повторит прошлые действия выбрав не-дефолтный вариант мышкой (все так же не читая текст).
Толку от вопросов «Вы уверены?» ноль — они в 99% случаев либо вообще не читаются, либо со второго раза закрываются на автомате, вплоть до механического нажатия «шифт+дел, энтер» для удаления файлов в винде.
Если в результате ничего не произойдет (т.е. по умолчанию будет «нет») — подумает "#$%" и повторит прошлые действия выбрав не-дефолтный вариант мышкой (все так же не читая текст).
Толку от вопросов «Вы уверены?» ноль — они в 99% случаев либо вообще не читаются, либо со второго раза закрываются на автомате, вплоть до механического нажатия «шифт+дел, энтер» для удаления файлов в винде.
Спасибо автору, благодаря статье не выполнил подобных действий.
Стыд и позор, но я тоже попался. Уж больно окошки реалистичные были и на фейсбуке не так часто бываю, думал это нормально((
Главное, если попался, потом не забыть со своей страницы удалить эту ссылку и на странице с роликом в левом нижнем углу воспользоваться кнопочками «пожаловаться» и «больше не нравится»
Главное, если попался, потом не забыть со своей страницы удалить эту ссылку и на странице с роликом в левом нижнем углу воспользоваться кнопочками «пожаловаться» и «больше не нравится»
Почему-то многие, в том числе и я, думают что это не нормально… Авторизовался раз, никаких проверок безопасности, единственная проверка безопасности — логин на странице входа в фейсбук!
Зря вы так думаете. При смене страны (айпи) фейсбук будет вас просить пройти повторную валидацию чтобы убедится что это вы. Меня личных данных не спрашивал, но видел как человеку давалось задание сообщить имя друга изображенного на представленной фотке и так пару раз.
Ну мало ли. Мне в голову пришли примерно такие мысли:
«о… наконец то юзерфрендли каптча, надоело циферки с картинок вводить… какой фейсбук продвинутый… хотя… странно, сочетания клавиш ведь спарсить можно… да наверное там яваскриптом все обфусцируется чтоб тупо не спарсили… ай, да не важно, ведь окошко попап — фейсбучное, страничка фейсбучная… Встроить зловред такого вида можно по идее только в Iframe а тут вкладка Video… сделаю что просят интересно что мне там за видео такое насоветовали»
Т.е. о безопасности то я думал, но не знал что в ФБ можно создать вкладку Video и в нее встроить iframe.
«о… наконец то юзерфрендли каптча, надоело циферки с картинок вводить… какой фейсбук продвинутый… хотя… странно, сочетания клавиш ведь спарсить можно… да наверное там яваскриптом все обфусцируется чтоб тупо не спарсили… ай, да не важно, ведь окошко попап — фейсбучное, страничка фейсбучная… Встроить зловред такого вида можно по идее только в Iframe а тут вкладка Video… сделаю что просят интересно что мне там за видео такое насоветовали»
Т.е. о безопасности то я думал, но не знал что в ФБ можно создать вкладку Video и в нее встроить iframe.
Я об этом и не подумал, нажал Ctrl+C, Alt+D, увидел, что выделилась адресная строка и задумался.
Я начал с «мышкового» теста, прекрасно в принципе осознавая, что если в браузерную строку вставить javascript:… то он выполнится и может сделать бяку, но я не знал что после перетаскивания в адресную строку НЕ ОБЯЗАТЕЛЬНО нажимать Enter для выполнения JS.
А уже после того как мышковый тест сработал, стало интересно разобраться как эта хрень устроена. Решил посмотреть на клавиатурный тест и тоже остановился после Ctrl+D т.к. краем глаза увидел что адресная строка выделена.
В любом случае стоит признать, что хреновина эта достаточно грамотно сделана
А уже после того как мышковый тест сработал, стало интересно разобраться как эта хрень устроена. Решил посмотреть на клавиатурный тест и тоже остановился после Ctrl+D т.к. краем глаза увидел что адресная строка выделена.
В любом случае стоит признать, что хреновина эта достаточно грамотно сделана
/me — пользователь Vimperator'а, потому у меня по Alt-D открывается окошко Open Web Location и всё становится ясно. Но вообще, сам текст notification'а, пришедшего на почту, заставил задуматься, потому по ссылке я даже не ходил.
А видео-то в итоге показывалось, или нет?
Да, показывалось :( Прикольное, правда…
www.youtube.com/watch?v=N-7-35RaZrE вот это видео
Да, вот это: b23.ru/caiz
Т.е. ниче зловредного этот червь не делает? По сути, просто автор его проверил, сколько людей попадется?
2 часа назад получил такое, так и думал что подстава.
Кстати при установленном Noscript или просто отключенном JS, сей червь редиректит на одну из страниц разных проектов (сюда и сюда), где написано про то как отключить Noscript или про включение JS. Так же для перехода на целевую страницу, червь использует bit.ly, благодаря чему можно увидетьстатистику по кликам.
Я смутился еще на стадии «Sergii says: Check this out!», потому что маловероятно, что друг будет писать что-то на англ., если мы всегда общаемся на русском :). Но подумал, что автосгенерированное сообщение, как это часто бывает при шаринге ссылок, и в итоге прошел всю процедуру :(. И только последующие сообщения от друзей на англ. типа «This is unbelieveable!» убедили меня, что это очередной социальный вирусняк…
Теперь редиректит на страницу wwvvv.info/media/watch?v=iWg397gh_42&h=349c23af272b3ac6af063ba3bda7f954&sess=e65ff59cb64ce945b93328016f59af53&k=washington_dui, где просто вставлен ролик с youtube
FFFFFFFFFFFFFFFUUUUUUUUUUUUUUUUUUUUUUUU
Почему этот пост не появился на три часа раньше?
Почему этот пост не появился на три часа раньше?
Постфактум, если кто лоханулся — можно зайти в отправленные и грохнуть оттуда последнее сообщение.
Заказы на такие вещи на odesk.com были ещё прошлой зимой. Удивлён что «достоянием» общественности это стало только сейчас :-)
Социальная инженерия на Хабре: под видом рассказа про червя в Facebook-е собирается информация, какие пользователи Хабра зарегистрированы на Facebook-е :)
> Как избежать
> К сожалению, программного решения нет; только аппаратное.
При подозрительных ссылках, когда кажется, что картинка чуть размыта лучше а) ткнуть правой кнопкой, у флеша свое меню б) отключить в опере загрузку плагинов автоматически, это покажет все фейки.
У знакомых на ноуте вываливался сайт с порно, который имел по середине имитацию плеера, через который грузился троян.
> К сожалению, программного решения нет; только аппаратное.
При подозрительных ссылках, когда кажется, что картинка чуть размыта лучше а) ткнуть правой кнопкой, у флеша свое меню б) отключить в опере загрузку плагинов автоматически, это покажет все фейки.
У знакомых на ноуте вываливался сайт с порно, который имел по середине имитацию плеера, через который грузился троян.
Что тут скажешь! Сделано все очень круто, качественно и убедительно. Юзабельные формы, с подсказкой на каждом шаге, супер. Вот бы все ПО делали таким удобным и понятным, как у этих спамеров в фейсбуке. Социальная инженерия строится на поведении, и чем более доведенное до автоматизма поведение используется, тем больше народу даже не осознает, что они что-то сделали не так. Моральные аспекты оставим в стороне, это и так очевидно, что все спамеры заслуживают вечно гореть в аду с ржавым кирпичом в заднице.
Но самое главное! Как же достали все эти нии*аца крутые чуваки (see comments above), которые все как один супер-пупер-мега-умные, у которых IQ выше 549283423, и которые, конечно же, именно благодаря своемуневъе.. высшему интеллекту «никогда не попадаются» на такие дела, ну а все остальные — ясен пень, тупые, как первобытные люди.
Господа, успешная социальная инженерия строится на поведении, привычках, автоматизме и уровне доверия (который и снижает внимательность), а не на недостатке интеллекта.
Но самое главное! Как же достали все эти нии*аца крутые чуваки (see comments above), которые все как один супер-пупер-мега-умные, у которых IQ выше 549283423, и которые, конечно же, именно благодаря своему
Господа, успешная социальная инженерия строится на поведении, привычках, автоматизме и уровне доверия (который и снижает внимательность), а не на недостатке интеллекта.
Обновление
Частичное решение для FireFox
1. Установить Noscript.
2. Набрать в адресной строке “about:config” и согласиться быть зайками, если попросят.
3. В строке фильтра набрать “allowURLBarJS” и переключить значение на “false” двойным щелчком.
Это запретит
Частичное решение для FireFox
1. Установить Noscript.
2. Набрать в адресной строке “about:config” и согласиться быть зайками, если попросят.
3. В строке фильтра набрать “allowURLBarJS” и переключить значение на “false” двойным щелчком.
Это запретит
data и javascript в адресной строке для всех сайтов, кроме разрешённых (Allowed, Trusted, Whitelisted). Решение частичное, поскольку FaceBook чаще всего добавляется посетителями в разрешённые сайты (иначе Javascript на нём будет работать не везде).
Интересно, почему alt-d когда стандарт фактически ctrl-l
Почему в посте ни слова о том что происходит после валиадции? У меня оно показало кнопочки «показать видео» и «скачать видео». Последняя предлагала скачать «новейший флэш-плеер».
Ага пришло вчера :) Когда вылетело окошко с «защитой от ботов» слегка удивился и закрыл, не задумываясь.
А в ВКонтакте такое можно реализовать?
Сейчас при переходе на страницу с видео предлагают платную хрень =)
Вот вам и развитие событий. А вы думали, всё так и останется безобидным развлечением?
Вот вам и развитие событий. А вы думали, всё так и останется безобидным развлечением?
Гениально
Кевин Митник одобряэ
Вот чёрт! У меня пришло такое же оповещение, но после нажатия на play ничего не происходило, поэтому и не вызвало подозрения. За пояснения спасибо, будем бдительнее.
А ведь все смеялись когда Дуров запрещал слово javascript… А тем не менее сколько хабровчан попалось. Похоже пора решать проблему на уровне браузера — исполнение javascript нужно только для отладки, потому его лучше в средства отладки (которые сейчас есть во всех браузерах) и перенести.
Что интересно, мне пришло это письмо со ссылкой даже от сотрудника Лаборатории Касперского, который тоже попался на эту фигню.
Что интересно, с точки зрения рядового, ни в чем не разбирающегося, юзера — ваш пост содержит изрядную долю тонкого юмора вроде парадокса лжеца:
===
Как избежать
Не следовать непонятным инструкциям, особенно связанным с манипуляцией браузером (клавиатура, адресная строка, закладки, исключения, настройки и т. п.).
Частичное решение для FireFox
1. Установить Noscript.
2. Набрать в адресной строке…
===
… и дальше куча страшных непонятных инструкций… 8)
===
Как избежать
Не следовать непонятным инструкциям, особенно связанным с манипуляцией браузером (клавиатура, адресная строка, закладки, исключения, настройки и т. п.).
Частичное решение для FireFox
1. Установить Noscript.
2. Набрать в адресной строке…
===
… и дальше куча страшных непонятных инструкций… 8)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Социальная инженерия в Facebook и не только. Разбор новой «уязвимости»