Wie genau funktioniert ein Facebook-Wurm?

27

Ich hatte ursprünglich angenommen, dass eine FB-Freundin einen böswilligen Link verbreitet, weil sie eine App unschuldig angenommen und ihr Privilegien verliehen hatte, aber sie sagt, dass dies nicht der Fall ist. Siehe den Austausch:

Freund: "Klickt nicht auf den Link, den Ihr von mir bekommen habt! Er ist infiziert! Ich habe ihn von (Name redigiert) erhalten !!! Es tut mir leid! Ich muss hier bleiben ******!"
Ich: "Sie haben eine FB-Bewerbung angenommen. Sie müssen nur zu Konto -> Datenschutzeinstellungen -> Apps und Websites gehen und die betreffende Bewerbung nicht annehmen. Deshalb mache ich keine FB-Apps, Punkt."
Freund: Es ist keine App. nicht auf der Liste ... es ist ein Wurm

Wie funktioniert das? JavaScript-Spielereien, wenn die Person auf den Link klickt?

JCCyC
quelle

Antworten:

31

Ja, genau JavaScript. Ich habe gerade einen solchen Wurm getroffen und versucht ihn zu entschlüsseln.

Was ist das eigentliche Problem:

Der aktuelle Facebook-Wurm bewirkt, dass Benutzer eine Seite besuchen. Dadurch fügen sie einen JavaScript-String in ihre Adressleiste ein und führen ihn aus.

Also, NICHT ÜBERHAUPT kopieren einige JavaScript - Code in die Adressleiste. Das ist das Hauptproblem. Und klicken Sie nicht auf Links, denen Sie nicht vertrauen. Oder öffnen Sie diese Links zumindest in einem neuen Fenster im Datenschutzmodus (Firefox) oder im Inkognito-Modus (Chrome), damit sie nicht auf Ihre Facebook-Sitzung zugreifen können.


Was haben unsere Hacker getan, damit die Leute nicht merken, was sie tun?

Das Skript wird ausgeblendet

Die Zeichenfolge, die Sie in die URL-Leiste kopieren, verweist meist auf ein anderes JavaScript, das ausgeführt wird. Dieses Skript wird tatsächlich in Entitäten dekodiert. Anstatt Zeichen zu verwenden, wurde das gesamte Skript in eine Zeichenfolge eingefügt und ausgeblendet, sodass es von keinem Menschen gelesen werden konnte.

Wenn ich zum Beispiel eine sehr bösartige Funktion hätte, würde ich sie umgehen und der Benutzer würde nur Folgendes sehen:

Funktion% 20test% 28% 29% 20% 7B% 20alert% 20% 28% 22LOL% 22% 29% 3B% 20% 7D

und entkommen wäre es

Funktionstest () {alert ("LOL"); }

Das Skript hebt daher "sich selbst" auf, bevor es ausgeführt wird.

Verschleierung

Jetzt wird es hässlich: Vor dem Entkommen wird der böse JavaScript-Code mit Funktionsnamen wie _____xund Variablen wie verschleiert aLDIWEJ. Dies ist für JavaScript immer noch sinnvoll, für den Menschen jedoch völlig unlesbar. Dies geschieht wiederum, um die Absichten unserer Facebook-Hacker zu verschleiern.

Zu diesem Zeitpunkt hätte der Code ungefähr so ​​aussehen können:

Bildbeschreibung hier eingeben

Was das Skript macht

Nun, dieses Skript nimmt Ihre aktuelle Facebook-Sitzung auf. Da Sie auf der Site angemeldet sind, kann sie alles in Ihrem Namen tun. Über die Facebook-API können beispielsweise folgende Aktionen ausgeführt werden:

  • Erstellen eines Ereignisses wie "OMG, ich kann sehen, wer mich verfolgt hat!"
  • mit Leuten chatten
  • Aktualisierungen des Buchungsstatus
  • etc.

Dies alles geschieht durch Aufrufen einiger API-Seiten von Facebook (einige PHP-Seiten, die ich vergessen habe).

slhck
quelle
5

Kurz gesagt ... es ist ein Virus ... wie jeder andere. Die Methode, mit der es sich selbst repliziert, besteht darin, Beiträge in Ihrem Konto zu erstellen, nachdem sie von einer anderen Seite ausgeführt wurden. Abhängig vom verwendeten Browser und / oder Betriebssystem und den Sicherheitslücken ist alles möglich. Sobald das Skript in Ihrem Browser ausgeführt wird (was mit einem einfachen Klick gestartet werden kann), verwendet es wiederum Ihre zwischengespeicherten Anmeldeinformationen, um Beiträge auf Ihrer Seite zu erstellen. Diese enthält den gleichen / ähnlichen Link, auf den Sie ursprünglich geklickt haben.

Wenn Sie Javascript / Flash / und eine Reihe anderer Dinge (die von Facebook benötigt werden) nicht deaktivieren, können Sie sich nicht vor solchen Exploits schützen.

Eine schnelle und schmutzige Abhilfe ... bevor Sie auf Links in anderen Posts klicken ... schauen Sie, wohin es geht. Vermeiden Sie Links, die mit einem Rautezeichen ("#") enden oder eine Art JavaScript-Verweis haben ... oder über keinen tatsächlichen Link verfügen. (dh es scheint, dass keine URL aufgerufen wird)

Oder Sie könnten immer meinen Ansatz wählen ... und Facebook / Twitter / etc ... komplett meiden. Ich habe noch nichts für einen dieser Dienste gefunden, dem ich einen Wert oder einen Wert beimessen würde. Freunde und Familie wissen, wie man E-Mails verschickt ... oder noch besser ... heben Sie den Hörer ab. (nur meine Meinung für das, was es wert ist)

TheCompWiz
quelle
1
nicht wirklich genau ... es gibt viele möglichkeiten, sich davor zu schützen. Sie können beispielsweise ein Plugin wie NoScript verwenden, um das Javascript nicht auszuführen. Sie können den Link im Datenschutz- / Inkognito-Modus in einem neuen Fenster öffnen, und das neue Fenster hat keinen Zugriff auf Ihre Facebook-Sitzung. Wenn Ihre Sicherheit nur darauf abzielt, verdächtige Links zu vermeiden, ist dies nicht sehr effektiv. Wenn Sie stattdessen sichere Browsing-Tools korrekt verwenden, müssen Sie sich nicht vor dem fürchten, was sich hinter jedem Linkklick verbirgt.
Brian Schroth
@Brian Schroth: Wie ich in meinem Post gesagt habe, "ohne Javascript / flash / .... zu deaktivieren", macht NoScript genau das. Sie haben Recht, dass Sie nicht vor vielen Exploits geschützt sind, wenn Sie nur auf das Ziel des Links schauen. Der Inkognito-Modus schützt Sie nicht vor Viren. Außerdem treten Probleme auf, wenn Sie versuchen, den Links zwischen den Sitzungen zu folgen. In Wahrheit ... sollten die Menschen in Angst vor dem leben, was jenseits von Verbindungen liegt. Sie sollten sich einen Moment Zeit nehmen, um darüber nachzudenken, worauf sie klicken.
TheCompWiz
1
NoScript deaktiviert Javascript nicht. Es bietet eine detaillierte Kontrolle darüber, was JavaScript ausführt und was nicht. Ihre Antwort impliziert, dass Sie Facebook nicht mehr nutzen können, wenn Sie "Javascript deaktivieren". Wenn Sie jedoch NoScript verwenden, können Sie facebook.com-Skripte zulassen, während Sie dennoch vor dem Javascript einiger zufälliger Malware-Websites geschützt sind.
Brian Schroth