Facebook zaplavila vlna clickjackingu

Tereza Sýkorová , 04. červen 2010 19:17 1 komentářů

Statisíce uživatelů Facebooku se stávají obětmi takzvaných clickjackingových útoků. Uživatel vidí link nazvaný například "Světový pohár 2010", nebo "Telefonní číslo Justina Biebera", a zdá se, že jeho přátelům se "líbil". Když klikne na link, je podloudně přinucen doporučit inkriminovanou stránku dalším uživatelům Facebooku.

Zuckerberg

Odborníci na bezpečnost se shodují, že tento podvod zatím nemá žádný neblahý záměr, avšak bylo by lehce možné tímto způsobem šířit malware. Link uživatele většinou přivede na stránku obsahující pokyny, například kliknout na tlačítko na potvrzení, že jsou starší 18ti let. Ovšem ať už na stránce kliknou kamkoliv, přidá se do jejich profilu link, který tvrdí, že se jim ona stránka také "líbila".

V současné době je podle Grahama Clueleyho z konsultingové společnosti Sophos účel clickjackingu "neškodný" a nevede přímo k žádným malwarovým nebo phishingovým útokům. "V současnosti se útoky, které jsme zaznamenali, podobají spíše starým dobrým virům - jsou vytvořené za účelem toho, aby tvůrce viděl, kolik fanoušků se mu podaří napálit. Ale máme pocit, že v rukou zlých lidí, kteří baží po zisku, by se tato metoda mohla proměnit v něco horšího," prozradil Clueley.

Clickjacking funguje na všech operačních systémech. Facebookové útoky používají iFrames, který umístí neviditelné tlačítko přes celou stránku, takže ať už uživatel klikne kdekoliv, tlačítko zmáčkne. V tomto případě se jedná o skryté tlačítko "To se mi líbí". Bezplatný plugin s názvem NoScript vytvořený pro prohlížeč Firefox nabízí vyskakovací varování o potenciálním clickjackingu. Nicméně varuje i pokud se na stránce vyskytne Flashové video, které je poměrně časté. Navíc je podle Clueleyho poměrně obtížné tento plugin nainstalovat. "Dovedou to v zásadě jen počítačoví šílenci."

Zdroj: BBC


Komentáře

Náhodný kolemjdoucí #1
Náhodný kolemjdoucí 04. červen 2010 23:10

Ve zdrojáku stránky (ctrl+U) by mohlo být něco vidět?

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

Operátoři díky výměně kmitočtů zrychlí mobilní internet

ČTK , 23. červen 2017 12:36

Mobilní operátoři O2, T-Mobile a Vodafone si vyměnili kmitočty v pásmu 1800 MHz pro provoz rychlých ...

Více 0 komentářů

Toshiba a Western Digital stále ve sporu

ČTK , 23. červen 2017 08:39

Toshiba chce prodat čipovou divizi skupině, za kterou stojí vláda. ...

Více 0 komentářů

CETIN vyplatí PPF za loňský rok dividendu 2,36 miliardy Kč

ČTK , 23. červen 2017 08:00

CETIN loni zvýšil čistý zisk o 16 % na 2,26 miliardy Kč....

Více 0 komentářů

Starší zprávičky

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů

Česká asociace pojišťoven k pojištění kybernetických rizik

Pavel Houser , 22. červen 2017 10:00

Policie ČR v roce 2016 šetřila 5 344 kybernetických zločinů, což je o 321 (resp. 6,4 %) více než v p...

Více 0 komentářů

Soud řešil krádež bitcoinů. Znalec řekl, že obžalovaný je vinen

ČTK , 22. červen 2017 09:00

Tržiště vykradli dva Američané, převedli z něj bitcoiny asi za 100 milionů korun. Jiříkovský následn...

Více 2 komentářů