• Facebook: Spammers Enganam Usuários Compartilhando Tokens Anti-CSRF

    Publicado em 30-10-2011 18:43
    0 Comentários Comentários
    Os spammers que agem no Facebook, já usaram uma série de abordagens diferentes para fazer os usuários, inadvertidamente, propagar seus golpes, e a maioria deles se enquadra na categoria de engenharia social. Uma técnica particularmente intrigante foi recentemente descoberta por pesquisadores da Symantec, que acreditam que este tipo de abordagem tende a ser muito utilizado em um futuro próximo.

    Em resumo, os scammers fazem a conta da vítima postar mensagens, executando um ataque Cross-Site Request Forgery (CSRF), após a própria vítima ter sido enganada e compartilhar um token anti-CSRF, que seria gerado pelo Facebook.


    Validando Token CSRF e Atraindo a Curiosidade do Usuário

    Depois de terem o token anti-CSRF, os bandidos podem gerar um token CSRF válido, o que lhes permite voltar a utilizar uma sessão já autenticada para o site, para postar uma mensagem ofensiva sem o conhecimento do usuário da conta. O ataque começa com uma mensagem típica, convidando os usuários a assistir ver um "vídeo incrível" ou conteúdo semelhante, que da mesma forma, atrai a curiosidade daqueles que ainda caem nessas armadilhas.

    Dessa forma, basta somente um clique sobre o link, que leva o usuário para uma página falsa do YouTube, e quando ele quer ver o vídeo, uma janela aparece dizendo que ele deve ser licenciado sob a "Youtube Security Verification". Quando ele clica no link Generate Code, uma solicitação é enviada para 0.facebook.com/ajax/dtsg.php, retornando o código JavaScript que contém a sessão anti-CSRF, em uma janela separada.

    Depois que o usuário tiver copiado e colado o código gerado para o campo vazio, e apertado o botão "Confirmar", ele efetivamente enviará o código para o atacante, que extrai o token anti-CSRF, criando um token CSRF e inserindo uma parte de seu próprio código que, finalmente, executa o ataque CSRF, posta mensagens maliciosas e um link para o Facebook Wall do usuário.


    Monitoramento de Contas e Detecção de Comportamento Suspeito

    Os ataques que solicitaram que os usuários do Facebook copiassem e colassem o JavaScript, podem ter acesso a alguns conteúdos que não são novos para a rede social, mas os spammers não os tem utilizado muito ultimamente. Isso pode ser devido ao monitoramento automatizado de contas, para verificar o comportamento suspeito que o Facebook introduziu, ou talvez eles tenham, muitas vezes, abusado da abordagem em um curto período, fazendo variar os usuários de tais pedidos.

    Em qualquer caso, os pesquisadores acreditam que esta abordagem particular pode ganhar popularidade, mas eles afirmam que outras abordagens inovadoras certamente virão.


    Links de Interesse:

    -Facebook Spammers Trick Users Into Sharing Anti-CSRF Token
    + Enviar Comentário