fredag 21 maj 2010

Clickjacking-attack mot Facebook

En mask kallad FBHOLE spred sig som en löpeld på Facebook igår och idag. Tydligen använder den sig av clickjacking. F-Secure beskriver det hela bra.

Någon av dina redan drabbade FB-vänner postar ett meddelande:
"try not to laugh xD http://www.fbhole. com/omg/allow.php?s=a&r=[slumptal]"

Om du klickar så får du upp en sida som ser ut som Facebook men visar ett fejkat felmeddelande:


Om du klickade någonstans på den sidan så postade du fbhole.com-länken på din Facebook-profil och masken fortsätter att sprida sig (förutsatt att du är inloggad på FB). fbhole.com fångar ditt klick med en transparent iframe som skickar klicket till Facebook istället.

Domänen registererades igår och pekar på en tjeckisk IP-adress. Sajten ironbrain.net har samma IP.

Mikko Hypponen på F-Secure ringde Ironbrain som lät tämligen förvånade. En stund senare var fbhole.com borta från nätet.

Vi kommer ha en intressant presentation om clickjacking på sommarens konferens i Stockholm (se passet kl 15:30).

Inga kommentarer: