Ataque de Ingeniería Social a Usuarios de facebook hace revelar sus contactos

Hoy a la mañana me llego una notificación de que un contacto mío que me etiqueto en una publicación de Facebook al llegar veo que es un post que dice lo siguiente:

  ”Quieren “hackear” – tener el password de la cuenta de alguien en Facebook? Aprovechen esta vulnerabilidad antes de que se den cuenta y la quiten, está funcionando AHORITA!

  1. Necesitan utilizar Google Chrome
  2. Se meten al perfil de la persona
  3. Aprietan la tecla F12
  4. Van a la seccion/pestaña que dice “Consola”
  5. Copian y pegan el siguiente código , presionan y listo!!! Se abrirá un pop-up con el password de esa persona!!!

1

Lo primero que me paso es que dude inmediatamente de que esto sea posible. Pero bueno vamos a que hace este código, el segundo paso fue ponerme analizar el código que muestra y desde el principio vi algo raro que me llamo la atención y es esta línea:

SoundCloud? Un archivo de audio para obtener el password? Raro no?

7

  Siguiendo con el análisis encuentro varias llamadas a url de funciones de Ajax de facebook en particular esta línea es para darle un like

Esta otra es para dar un like a una fanpage que analizando el código más abajo se ve que es para el ID213775168814865:

XParams=”to_friend=”+r+”&action=add_friend&how_found=friend_browser_s&ref_param=none&&&outgoing_id= 

&logging_location=search&no_flyout_on_click=true&ego_log_data&http_referer&__user=”+user_id+”&__a=

1&__dyn=798aD5z5CF-&__req=35&fb_dtsg=”+fb_dtsg+”&phstamp=”;X.open(“POST”,XURL,true);X.onreadystatechange=function(){if(X.readyState==4&&X.status==200){X.close}};X.send(XParams)} Like(“213775168814865“);https://www.facebook.com/supersar*******o  (ya denunciada) Esta  línea pide la acción de agregar como contacto

2

Pero hay algo más si miramos nos encontramos con un código en hexadecimal que al pasarlo a string tenemos una nueva llama a funciones Ajax de Facebook haciendo de esto el colmo haciendo que agreguemos a nuestros contactos  en el comentario de esa publicación.-

6

Está muy claro que en cuál es el fin de esto no?, sino miren  las siguientes dos imágenes:

4

5

Como se ve nos encontramos con usuarios que siguieron estos pasos y lo único que lograron fue exponer  a todos sus contactos, pero lo peor es que vemos la cantidad de personas que por medio de este código dieron like, ambas imágenes tiene segundos de diferencia pero el numero de like es muy distinto.

Conclusión:

Lo que me más me sorprende es que las personas hacen cualquier cosa que les digan para obtener un password de otra persona, exponiendo su información y de sus contactos. una pregunta que me hago es, ¿hasta donde llegara esto de querer acceder a una cuenta de otra persona? el Resto se los dejo a su criterio.-

Fuente: http://www.mkit.com.ar/blog

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s