Эксперты Symantec обнаружили на сайте Facebook мошенническую схему, помогающую злоумышленникам раздобыть анти-CSRF токены для публикации вредоносных ссылок в социальной сети.

Подделка межсайтовых запросов (Cross-site Request Forgery, CSRF) ― тип кибератаки, при которой атакующий повторно использует разрешение на связь, выданное законному пользователю, для совершения противоправных действий без ведома и согласия инициатора сеанса. Чтобы предотвратить такое вторжение, многие веб-сервисы, включая Facebook, применяют генераторы посеансовых токенов, которые при авторизации вводятся в веб-форму как скрытый входной параметр, передает securelist.com. 

Стремясь завладеть этими одноразовыми паролями, злоумышленники распространяют на Facebook фишинговые сообщения «от друга», завлекающие получателей на подставную страницу YouTube. При переходе на сторонний веб-сайт, указанный ссылкой, посетитель обнаруживает, что для просмотра «потрясного видеоролика» требуется авторизация. Активация линка Generate Code («Сгенерировать код»), проставленного на фишинговой странице, отсылает запрос на сервер Facebook и возвращает JavaScript-код с искомым идентификатором. Далее пользователь копирует эти данные и вставляет в соответствующее поле на той же странице-ловушке, отсылая сигнал злоумышленникам кнопкой Confirm («Подтвердить»). Они вычленяют анти-CSRF токен, просмотрев в браузере html-код страницы с заполненной формой, и используют его в ходе текущего сеанса Facebook для распространения зловредных ссылок от имени жертвы.

Насколько известно, данный трюк пока не используется для проведения drive-by атак, однако Symantec не исключает такую возможность. Администрация Facebook уже уведомлена о мошеннической схеме и работает над устранением новой проблемы.