Исследователь обнаружил уязвимость в Facebook

Программное обеспечение социальной сети Facebook восприимчиво к определенным типам атак, которые могут позволить потенциальным злоумышленникам захватить контроль над аккаунтом пользователя, когда тот взаимодействует с третьим сайтом. Об этом сообщил известный специалист по ИТ-безопасности Нитеш Дханжани.

Исследователь отмечает, что архитекутрная уязвимость в Facebook предоставляет доступ к пользовательским данным третьим приложениям без какого-либо запроса со стороны пользователей.

Facebook применяет всплывающие окна для предупреждения пользователей, когда те решат добавить любые третьи приложения на ПК или в свой блог, таким образом, чтобы у пользователей была возможность передумать то того, как начнется реальная загрузка приложений. Но недавно Facebook изменила политику и теперь некоторые приложения могут использовать так называемые неявные функции авторизации, не предупреждая пользователей. Таким образом, сторонние сайты могут получить доступ к ряду пользовательских данных.

По словам исследователя, такой подход позволяет Facebook получить дополнительные доходы от размещения приложений, но ставит под угрозу данные пользователей. "Видимо в Facebook сочли, что любое предупреждение - это сдерживающий фактор, который, может склонить пользователя отказаться от покупки", - считает Дханжани. По мнению специалиста, представленная атака - это разновидность атак ClickJacking или мошенничества с кликами.

cybersecurity.ru

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мошенники предлагают строителям пройти НОК, крадут персональные данные

В новой мошеннической схеме кибермошенники атакуют строительные компании и специалистов этой сферы, обещая помочь пройти обязательные аттестации на соответствие профессиональным стандартам.

О кампании злоумышленников рассказали исследователи из BI.ZONE Brand Protection, которым удалось выявить более 3800 мошеннических веб-ресурсов.

На таких сайтах специалистам строительной сферы предлагается помощь в прохождении различных аттестаций, позволяющих продлить права на профессиональную деятельность.

Строительным компаниям мошенники предлагают помочь вступить в СРО (саморегулируемые организации). В своей схеме преступники отталкиваются от приказа Минстроя России от 30.06.2022 № 529/пр, согласно которому включённые в отечественные реестры НОСТРОЙ и НОПРИЗ специалисты должны проходить независимую оценку квалификации (НОК).

НОК подтверждает соответствие специалистов профессиональным стандартам. Результаты этой оценки действительны в течение пяти лет.

Злоумышленники маскируют свои ресурсы под сайты консалтинговых компаний, на которых гарантируется положительный результат при тестировании и предлагается комплексная поддержка, включая отправку учебных материалов.

Цена за такие услуги начинается от 20 тысяч рублей, а начать можно только после заполнения специальной формы на ресурсе, куда нужно ввести следующие данные: имя, телефонный номер, адрес электронной почты.

После заполнения формы с жертвой связывается «сотрудник» для уточнения деталей. Если клюнуть на эту уловку, вы потеряете не только деньги, но и персональные данные.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru