Self-XSS kampaň zaměřená na uživatele Facebooku nabádá uživatele k sebehackutí

Je známo, že útoky typu Cross-Site Scripting (XSS), při nichž útočníci injektují kód JavaScriptu přímo do zranitelné webové stránky, dokáží ovládnout prohlížeč obětí a mohou tak vystupovat pod jejich identitou. Jedna z variant útoku se tedy přímo nabízí ve formě provedení takových změn v nastavení účtu obětí, které k jejich účtu umožní přístup útočníkům. Celý útok přitom proběhne zcela skrytě bez vědomí obětí.

K injekci a spuštění kódu ve webové aplikaci je ovšem zapotřebí zneužít některé její slabé místo, a to se zřejmě autorům této útočné kampaně nepodařilo. Namísto toho rozesílají zprávu, která uživatelům nabízí postup, jak získat přistup k libovolnému cizímu facebookovému účtu a očekávají, že jej důvěřiví uživatelé vyzkouší:

• 1) Přejděte na FB účet své oběti
• 2) Klikněte pravým tlačítkem myši a následně na záložku "Console".
• 3) Do pole ve spodní části vložte kód ze stránky http://textuploader.com****/ a stiskněte klávesu Enter.

Nejde samozřejmě o funkční návod, kterým by bylo možné cizí FB profily ovládnout, ale mazaný tah útočníků, kterým důvěřivé uživatele nasměrují na hacknutí sebe sama s využitím techniky Self-XSS. Pomocí kódu, který uživatelé vloží do konzole svého prohlížeče, jej totiž infikují útočným JavaScriptem, který si s navštívanou webovou aplikací (a s právy právě přihlášeného uživatele) může následně dělat, co se mu zlíbí. Cílem této konkrétní kampaně je umožnit útočníkům administraci FB účtu takto podvedených uživatelů.

Pokud Vás zajímá také kód JavaScriptu použitý při útoku, pak se s největší pravděpodobností jedná o tento skript. Protože je ale původní odkaz ve zdroji aktuality zcenzurován, nemohu uvedený kód k této kampani přiřadit na 100%.

Více se o útocích typu XSS můžete dočíst v knize Cross-Site Scripting v praxi, nebo se můžete zúčastnit námi pořadaného školení.