تحذير : تحديث مزيف على محادثات الفيسبوك يعرض حسابك لهجوم Session Hijacking


اذا كنت من مستعملي الفايسبوك الذين ظهرت عندهم هذه الرسالة من "Facebook Chat Team" فاعلم انك ضحية للسبامرز لقرصنة حسابك.

“All Chat Box must be verified before 24th May 2014 to avoid Chat Blocking under SOPA and PIPA Act. The unverified Chat will be terminated,”


هذا هو محتوى رسالة السبام التي تستهدف حسابات الفايسبوك و التي تظهر على انها من فريق المحادثة الخاصة بالفايسبوك التي تقول بانه يجب عليك تاكيد حساب المحادثة الخاص بك قبل 24 ماي .

فحسب Trend Micro قالت على انك كل من يضغط على الرابط الخاص بهذ الرسالة المزورة يذهب الى منشور في موقع Pastebin تحتوي على كود لتاكيد حسابك في الفايسبوك على حسب كل متصفح (Google Chrome, Mozilla Firefox, or Internet Explorer). و نسخه في محرر الجافاسكربت javascript console


ففي الواقع هذا الكود عند تشغيله من قبل الضحايا سيخول للسبامرز التحكم في حسابهم بصلاحيات محدودة ، كنشر محتوى هذه الرسالة على اصدقاء الضحية و استهداف حسابات اخرى ، عمل tag لجميع اصدقائه في اي منشور، عمل لايك او subscribe لبعض الصفحات دون علم الضحية .

شركة فايسبوك صرحت اننها تتعرض لهذ النوع من الهجمات الذي يدخل ضمن self-XSS attacks و انها اتخدت اجرائت لايقافها من بينها ايقاف javascript console على موقعها حتى يسمح المستخدم باستعاملها . 

“To avoid this, the console is now gently disabled in some browsers. If you want to use the console, turn the following setting on; you'll need to reload the page for it to take effect.

فيجب الاشارة و انه ليس هناك اي منتوج اسمه 'Facebook Chat' هناك منتوج وحيد للمحادثات الخاص بالفايسبوك و هو "Facebook Messenger"

على كل مستخدم ان يطلع على الحائط الخاص به حتى لايتعرض لمنشورات زائفة و ان كان يتعرض لهذا النوع من الهجوم فل يعمل منع عمل منشورات من قبل غرباء على حائطه في اعدادات الخصوصية , كذلك يجب الانتباه الى Activity log الخاصة بك حتى ترى ان كانت هناك اي لايكات او منشور حدثت بدون معرفتك .

على العموم اذ كنت تريد ان تتفادى مثل هذه الهجمات لا تثق في منشورات تدعي ان حسابك سيغلق او ان الفايسبوك سيصبح بالمال .... فهذه الرسائل تاتني فقط من السابمرز غايتها اختراقك لا شيئ اخر.

بقلم : عبد الحميد

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي