Ostatnio dostałem maila z informacją o nowym wpisie na nowej tablicy/profilu w facebook.com. Na pierwszy rzut oka od razu widać, że to spam (dla laików powinno wydać się podejrzane, że ktoś z Twoich znajomych wysyła Ci notkę z tytułem po angielsku:
"OMG!! [UŻYTKOWNIK] you should untag yourself in this vid").
W tym artykule zamieszczam więcej informacji na temat tej spamerskiej kampanii.
Kampania spamerska rozszerzająca się na facebook'u
Wygląd wiadomości spamerskich, zarówno na profilu użytkownika jak i w wiadomości e-mail, jest zbliżony do poniższych zrzutów ekranowych (takie właśnie ja dostałem):
Treść wiadomości może się naturalnie różnić od przedstawionej powyżej, gdyż jest ona losowo generowana. Kombinacje opierają się na trzech zbiorach:
| Cześć #1: | Cześć #2: | Cześć #3: |
|
|
|
Działanie i skutki
Po kliknięciu na video, podejrzany kod JavaScript jest kopiowany do schowka systemowego, następnie user jest proszony o wklejenie (“Ctrl+V”) nowej zawartości w pasek adresowy oraz potwierdzenie ("Enter").
Następnie wyświetlana jest poniższa wiadomość, która wyglądem nawiązuje do stylizacji facebook'a. Oczywiście nie dajcie się nabrać – wypełnienie tej ankiety niczego nie weryfikuje! Jest to tylko bonus dla spammerów.
Niestety spamerski link video jest również wysyłany do wszystkich z Twojej listy znajomych w celu utrzymania dalszego rozprzestrzeniania się tego spamu.
Dobra rada na przyszłość
Dobrym rozwiązaniem w sytuacji otrzymania takiego spamu jest oczywiście nie klikanie bez zastanowienia w te spamerskie linki oraz usunięcie tego wadliwego posta z własnej tablicy wraz ze zgłoszeniem adnotacji, że to spam. Uchroni to Waszych mniej czujnych znajomych przed spamowaniem innych.
Reakcja ze strony Facebook'a
Inżynierowie/programiści FB pilnie pracują nad tym problemem XSS. Wdrożyli mechanizmy egzekwowania zamykanie złośliwych stron i fałszywych kont oraz ponadto postanowili edukować "dotkniętych spamem" użytkowników w celu ograniczenia dalszego rozprzestrzeniania się tego spamu.
Dodatkowo FB informuje, że istnieją skuteczne środki zmniejszające aktywność tego typu działań polegające na aktywnej ochronie użytkowników.
Rada od Symantec'a (pod którą ja również się podpisuję):
Myśl zanim klikniesz! Nie wklejaj niesprawdzonego kodu w pasek adresowy przeglądarki! Aktualizuj swoje oprogramowanie tak często jak to możliwe!
Źródło: Treść oraz kilka grafik prezentowanych w tym artykule bazuje na notce z witryny Symantec.com.
W lipcu 2017 na oficjalnym blogu Adobe.com pojawił się wpis informujący o przyszłości jednej z najpopularniejszych technologii webowych - Flash Player. 
RODO jest jednym z najpopularniejszych słów kluczowych na jakie możemy trafić w internecie od początku 2018.
W tym artykule podaję podstawowe informacje nt tej regulacji, która weszła w życie 25... 
Zachęcam do obejrzenia wystąpienia Michała Kosińskiego, który odbył się w ramach 
"The 4 Types of Team Members You Can Hire" - ciekawa animacja obrazujące zachowanie najbardziej charakterystycznych postaw, z jakimi możemy mieć do czynienia w zespole. 