Spameri Facebooku začali používať nečestné rozšírenia prehliadača, aby predĺžili životnosť svojich podvodov, varovali vedci z dodávateľa webovej bezpečnosti Websense.
Útoky využívajúce techniky sociálneho inžinierstva trápia Facebook už roky a napriek maximálnemu úsiliu spoločnosti ich zablokovať, podvodníci vždy našli alternatívne metódy oklamania používateľov.
V nový typ podvodu zistení výskumníkmi Websense, útočníci nabádajú používateľov, aby si nainštalovali nečestné rozšírenia prehliadača, aby si mohli prezerať určité videá alebo dostávať bezplatné poukážky.
Doplnky, ktoré sú inzerované ako doplnky DivX alebo generátor kupónov, využívajú rozhranie Facebook API (Aplikácia Programming Interface) na odosielanie neoprávnených správ v mene používateľov Facebooku, ktorí sa prihlásia z dotknutých používateľov prehliadačov.
Websense doteraz zistil podvody, ktoré sú schopné určiť prehliadač používateľa a distribuovať nečestné rozšírenia pre Mozilla Firefox alebo Google Chrome.
Tieto podvody pravdepodobne generujú menší počet obetí ako tie, ktoré používajú tradičné metódy pretože prehliadače zobrazujú bezpečnostné upozornenia, keď sa používatelia pokúšajú nainštalovať rozšírenia z neoverených zdrojov.
Keď je však prehliadač týmto spôsobom napadnutý, účty na Facebooku, ku ktorým sa pristupuje, môžu byť dlhodobo používané na spamovanie.
Podvody, ktoré používajú nečestné Facebook aplikácie, škodlivý JavaScript prilepený do adresných riadkov (self-XSS) resp clickjacking na propagáciu sú zvyčajne krátkodobé, pretože Facebook môže podniknúť kroky na ich zablokovanie na strane servera.
Spoločnosť však zrejme bude mať oveľa ťažšie presvedčiť používateľov, aby odinštalovali nečestné rozšírenia z ich prehliadačov, najmä preto, že ľudia majú tendenciu kontrolovať svoje účty na Facebooku z viacerých počítačov.
„Akokoľvek tieto ponuky vyzerajú lákavo, ak vás požiadajú, aby ste si nainštalovali doplnky, aby ste získali poukážky alebo si pozreli video – nezabúdajte, že to môže byť trik na šírenie podvodov, spamu a škodlivého softvéru,“ povedal Elad Sharf, bezpečnostný výskumník v Websense.