نماد سایت اتاق خبر شبکه گستر

فریب کاربران Facebook به افشای اطلاعات محرمانه

اخیراً کاربران سایت اجتماعی Facebook به روش‏های مختلف فریب داده می‎شوند تا اطلاعات محرمانه را که برای ارتباط امن بین مرورگر کاربر و سایت Facebook مورد استفاده قرار می‏گیرد، به دست خودشان افشا کنند. این اطلاعات محرمانه به افراد بیگانه اجازه می‏دهد تا بدون اطلاع کاربر، از مرورگر وی درخواست‏های مختلفی صادر کنند.

سوءاستفاده از ارتباط بین یک سایت و کاربر تایید شده توسط آن سایت، روشی است که به Cross-Site Request Forgery یا CSRF مشهور است. در تئوری، یک سایت می‏تواند به مرورگر کاربری که از آن سایت بازدید می‏کند، دستور دهد که به یک سایت دیگر که کاربر مورد تائید آن سایت قرار گرفته، درخواستی را بفرستد.

برای جلوگیری از حملات CSRF، سایت‏ها اطلاعات محرمانه‏ای تحت عنوان anti-CSRF token در صفحات خود می‏گنجانند. در نتیجه، بدون داشتن این اطلاعات محرمانه، هر درخواست جعلی به سایت دیگر، ناموفق خواهد بود.

اخیراً به روش‏های مختلف، کاربران Facebook فریب داده می‏شوند تا به دست خودشان، این اطلاعات محرمانه anti-CSRF را در اختیار افراد بیگانه قرار دهند.

فریب کاربر از یک پیام در Facebook شروع می‏شود که او را به دیدن یک فیلم جالب بر روی دیوار (Facebook Wall) یک کاربر دیگر دعوت می‏کند. این پیام حاوی یک پیوند (Link) به یک سایت جعلی است که در ظاهر بسیار شبیه سایت YouTube است. وقتی کاربر به این سایت جعلی می‎رسد، یک پیام بر روی صفحه ظاهر می‏شود که یک عبارت نامفهومی را نشان می‏دهد. به بهانه های مختلف، از کاربر درخواست می‏شود که این عبارت را کپی کرده و سپس در محل درخواست شده در پیام، وارد (Paste) کند و دگمه OK را بزند.

این عبارت نامفهوم چیزی نیست به غیر از اطلاعات محرمانه anti-CSRF. به محض مراجعه کاربر به سایت جعلی YouTube، یک درخواست از مرورگر کاربر به سایت Facebook ارسال می‏شود و در مقابل Facebook اطلاعات anti-CSRF ویژه آن کاربر را می‏فرستد.

اکنون که کاربر فریب خورده این اطلاعات را دو دستی در اختیار افراد بیگانه گذاشته است، این افراد می‏توانند از مرورگر او، هر نوع دستور و درخواستی را ارسال کنند. از جمله می‏توانند، پیام مخرب اولیه را که کاربر را به دام انداخته، این بار روی دیوار این کاربر قرار دهند تا دیگران به دام بیفتند.

اجرای موفق این نوع حملات دشوار است ولی با توجه به سختگیری‏هایی که سایت Facebook ایجاد کرده، افراد خلافکار برای رسیدن به مقاصد شوم خود، ناچار به روی آوردن به روش‏های دشوار و پیچیده شده‏اند.

 

خروج از نسخه موبایل