اخیراً کاربران سایت اجتماعی Facebook به روشهای مختلف فریب داده میشوند تا اطلاعات محرمانه را که برای ارتباط امن بین مرورگر کاربر و سایت Facebook مورد استفاده قرار میگیرد، به دست خودشان افشا کنند. این اطلاعات محرمانه به افراد بیگانه اجازه میدهد تا بدون اطلاع کاربر، از مرورگر وی درخواستهای مختلفی صادر کنند.
سوءاستفاده از ارتباط بین یک سایت و کاربر تایید شده توسط آن سایت، روشی است که به Cross-Site Request Forgery یا CSRF مشهور است. در تئوری، یک سایت میتواند به مرورگر کاربری که از آن سایت بازدید میکند، دستور دهد که به یک سایت دیگر که کاربر مورد تائید آن سایت قرار گرفته، درخواستی را بفرستد.
برای جلوگیری از حملات CSRF، سایتها اطلاعات محرمانهای تحت عنوان anti-CSRF token در صفحات خود میگنجانند. در نتیجه، بدون داشتن این اطلاعات محرمانه، هر درخواست جعلی به سایت دیگر، ناموفق خواهد بود.
اخیراً به روشهای مختلف، کاربران Facebook فریب داده میشوند تا به دست خودشان، این اطلاعات محرمانه anti-CSRF را در اختیار افراد بیگانه قرار دهند.
فریب کاربر از یک پیام در Facebook شروع میشود که او را به دیدن یک فیلم جالب بر روی دیوار (Facebook Wall) یک کاربر دیگر دعوت میکند. این پیام حاوی یک پیوند (Link) به یک سایت جعلی است که در ظاهر بسیار شبیه سایت YouTube است. وقتی کاربر به این سایت جعلی میرسد، یک پیام بر روی صفحه ظاهر میشود که یک عبارت نامفهومی را نشان میدهد. به بهانه های مختلف، از کاربر درخواست میشود که این عبارت را کپی کرده و سپس در محل درخواست شده در پیام، وارد (Paste) کند و دگمه OK را بزند.
این عبارت نامفهوم چیزی نیست به غیر از اطلاعات محرمانه anti-CSRF. به محض مراجعه کاربر به سایت جعلی YouTube، یک درخواست از مرورگر کاربر به سایت Facebook ارسال میشود و در مقابل Facebook اطلاعات anti-CSRF ویژه آن کاربر را میفرستد.
اکنون که کاربر فریب خورده این اطلاعات را دو دستی در اختیار افراد بیگانه گذاشته است، این افراد میتوانند از مرورگر او، هر نوع دستور و درخواستی را ارسال کنند. از جمله میتوانند، پیام مخرب اولیه را که کاربر را به دام انداخته، این بار روی دیوار این کاربر قرار دهند تا دیگران به دام بیفتند.
اجرای موفق این نوع حملات دشوار است ولی با توجه به سختگیریهایی که سایت Facebook ایجاد کرده، افراد خلافکار برای رسیدن به مقاصد شوم خود، ناچار به روی آوردن به روشهای دشوار و پیچیده شدهاند.