9:30
31/7/2014

Użytkownicy Facebooka to często prości, naiwni ludzie, którzy przychodzą oglądać kotki i bardzo chcą wiedzieć kto podgląda ich profil — z tego korzystają wszelkiej maści scamerzy, którzy publikują instrukcje, polegające na uruchomieniu przez ofiarę kodu JavaScript w obrębie swojej sesji na Facebooku. Brzmi enigmatycznie, ofiara myśli, że pozyskała tajemny sposób, ale wykonując nie do końca przez siebie zrozumiałe czynności de facto wysyła swoje ciasteczka lub inne dane atakującemu.

Przykładowy scam wygląda tak:

Ponieważ wykonanie “self xss” często wymaga użycia konsoli, Facebook postanowił ostrzegać użytkowników, jak tylko do konsoli spróbują zajrzeć:

Widok konsoli na Facebooku

Widok konsoli na Facebooku, fot. Dreszczyk

Na marginesie — oto przykład jak bardzo konsola developerska i jej niezrozumienie może przerazić internautę ;)

Facebook - konsola z dziećmi w tle...

Facebook – konsola z dziećmi w tle…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

45 komentarzy

Dodaj komentarz
  1. Dochodzę do wniosku że facebook opanowały dzieci , coraz mniej osób powyżej 25 roku życia korzysta z ,,twarzowej książki”

    Pyt. Nie mogą blokować tych scamów ??

    • Przecież jest zupełnie odwrotnie: na fejsbuku jest już jak na usenecie, sami emeryci; tzw. młodzież teraz jest na snapczacie, taptalku, asku i gdzie tam jeszcze.

    • no to jestem dinozaurem, co to jest snapczat czy talk?

    • Snapchat to taki messenger w którym można wysyłać zdjęcia które się nie zapisują na telefonie drugiej osoby i widać je tylko kilka sekund. Połącz to z nastolatkami i zdjęcia kutasów gotowe.

  2. “Użytkownicy Facebooka to często prości, naiwni ludzie… “LOL

    • nie LOL tylko TRUE, obsługa komputera powinna wymagać jakiegoś “prawa jazdy” bo z jakimi ja przypadkami głupoty się spotykałem podczas serwisowania motłochowi kompów to tylko złapać się za głowę i zastanawiać kiedy będzie jak w Idiocracy

    • @mietek667 – Pamiętaj, że dzięki takim ludziom serwisanci mają co do gara włożyć.

    • @mietek667
      Sam już nie pamiętasz ile razy rozsypałeś windowsa czy linuxa zanim zrozumiałeś na czym cała zabawa polega – metoda prób i błędów inaczej niczego byś się nie osiągnął w żadnej dziedzinie życia, bo nie można nauczyć się nieznanego zanim nie stanie się poznanym.

    • @mietek667 o zdecydowanie! Ponadto można by takie ograniczenia rozszerzyć, np:
      – do toalety wpuszczać tylko z egzaminem potwierdzającym znajomość podstaw konstruowania i wykonywania instalacji hydraulicznych
      – założenie konta w banku (a tym bardziej lokaty!) tylko po egzaminie sprawdzającym podstawy znajomości makroekonomii
      – a ludzie bez egzaminu na podstawy księgowości powinni w ogóle mieć zakaz dotykania pieniędzy!
      – sąd powinien wydawać zawsze wyrok zaocznie, chyba że oskarżony zda egzamin z podstaw prawa w dziedzinie w której jest sądzony
      – na egzamin prawo jazdy powinny wrócić pytania o odpowietrzanie układu hamulcowego i powinny dojść kwestie ustawiania konta zapłonu i uchylenia zaworów oraz powinna być część praktyczna np. ze zmiany tarcz i klocków hamulcowych.
      – zanim wsiądzie się do samolotu, trzeba zdać szybki egzamin z wiedzy o lotnictwie, bo inaczej potem ludzie jakieś bzdury gadają (pomijając najbardziej znane kółko wzajemnej adoracji, były teksty o montowaniu poduszek powietrznych pod boeingami nawet tutaj, na niebezpieczniku…)

      Inaczej grozi nam IDIOKRACJA!!!!!1!!

    • Pisanie komentarzy na niebezpieczniku też powinno wymagać jakiegoś “prawa jazdy” bo z jakimi ja przypadkami głupoty się spotykałem… ;-)

      Litości.

    • @OJezu: Co do egzaminu na umiejętność korzystania z toalety to niegłupi pomysł. Egzamin praktyczny: zostawianie po sobie porządku.

    • @Bartek
      Oj mnóstwo razy, pamiętam czasy jak minimum raz w miesiącu się przywracało Win98 z obrazu Ghosta :)

      @everyone
      Dobra, widzę że lekki trolling mi wyszedł chyba, nie takie były moje intencje ;)

    • Proponuję też “prawo jazdy” na nóż, nożyczki, słuchawki douszne, ekspres do kawy, czajnik elektryczny, kosiarkę do trawy, wiertarkę i zapałki.

    • @OJezu
      >> ustawiania konta zapłonu

      To jest jakieś konto, na które przelewa się opłatę za zapłon? ;)

  3. Mentalna etiopia i komputer.

  4. Takie komunikaty to tylko w Google Chrome (_commandLineAPI).

    • U mnie w Chrome nie dziala (Win i Mac). Wciaz jestem podatny na atak. Ratunku!

    • W Firefoksie również, choć komunikat “stop” jest wtedy ASCII-artem zamiast czerwonym napisem :)

  5. Niebezpiecznik też zabezpiecza się przed “prostymi, naiwnymi ludzmi,”, którzy Was czytają? Tylko jak? :)

  6. Czasy Wirusa Manualnego powróciły! :)

  7. Grube przegięcie z tym “często prości, naiwni ludzie, którzy przychodzą oglądać kotki”. Wielu ludzi cierpi na patologiczną naiwność całkowicie bez swojej winy, radzę poczytać o alkoholowym zespole płodowym. To jest żart na poziomie rynsztoka.

    • Czemu żart? “Prości, naiwni ludzie”, w sensie nietechniczni, nieinteresujący się tym jak komputer działa. To jak najbardziej prawda. Po wspomnieniu o “alkoholowym zespole płodowym” już sam nie wiem czy ta wiadomośc to sarkazm czy Ty tak poważnie ;)

    • sugerujesz, ze polacy to alkoholicy pijący w ciąży?

  8. A fake strony FB z prima aprilisowego żartu dalej aktywny? Odnośnik może kogoś nowego na mine wpakować. A dziś nie prima aprilis (OMG! niebezpiecznik mnie ‘hackuje’!!!111).

    • Oczywiście, że aktywny. Sprawdź ;-)

  9. W sumie dobrze, że coś takiego wprowadzili. Chociaż nie wiem, jakim idiotą trzeba być, by coś takiego zrobić. Przecież to śmierdzi scamem na kilometr.

    • Trzeba najpierw wiedzieć jak pachnie scam żeby porównać ;).

      Z punktu widzenia kogoś kto nie wie co się dzieje, wklejanie tajemnych komend do konsoli w przeglądarce niewiele się różni od np. edytowania tajemnych, nieznanych sobie kluczy w rejestrze żeby coś zmienić (jedna z pierwszych “hackerskich” rzeczy które robiłem chyba) albo przeklejania dziwnych komend do konsoli windowsa.

    • To ‘zabezpieczenie’ na facebooku działa już od kilku ładnych miesięcy afair.

  10. przecież javascript o ile nie jest zaciemniany to prosty angielski, czyli człowieki postępujące wg angielskiej instrukcji powinny go w miarę zrozumieć…

    kogo ja oszukuję… ludzie nie mają zwyczaju czytać umów w bankach nawet, to i tego nie przeczytają

    • Masz tu jedną funkcję z którą ostatnio miałem styczność. Jak już ustalisz co ta funkcja robi, to potem na chwilę zapomnij co to jest reduceRight, bind, jak działają nawiasy (kwadratowe, klamrowe i wywoływanie funkcji) i spróbuj jeszcze raz, tak na poziomie czytania angielskiego. Dodałem krótkie info czym mniej więcej jest która zmienna.

      var handler = function(…){…}
      var test_data = [{…}, {…}, {…}, {…}]
      var test_base = {…};
      var verifyTest = function(…){…}

      function runTests(){
      (test_data.reduceRight(function (callback, data_item) {
      return handler.bind(undefined, data_item, callback);
      }, verifyTest))();
      }

      Mam nadzieję, że anty-XSS tego nie pociął. A dodam tylko, że to powyższe było bez żadnego komentarza (dzięki Robert).

    • Z tego co widzę, niektórzy tutaj są jeszcze bardziej naiwni niż ci fejsbukowi “oglądacze kotków”. Jak można wierzyć w to, że przeciętny 41-letni Janusz odczyta kod JS tylko dlatego, że kilka funkcji ma angielskie nazwy? Pomijając fakt, że do tłumaczenia instrukcji z poradnika używany jest zapewne Google Translate, to taka osoba prędzej dostanie migreny niż domyśli się co robi kod.

      Logika, ludzie, logika.

  11. W Firefoksie to “zabezpieczenie” nie działa, lol. Albo dla polszy jeszcze nie włączyli.

    • Jeśli dla Rzeczpospolitej nie włączyli to należy unikać tego badziewia. Gdy ktoś cię olewa i pluje w twarz to lgniesz do niego? Chrome i Internet Explorer ma wszystko włączone dla Polski, a Firefox to kit dla frajerów :]

    • Mi w Firefoksie działa. Co prawda wyświetla tylko ładny ASCII Art w konsoli, natomiast napsocić nadal pozwala.

    • @Konor aleś ty zabawny i błyskotliwy z tymi tagami do zdjęcia… Normalnie humor z najwyższej półki..

  12. Miałem kiedyś profil na FB ale gdy skończyłem 15 lat i stałem się menszczyzną to zrezygnowałem z tej głupoty. Teraz mam więcej czasu na myślenie o tym jak zapoznać dziewczynę.

  13. W jaki sposób Facebook wymusza pojawienie się zawartości w konsoli?

    W każdym razie wielkie LOL do “children being forced” z dolnego screenshota.

    • console.log(“derp”); // ?

  14. Ostatni screen niszczy ;D

  15. A to już nie wystarczy wkleić w pasku adresu: javascript:prompt(”,docment.cookie)? ;)

    • Wiekszosc prezgladarek ma poblokowane wykonywanie skryptow z paska adresu. Teraz musi to byc przynajmniej skryptozakladka.

  16. Dobrze, że niebezpiecznik w tym poście nie zmusza dzieci.
    BTW: Ten screen to musiał być troling.

  17. Jeśli ten feature zmusi jakiegoś pedofila do zgłoszenia się na policje bo “zhackowali mu kompa” to wygrali internety.

  18. U mnie było, ale sobie odblokowałem bo potrzebowałem (Chrome)

  19. Coraz więcej ficzerów doklejają do tych przeglądarek. Konsoli developerskiej używa wąskie grono osób, ale zainstalowaną mają wszyscy. Wymagania puchną, a jak się okazuje również security może ucierpieć.

    Za to autentycznie użyteczne rzeczy jak MathML ciężko dodać:
    https://en.wikipedia.org/wiki/MathML#Web_browsers

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: