19/12/2024

Actu Cybersécurité

Facebook Self-XSS : Les utilisateurs se piratent eux-mêmes !

Des fraudeurs ont encore ciblés plus d’un milliard d’utilisateurs actifs du réseau social Facebook, dans le but d’infecter autant de personnes que possible. Pas en utilisant des publications « fake », ni en ajoutant un lien malicieux vers une supposée vidéo, mais plutôt en innovant : Ils utilisent une nouvelle façon de tromper les utilisateurs de Facebook en injectant du code JavaScript malveillant côté client, directement dans le navigateur.

Ce code malicieux pourrait autoriser un attaquant d’obtenir un accès au compte de la victime, afin de l’utiliser pour faire du spam, ou, encore faire de la « pub » pour les attaques à venir en plaçant la publication arnaque sur le mur de la victime afin d’attirer ses amis. Cette technique est connue sous le nom « Self XSS » ou « Selft Cross-site Scripting » puisque l’utilisateur devient lui-même le vecteur de l’attaque.

On pourrait par ailleurs qualifier le « Self XSS » d’une attaque mêlant à la fois le social engineering et l’exploitation de la vulnérabilité du navigateur, dans le but de piéger l’utilisateur afin d’obtenir un accès à son compte Facebook.

Concernant la publication arnaque, voici à quoi elle ressemble :

facebookscam

Une fois que vous vous serez injecté vous-même le code malicieux, l’attaquant obtiendra un accès à votre compte ! De plus, la machine de la victime peut être directement infectée par un malware qui pourrait alors récupérer des informations bancaires, etc. et les envoyer au hacker.

Le meilleur moyen de faire disparaître ces messages appelés « scams » c’est de reporter la publication auprès de Facebook et de la masquer, cela vous permettra de vous protéger. Il faudra garder une vigilance constante et ne pas cliquer sur n’importe quoi.

D’autre part, Facebook travaille actuellement avec les différents développeurs de navigateurs afin d’ajouter une protection supplémentaire contre ce type d’injection de code.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.