Facebook Self-XSS : Les utilisateurs se piratent eux-mêmes !
Des fraudeurs ont encore ciblés plus d’un milliard d’utilisateurs actifs du réseau social Facebook, dans le but d’infecter autant de personnes que possible. Pas en utilisant des publications « fake », ni en ajoutant un lien malicieux vers une supposée vidéo, mais plutôt en innovant : Ils utilisent une nouvelle façon de tromper les utilisateurs de Facebook en injectant du code JavaScript malveillant côté client, directement dans le navigateur.
Ce code malicieux pourrait autoriser un attaquant d’obtenir un accès au compte de la victime, afin de l’utiliser pour faire du spam, ou, encore faire de la « pub » pour les attaques à venir en plaçant la publication arnaque sur le mur de la victime afin d’attirer ses amis. Cette technique est connue sous le nom « Self XSS » ou « Selft Cross-site Scripting » puisque l’utilisateur devient lui-même le vecteur de l’attaque.
On pourrait par ailleurs qualifier le « Self XSS » d’une attaque mêlant à la fois le social engineering et l’exploitation de la vulnérabilité du navigateur, dans le but de piéger l’utilisateur afin d’obtenir un accès à son compte Facebook.
Concernant la publication arnaque, voici à quoi elle ressemble :
Une fois que vous vous serez injecté vous-même le code malicieux, l’attaquant obtiendra un accès à votre compte ! De plus, la machine de la victime peut être directement infectée par un malware qui pourrait alors récupérer des informations bancaires, etc. et les envoyer au hacker.
Le meilleur moyen de faire disparaître ces messages appelés « scams » c’est de reporter la publication auprès de Facebook et de la masquer, cela vous permettra de vous protéger. Il faudra garder une vigilance constante et ne pas cliquer sur n’importe quoi.
D’autre part, Facebook travaille actuellement avec les différents développeurs de navigateurs afin d’ajouter une protection supplémentaire contre ce type d’injection de code.
