Facebook Worm Spreads Med en Lurid Lure

Ormen stiller et billede på et offers Facebook-væg med et billede af en kvinde i en bikini og meddelelsen "klik" da knap, baby. " Vægindlæg kan ses af en Facebook-brugers venner.

Hvis en ven klikker på billedet og er logget ind på Facebook, bliver billedet derefter sendt til deres egen væg. Deres webbrowser vil så åbne en webside med en større version af det samme billede. Et yderligere klik på "da-knappen" omdirigerer venen til et pornografisk websted, ifølge Roger Thompson's hovedforsker for antivirusleverandøren AVG Technologies. Thompson lagde en video af angrebet på sin blog.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Ormens skabere tjener sandsynligvis penge ved at køre henvisninger til pornografisiden, sagde Nick FitzGerald, en trusselforsker for sikkerhedsleverandøren AVG.

Forskere er ikke helt sikre på, hvordan ormen virker, men mener, at det kan være en cross-site request forgery attack (CSRF) eller et clickjacking-angreb eller en blanding af begge.

Et CSRF-angreb opstår, når et offers legitimationsoplysninger bruges til at udføre nogle handlinger, men uden deres viden. I dette tilfælde sender angriberen svigagtigt billedet til offerets Facebook Wall, idet den piggybacker på, at offeret er logget ind på deres konto.

En anden mulighed er clickjacking, hvor angriberne bruger speciel webprogrammering til at narre ofre til at klikke på webknapper uden realisere det.

Clickjacking er muligt på grund af et grundlæggende designelement i HTML, der gør det muligt for websites at integrere indhold fra andre websider. Webbrowsere er sårbare over for clickjacking-angreb, selvom browsere har arbejdet for at forsvare sig mod dem.

Facebook klassificerer angrebet som clickjacking, et angreb, der er "ikke specifikt for Facebook", ifølge en skriftlig redegørelse. Facebook sagde også, at angrebet ikke var en orm.

"Vi har taget skridt til at blokere URL-adressen (Uniform Resource Locator), der er forbundet med dette websted, og vi rydder op i de forholdsvis få tilfælde, hvor den blev sendt" erklæringen sagde. "Alt i alt blev en ekstremt lille procentdel af brugere påvirket."

Hvis ormen spredes gennem et clickjacking-angreb, kan det være svært for Facebook at reparere pålideligt, "sagde FitzGerald. "Uanset om det er en orm."

Facebook advarede brugere om ikke at klikke på mistænkelige links. Men i dette tilfælde skiller linket sig ikke ud som nødvendigvis mistænksomt, da der er mange Wall postings, grafik og applikationer, der vises over hele det populære sociale netværk.

Faktisk repeterede en sikkerhedsforsker den mistænkte grafisk inden man indser noget var ikke rigtigt. "Dette viser, at selv eksperter kan blive selvtilfredse og stole på systemer, når de virkelig ikke burde det," skrev Gadi Evron, en uafhængig sikkerhedsforsker, på Dark Reading's blog.