Bkav Support #ID:667
<font color=blue><b>BKAV Support</b></font>
- 20/9/10
- 204
- 0
Cẩn thận khi “Activate Dislike Button” của Facebook
Gần đây, xuất hiện rất nhiều các thông báo spam có nội dung liên quan đến việc kích hoạt nút Dislike của Facebook, mạng xã hội lớn nhất hiện nay. “Facebook vừa có thêm nút Dislike! Bấm vào dòng chữ “Activate Dislike Button” bên dưới để kích hoạt trên tường của bạn”! Với những tin nhắn lừa đảo này, lợi dụng mong muốn của người sử dụng về nút Dislike trên Facebook, hacker có thể chiếm quyền điều khiển tài khoản để tiếp tục phát tán các tin nhắn spam đến Facebook bạn bè của nạn nhân.
Nội dung thông báo spam
Khi người sử dụng bấm vào dòng chữ “Activate Dislike Button”, trình duyệt sẽ bị chuyển hướng đến trang http://lnktrn.ch/dislike chứa yêu cầu giả mạo từ Facebook. Tại đây, người dùng được hướng dẫn sao chép một đoạn mã và thực thi đoạn mã đó trên trình duyệt để kích hoạt nút “Dislike”.
Giả mạo yêu cầu của Facebook
Thực chất, đây là một đoạn mã Javascript được mã hóa. Sau khi phân tích đoạn mã này, chúng tôi phát hiện ra rằng đoạn mã có chức năng gửi tin nhắn spam đến các bạn bè trên Facebook của người sử dụng, với nội dung: “Facebook just <keyword> dislike button! Click <onword> ‘Activate Dislike Button’ below to enable it on your <apterm> !”; trong đó <keyword> là một cụm từ ngẫu nhiên trong số: “added the”, “launched”, “released the”, <onword> là một từ ngẫu nhiên trong số: “on”, “On”, và <apterm> là một từ ngẫu nhiên trong số: “profile”, “account”.
Đoạn mã phát tán spam
Sau khi đoạn mã được thực thi, tài khoản Facebook của người dùng sẽ được sử dụng để phát tán các tin nhắn spam tương tự:
Sau đó, người dùng sẽ được yêu cầu xác thực tài khoản, một yêu cầu giả mạo khác, để kích hoạt nút “Dislike”.
Yêu cầu xác thực tài khoản giả mạo
Khi bấm vào nút “Continue”, người sử dụng được chuyển đến trang http://lnktrn.ch/dislike/dislikebutton.php có nội dung như một trang xác thực tài khoản của Facebook. Sau khi phân tích, chúng tôi nhận thấy trang web này thực thi một đoạn mã flash. Tuy nhiên, do có một số lỗi nên đoạn flash này không hiển thị được. Có thể đó là một bảng thông báo để lừa người dùng đăng nhập bằng tài khoản Facebook của mình.
Nội dung trang http://lnktrn.ch/dislike/dislikebutton.php
Mặc dù hiện nay chưa có dấu hiệu về việc phát tán malware qua các tin nhắn spam này, tuy nhiên về lý thuyết các hành vi phát tán malware hoàn toàn có thể thực hiện được với đoạn Javascript đã nêu. Hệ thống HoneyPot của chúng tôi vẫn đang tiếp tục theo dõi và kiểm soát hành vi lừa đảo này.
Để đảm bảo an toàn cho tài khoản của mình, người sử dụng không nên bấm vào các đường link ở các thông báo tương tự, và chỉ nên tin tưởng những thông báo về các tính năng mới từ website chính thức của Facebook.
Trần Minh Quảng – Bkav R&D
![[unnamed] is me](/data/avatars/m/1125/1125812.jpg?1291190490){kind=avatar}
Còn cái add-on của FF thì bó tay, chưa thử. 
:
