攻击者欺骗Facebook用户公开秘密安全代码

新攻击使用社交工程来获取反CSRF令牌

新的社交工程攻击正在诱使Facebook用户公开与其会话关联的反CSRF令牌。这些安全代码允许攻击者通过受害者的浏览器发出未经授权的请求。

跨站点请求伪造(CSRF)是一种攻击技术,它滥用网站与经过身份验证的用户之间的信任关系。由于Web的工作方式,从理论上讲,页面可以迫使访问者的浏览器向用户进行身份验证的第三方站点发出请求,从而在他们的活动会话上进行搭载。

为了防止这种情况的发生,网站在表单中嵌入了称为反CSRF令牌的唯一授权码。由于攻击者无法使用它们,因此无法成功触发恶意请求。

但是,赛门铁克的安全研究人员发现了 new type of 脸书 attack 其中,受害人被诱骗通过伪造的验证过程手动交出此类令牌。

这些骗局始于垃圾邮件,这些垃圾邮件宣传已经被入侵的用户在已经被入侵的用户的Facebook墙上张贴有趣的视频。这些消息包含指向欺骗YouTube的第三方页面的链接。

当他们到达这些攻击网站时,流氓对话框会提示受害者,指示他们粘贴据称由反垃圾邮件机制生成的随机生成的代码。

实际上,这段代码是通过在后台向Facebook脚本发出请求而获得的,并且包含由社交网站分配给用户的反CSRF令牌。

因此,将其粘贴到对话框中可为攻击者提供代表受害者提出授权请求所需的一切。在Symantec提供的示例中,令牌通过在用户的墙上张贴原始垃圾邮件消息来传播该骗局。

这种社会工程手段与所谓的XSS自我攻击中所用的技巧相似,后者涉及用户将JavaScript代码粘贴到浏览器的地址栏中。目前尚不清楚为什么攻击者采用CSRF方法,因为两种攻击同样难以实施。但是,这可能与Facebook今年早些时候实施安全机制来检测和阻止自我XSS的事实有关。

根据赛门铁克的说法,这家社交网络巨头表示,它正在与浏览器供应商合作,针对这些攻击提供解决方案,并一直在监视帐户中是否存在可疑行为。

赛门铁克安全研究人员建议:“攻击者正在使用一些真正具有创新意义的社会工程技术来欺骗受害者。我们建议用户保持其安全软件为最新,而不要单击任何看起来可疑的链接。”

版权© 2011 IDG通讯,Inc.