Hackers hebben een nieuwe manier gevonden om inloggegevens van Facebook-gebruikers te stelen. Dat meldt beveiligingsbedrijf M86. De phishers gebruiken daarbij de e-maildienst van Facebook als lokkertje. Via een statusupdate van een, al gehackte, bekende roepen de phishers gebruikers op om hun maildres bij Facebook te claimen voordat die door een ander wordt ingepikt.

Onder dat bericht staat een verkorte url die doorverwijst naar een Facebook-applicatie.

Facebook-applicatie

Die applicatie wordt gehost bij Facebook. De url van die app begint namelijk met apps.facebook.com, maar de applicatie zelf verwijst weer door naar een iframe. Dat is een los frame op een webpagina. In dat iframe moeten gebruikers, volgens de begeleidende tekst, ter bevestiging hun e-mailadres en wachtwoord opgeven.

Is dat eenmaal gedaan, dan wordt het account onmidelijk overgenomen door de phishers. Die publiceren dan bovendien een statusupdate waarmee ook andere gebruikers weer worden gelokt om het adres aan te vragen. Om te verbergen dat dit een phishing-actie is, vraagt de applicatie overigens nog wel enkele dingen aan de gehackte gebruiker.

Nederlandse websites

Beveiligingsonderzoeker Satnam Narang legt uit dat deze phishing-aanval uit meerdere lagen bestaat. De hackers doen dat om het doel van de kwaadaardige applicatie te verbergen. Gebruikers zien in eerste instantie alleen de met bit.ly verkorte url. Dat webadres verwijst vervolgens weer door naar bijvoorbeeld een redirectpagina bij Routenet of Yahoo!. Daarmee is het mogelijk om door te verwijzen naar een andere website.

Dat gebeurt dan ook. Vanaf de pagina van Yahoo! worden bezoekers naar een pagina binnen de Nederlandse domeinnaam o-home.nl gestuurd. Die website draait volgens M86 waarschijnlijk een verouderde versie van WordPress en is gehackt. Vanaf o-home.nl volgt er nog één stap: het doorsturen naar de daadwerkelijke Facebook-app op apps.facebook.com.

‘Aanval verspreidt zich snel’

Volgens M86 verspreidt de phishing-aanval zich de laatste dagen snel over Facebook. Het beveiligingsbedrijf raadt Facebook-gebruikers vanzelfsprekend aan om goed op te letten en bovendien vrienden die gehackt zijn hierover te informeren. Eenmaal gehackt is alleen het wijzigen van een wachtwoord en geheime vraag voldoende om de phishers weer te verjagen.

Gebruikers die denken dat hun gegevens gestolen zijn, kunnen dat eenvoudig zien. Als de gewraakte statusupdate op een profiel staat, dan betekent dat sowieso dat het account gehackt is. Een andere aanwijzing is de e-mail die Facebook naar gebruikers stuurt als er vanaf een nieuwe computer wordt aangemeld. Leden van het sociale netwerk moeten dat overigens wel eerst zelf ingesteld hebben.

Bron: Webwereld.nl