Jak za pomocą Facebooka pobrać od użytkownika hasła, numery karty kredytowej czy inne dane.

Facebook. Miejsce, gdzie miliardy użytkowników trwonią godziny produktywności zamieszczając selfie z kotletem, nowym chłopakiem/dziewczyną, w super samochodzie za kredyt do końca życia, udając kogoś zupełnie innego niż są w rzeczywistości. Facebook. Miejsce, gdzie Mark Zuckerberg w sprytny sposób sprzedał powierzchnię reklamową dla spersonalizowanych postów sponsorowanych. To również miejsce, gdzie ZYNGA sprzedaje przedmioty premium we wszystkich możliwych grach. To miejsce, gdzie każdy może stworzyć własną apkę i zarabiać miliony.

W zasadzie nie byłoby w tym nic złego, gdyby nie fakt, że apka może być „live”, tj. dostępna dla użytkowników bez jakiejkolwiek weryfikacji. Zanim napiszesz w komentarzu, że jest to nieprawda, od razu uprzedzam, że chodzi o moderację do „sklepu” z apkami. Natomiast nikt nie mówi o dostępie do niej za pomocą linka bezpośredniego.

Facebook pozwala wyświetlić zdalną zawartość strony w swojej domenie pod jednym warunkiem, że będzie ona wspierała SSL. I to wszystko.

Atak za pomocą Facebooka opiera się o względnym zaufaniu do tej platformy. Ludzie nie zdają sobie sprawy, że jeśli coś jest na Facebooku, nie do końca należy do Facebooka, a co za tym idzie, uważają, że jeśli Facebook prosi o podanie numeru karty płatniczej, żeby coś kupić, to tak należy zrobić.

Jak wykonać atak?

1. Potrzebujemy serwera, domeny i certyfikatu SSL. Ten ostatni łatwo nabyć za darmo, bez większych problemów i weryfikacji danych, na http://startssl.com.
2. Tworzymy prostą stronę przy użyciu HTML, CSS – najlepiej pobrać go od Facebooka, dzięki czemu cała strona będzie identyczna jak interfejs FB – oraz odrobiny PHP,
3. Podpinamy ją przez Facebook Developer,
4. Zakładając, że chcemy wykraść hasło użytkownika, polecamy drobny atak socjotechniczny bazujący na ostatnich wydarzeniach (np. egzekucja ISIS lub podobny temat związany z ostatnimi zamachami w Paryżu czy Belgii), oznaczony jako „18+ podaj hasło do weryfikacji swojego wieku przypisanego do konta”, itp.
5. Tworząc skrypt pamiętajmy o regule, że pierwsza próba podania swojego ma być zawsze nieudana. Dzięki temu użytkownik skupi się podczas drugiej próby. Oczywiście obie próby logujemy do pliku/bazy danych.
6. W dalszej części wyświetlamy jakieś bzdurne materiały, żeby do końca uśpić czujność użytkownika.
7. FB potrafi weryfikować, czy na pewno MY to MY na różne sposoby, dlatego zdobyte hasło nie gwarantuje dostępu do FB, ale może użytkownik ma takie samo do maila? 😉
8. Udostępniamy link do aplikacji  na własnej tablicy, najlepiej od jakiegoś fikcyjnego znajomego (oh, przepraszam, złapałem jakiegoś wirusa, nie klikajcie w link! – Napisane tak ok. 2-3 dni po zdarzeniu).
9. A teraz pomyślcie o powtórzeniu całej operacji z IPHONE 6S za 200zł i formularzem do karty płatniczej…

Pamiętajcie, że wykonanie tego typu ataku i zdobycie jakichkolwiek informacji jest przestępstwem i można na dość długo zostać wsadzonym do więzienia, dlatego potraktujcie ten artykuł jak materiał edukacyjny i zachowajcie ostrożność.