¿Cómo puede hacer clic en un enlace en un feed de noticias de los usuarios de Facebook para poner en peligro su cuenta? [cerrado]

Navega tus respuestas
0

He estado confundido acerca de cómo es posible comprometer la cuenta de un usuario de Facebook simplemente si ese usuario hace clic en un enlace. Recientemente, un amigo mío en Facebook publicó una serie de enlaces a lo que parecía ser una especie de estafa de phishing. "¡¡El 99% de las personas no pudieron ver esto por más de 1 minuto !!!" etc. etc. Todos lo hemos visto. Claramente, su cuenta había sido comprometida y algún software malicioso o humano estaba publicando este contenido en su nombre.

Al leer algunos de los hilos aquí encontré esto: No entiendo cómo fue hackeada la cuenta de Gmail de mi madre

Esto parece un escenario similar, pero un amigo me dijo de manera confiable que no ingresaron ninguna credencial recientemente en sitios que no fueran Facebook. Por supuesto, todos sabemos que un buen sitio de Phishing no se podrá distinguir del sitio en el que intenta capturar los detalles de los usuarios.

Así que mi pregunta es doble:

  • Cómo hacer clic en un enlace y navegar a una página, sin ingresar ninguna credencial, puede comprometer su cuenta.
  • ¿Cómo pueden los sitios que sí obtienen el control de su cuenta solicitando credenciales a través de lo que parece ser un sitio legítimo que aún parece tener la URL correcta?

Gracias a todos! Estoy muy interesado en escuchar cualquier respuesta.

    
pregunta user49984 27.06.2014 - 12:34
fuente

1 respuesta

1

Aunque no soy una persona de seguridad web, existen al menos tres formas de "comprometer" su cuenta:

  1. Instaló una extensión de navegador malintencionado: siempre que tenga una cookie que le permita conectarse automáticamente en Facebook, puede ir allí y usar su cuenta como le plazca (eso depende de lo que la API de extensión de su navegador lo permite, no estoy al día con eso). También podría espiarte cuando inicias sesión y robas tu contraseña. Solución: ¡no instale extensiones de navegador dudosas!
  2. Has instalado una aplicación de Facebook: si solicitó el permiso para publicar en tu nombre, no busques más. Por lo general, esas aplicaciones también solicitan información sobre sus contactos y / o su cuenta para que tengan un medio de propagación y algunos datos para vender. Como regla general, la gran mayoría de las aplicaciones gratuitas de Facebook / Android / iOS están aquí para robar y monetizar sus datos.
  3. Has visitado una página que te pide que te conectes con tu ID de Facebook: generalmente para "verificar tu edad". Esto le permite conectarse en su página y luego hacer que su navegador ejecute una rutina de JavaScript que publicará en su nombre. ¿Cómo exactamente? No estoy seguro, eso depende de lo que permita el motor JS del navegador (por ejemplo, ¿puede influir en el contenido de un iframe desde el exterior? ¿Puede simular los clics o la entrada de texto en ese marco?).

Esperemos que alguien pueda desarrollar una respuesta más precisa.

    
respondido por el Steve DL 27.06.2014 - 13:11
fuente

Lea otras preguntas en las etiquetas

¿Asegurar la dirección postal del usuario en una base de datos? autenticación móvil