Пользователи Facebook сами того не зная делятся со спамерами анти-CSRF токенами

Картинка: 

Специалисты исследовательской компании Symantec зафиксировали новый спамерский прием.

Не секрет, что в арсенале этой касты интернет-мошенников имеется не один способ, вынуждающий пользователя без его ведома помогать спамерам. Последний метод, к которому прибегают мошенники, эксперты определили как "очень интересный".

Принцип его действия таков. Хакер отправляет в адрес какого-либо пользователя сообщение, содержащее ссылку на липовую страницу YouTubeс и приглашает просмотреть некое видео. Далее, незадачливая жертва, воспользовавшаяся данной ссылкой, при попытке просмотреть видеоролик, видит появившееся окно, предлагающее так называемую «Проверку безопасности YouTube». Когда жаждущий зрелищ пользователь кликнет по ссылке «Сгенерировать Код», происходит автоотправка соответствующего запроса на 0.facebook.com/ajax/dtsg.php.

Теперь дело остается за малым. После того, как пользователь скопировал и вставил в пустое поле сгенерированный JavaScript код, который содержит анти-CSRF токен сессии и нажал кнопку подтверждения, данный код отправляется хакеру, который в свою очередь производит извлечение анти-CSRF токена, создает CSRF токен и вставляет его в свой образец кода, который, собственно говоря, и становится орудием для выполнения атаки.