Self-XSSは、テスラの現在の責任者であるElon Muskの息子の名前ではなく、最近数か月間にFacebookの頭痛の種となっている一種の詐欺です。詐欺、策略、またはソーシャルエンジニアリング手法。これを「x」と呼びます。Facebookを中心に生まれたほとんどの詐欺と同様に、この悪用の唯一の目的は、膨大な数のユーザーのソーシャルネットワークへのアクセスデータを取得することです。会社自体がFacebookのサポートページでガイドを公開することを余儀なくされたと報告された事例の数はこれであり、このリンクから確認できるガイドです。
すべての写真とビデオをFacebookからGoogleフォトに転送する方法
これは、Self-XSSを使用してFacebookアカウントを盗む方法です。
ウィキペディアによると、Self-XSSは、被害者のWebアカウントの制御を失うために使用されるソーシャルエンジニアリング攻撃として定義されています。このタイプの攻撃が他の種類の攻撃と異なる点は、ユーザー自身がコードを実行して、アカウントへのアクセスデータを取得できることです。問題のメソッドは、ブラウザーコンソール(Google Chrome、Mozilla Firefox、Microsoft Edge ...)を使用して、資格情報を攻撃者に送信するコマンドをエンコードします。実際、その名前は、コンソールで実行する必要があるコマンドのタイプに由来しています。
この詐欺の偽造方法は、その普及以来進化してきました。Facebookのサポートページに示されているように、攻撃者は他の人のFacebookアカウントにアクセスするための「鍵」を持っていると主張するメッセージを投稿します。一般に、このメッセージは、被害者の壁またはFacebook Messengerを介して拡散されます。被害者がユーザーの資格情報を取得すると、このメッセージが拡散されます。
窃盗犯は、メッセージの内容(出身国によって異なる場合があります)に加えて、不正なリンクを添付します。このリンクには、他のユーザーのFacebookアカウントを盗むことができるとされる指示が含まれています。そして、これは、主張された詐欺が偽造される場所です。
元のメッセージからリンクされたWebは、Facebook内のブラウザーコンソールに貼り付ける必要がある一連のコードを提供します。これらのコマンドは、電子メールアドレスとパスワードを取得するために、Webサイト内の対応するフィールドを識別します。その後、コマンドは資格情報を攻撃者のサーバーに対応するIPアドレスに送信します。プログラミングやコンピュータセキュリティの分野の専門家以外の人がコードを読み取ることができないため、これらすべてはユーザーの目の前で透過的な方法で行われます。
アカウントを制御した後、攻撃者はFacebookウォールにメッセージを投稿し、 Facebookメッセンジャーにプライベートな会話を投稿することにより、メソッドを再度複製します。目的は?個人的な強要または第三者へのデータの販売を通じて、妥協的で最終的に効果的なデータを取得します。
私は罠に落ちました、私は何ができますか?
アカウントへのアクセスを回復するために適用できる唯一の解決策は、Facebookのパスワードが泥棒によって変更されていない場合に変更することです。それ以外の場合は、Facebookの復旧オプションにアクセスすることをお勧めします。この他の記事では、段階的に行動する方法を説明します。
攻撃者の進行方法に応じて、 Facebookの登録プロセスで使用した電話番号を使用するか、別のメールアドレスを使用してアカウントを復元できます。また、信頼できる連絡先と一連のセキュリティ保護用の質問を使用して、完全なアクセスを回復することもできます。
Facebook、Twitter、InstagramにGIFファイルをアップロードする方法