Не кликайте по ссылкам!
30 августа Facebook переболел эпидемией сетевого червя Make Me Laugh Now. Одного клика по ссылке было достаточно, чтобы зловредное приложение без разрешения залезло в ваш аккаунт и разослало себя дальше — вашим друзьям. Особого вреда червь не принёс, а само приложение Facebook быстро блокировал. Но вопросы остались.
«Динь!» Это мне пришло письмо. Друг прислал сообщение из Facebook. Пишет, что мне готов какой-то «подарочек». Ну, о’кей, другу можно доверять — он не просто опытный пользователь, но вполне может носить гордое звание хакера. В сообщении — ссылка. Кликаю. Попадаю на какую странную страницу в фирменном стиле Facebook, но с какой-то дурацкой рекламой. Пишу другу сообщение через Facebook: «Что происходит?» И с ужасом вижу, что с моего аккаунта ушли приглашения кликнуть по этой же ссылке паре десятков моих френдов… Попался. Уже через несколько минут мне стали приходить письма от удивлённых друзей — чего это вдруг я занялся рассылкой спама. Пришлось извиняться, каждый раз рассказывая одну и ту же — вот эту самую — историю. Которую рассказал мне и мой друг-хакер, от которого пришёл червивый «подарочек».
Так (или примерно так) происходило распространение интернет-червя Make Me Laugh Now (то есть по-русски «Насмеши меня сейчас же»). При одном условии — перед нажатием на ссылку пользователь уже должен быть залогинен в Facebook. В противном случае приложение показывало полупустую страницу и кнопку для входа в Facebook: чтобы получить доступ к вашему аккаунту, нужно было, чтобы вы в него вошли. Червь, если верить анализу его кода, сделанному хакерами, действовал только в аккаунте Facebook, не слишком залезая в ваш компьютер.
Немалое количество совершенно безвредных и даже полезных приложений использует список контактов аккаунта пользователя. Однако все они предварительно запрашивают на это разрешение. Спрашивает разрешения и Facebook, который помогает своим пользователям разыскать старых друзей по адресам электронной почты и для этого просит вашего разрешения заглянуть (только заглянуть, а потом забыть пароль) в ваш основной почтовый ящик. Червь аррs.fасеbооk/mаkеmеlаughnоw (можете спокойно жать на эту ссылку — она обезврежена) никакого разрешения не спрашивал — он залезал в ваш аккаунт в Facebook и начинал отправлять с него письма ещё до того, как браузер показывал вам страничку с рекламой.
Обращение в российский Facebook быстро возымело своё действие — приложение оперативно заблокировали. Примечательно, что именно в день эпидемии в российском Facebook начала работать служба технической поддержки пользователей на русском языке. Однако вопрос о том, как могло случиться распространение хоть и не слишком зловредного, но потенциально опасного приложения, пока остался открытым. «Насмеши меня сейчас же» всего лишь рылся в контактах пользователя, а более изощрённый червь, не исключено, мог бы и украсть пароль. «Частный корреспондент» обратился с вопросами о том, насколько опасен был червь и как вообще организован контроль за приложениями для Facebook, к компании Grayling, отвечающей за связи с общественностью Facebook в России. Комментарии от PR-службы «Часкор» ещё не получил, но непременно опубликует их, когда (и если) они будут получены.
Эпидемия Make Me Laugh Now — не первая в социальных сетях и в Facebook в частности. Например, похожая зараза нападала на пользователей Facebook весной-летом 2010 года, когда запущенный социальной сетью механизм кнопок Like был использован для привлечения посетителей на вредоносные сайты. Размещённая в скрытом фрейме кнопка «Мне нравится» срабатывала при нажатии на кнопки на внешнем сайте. В результате ленты пользователей замусоривались идиотскими сообщениями, не принося, впрочем, реального вреда типа установки зловредных программ на компьютеры пользователей.
Очевидно, что ни одна сложная система, тем более те, которые обеспечивают функционирование крупнейших IT-сервисов, просто не может не иметь внутри себя каких-то «багов», ошибок, щелей, которые рано или поздно отыщут и смогут использовать во вред пользователям и, возможно, к своей выгоде злоумышленники. Однако понятное несовершенство человеческой природы — каким бы гением программирования человек ни был и как бы тщательно ни была отлажена система проверки кода — не снимает ответственности с создателей этих систем. Make Me Laugh Now не слишком рассмешил пользователей Facebook, но пока не заставил их плакать. Хочется надеяться, что этого и не случится. Тем более что социальные сети по самому своему определению во многом строятся на доверии не только между пользователями, но и к самой сети, обеспечивающей коммуникацию между ними.
А пока Facebook разбирается с вопросами и собирается с ответами, его пользователям просто стоит следовать старой максиме из булгаковского «Мастера и Маргариты»: «Никогда не разговаривайте с неизвестными!» В эпоху интернета она, правда, должна звучать так: «Никогда не кликайте по ссылкам!» Во всяком случае, если не уверены в том, что вас за ними ждёт.
Текст: Владимир Харитонов
Источник: Частный корреспондент