Self-XSS는 현재 Tesla의 수장 인 Elon Musk의 아들의 이름이 아니라 최근 몇 달 동안 Facebook에 골칫거리가되고있는 일종의 사기입니다. 사기, 계략 또는 사회 공학 방법을 'x'라고 부릅니다. Facebook 주변에서 발생하는 대부분의 사기와 마찬가지로이 계략의 유일한 목적은 수많은 사용자의 소셜 네트워크에 대한 액세스 데이터를 확보하는 것 입니다. 회사 자체가이 링크를 통해 볼 수있는 가이드 인 페이스 북 지원 페이지에 가이드를 게시하도록 강요받은 사례의 수입니다.
Facebook에서 Google 포토로 모든 사진과 동영상을 전송하는 방법
이것이 Self-XSS로 Facebook 계정을 훔치는 방법입니다.
Wikipedia에 따르면 Self-XSS는 피해자의 웹 계정에 대한 제어권을 잃는 데 사용되는 사회 공학 공격으로 정의됩니다. 이러한 유형의 공격이 나머지 공격과 다른 점 은 사용자가 자신이 계정에 대한 액세스 데이터를 얻을 수있는 코드를 실행한다는 것 입니다. 문제의 방법은 브라우저 콘솔 (Google Chrome, Mozilla Firefox, Microsoft Edge ...)을 사용하여 공격자에게 자격 증명을 보내는 명령을 인코딩합니다. 실제로 그 이름은 콘솔에서 실행해야하는 명령 유형에서 비롯됩니다.
이 사기가 위조되는 방식은 대중화 이후로 발전했습니다. Facebook 지원 페이지에 명시된 바와 같이 공격자 는 다른 사람의 Facebook 계정에 액세스 할 수있는 '키'가 있다고 주장하는 메시지를 게시합니다 . 일반적으로이 메시지는 피해자가 사용자의 자격 증명을 얻은 후 피해자의 벽이나 Facebook Messenger를 통해 전파됩니다.
원산지에 따라 다를 수있는 메시지 내용 외에 도둑이하는 일은 사기성 링크를 첨부하는 것입니다. 이 링크 안에는 우리가 다른 사용자의 페이스 북 계정을 훔칠 수 있도록 허용하는 지침이 있습니다 . 그리고 여기에서 사기 혐의가 위조됩니다.
원본 메시지에서 링크 된 웹은 Facebook 내의 브라우저 콘솔에 붙여 넣어야하는 일련의 코드를 제공합니다. 이러한 명령 은 웹 사이트 내에서 해당 필드를 식별하여 이메일 주소와 암호를 얻습니다 . 그 후 명령은 공격자의 서버에 해당하는 IP 주소로 자격 증명을 보냅니다. 프로그래밍 및 컴퓨터 보안 분야의 비전문가가 코드를 읽을 수 없기 때문에이 모든 것이 사용자의 눈앞에 투명한 방식으로 표시됩니다.
계정을 장악 한 후 공격자 는 Facebook 벽에 메시지를 게시 하고 Facebook Messenger에 비공개 대화를 게시하여 방법을 다시 복제합니다 . 목표? 개인 강탈 또는 제 3 자에 대한 데이터 판매를 통해 손상되고 궁극적으로 효과적인 데이터를 확보합니다.
함정에 빠졌는데 어떡해
계정에 다시 액세스하기 위해 적용 할 수있는 유일한 해결책은 도둑이 Facebook 비밀번호를 변경하지 않은 경우 변경하는 것입니다. 그렇지 않으면 Facebook 복구 옵션으로 이동하는 것이 가장 좋습니다. 이 다른 기사에서는 단계별로 행동하는 방법을 설명합니다.
공격자의 진행 방식 에 따라 Facebook 등록 과정에서 사용한 전화 번호 또는 대체 이메일 주소를 통해 계정 을 복구 할 수 있습니다 . 신뢰할 수있는 연락처와 일련의 보안 질문을 사용하여 전체 액세스 권한을 다시 얻을 수도 있습니다.
Facebook, Twitter 및 Instagram에 GIF 파일을 업로드하는 방법