Uno dei miei contatti di Facebook è riuscito a infettare il suo browser e / o a compromettere i suoi dettagli di accesso. Il risultato è che a intervalli regolari, presumibilmente guidati da qualche job CRON, il suo account pubblica link a una pagina sui profili degli altri.
Mi aspetterei un virus nella pagina, ma è semplicemente un documento HTML pieno di quello che sembra spazzatura.
<!DOCTYPE html>
<html>
<head>
<script type="text/javascript">
var s e8e1f6a6c9f1e10 = "8a3fe80194";
var s cc2b282b582ade9 = "7d92d7896e4";
var s d594ccf3ab0112 = "44c8408f";
var s 3bd9820d = "7d0b622f28";
var s e66f0a78 = "f266438b79b";
var s 6884d9 = "6e191fbdd";
var s 5d217 = "95fb4c19fe";
var s 20d4db5 = "a8d55";
var s c610b0 = "5a62fad009";
var s d080cdf38c11b56 = "8fba61927";
var s b1d44d658a6878b = "fa4f4880";
var s 80515b12c7c7 = "246b48dbae";
var s 60331 = "d935db5e";
var s 828d6f177edb = "9141eb4f0a998";
var s 0f03c57762f594 = "f3e15a92596f";
var s a51029e91 = "08f1fdaa4f";
</script>
<meta property="230a1b9" content="c2011df94c3bd" />
<meta property="e4f49fa2ba4871e" content="f3ab66c" />
<meta property="5edfdd7c012" content="03d34ebad190e6c" />
<meta property="ee1aad1dfb45" content="3b4274f000a6251" />
<meta property="faa54d3e79164" content="5d17b606b8deb" />
<meta property="d8edd064d05" content="dc2d82e6e9380" />
<meta property="7fae6238d5ad614" content="fb2b90b8d3743" />
<meta property="370c635899882" content="a7489ab5519" />
<meta property="8be30ad7e182" content="05acd34239b3599" />
<meta property="f3dcae5" content="53e79f76" />
<meta property="1c5585cc2" content="0efeeff5ff22" />
<meta property="e2e47089" content="4bea8c444" />
<title>
17.908.529 views</title>
<meta property="og:title" content="298947538" />
<meta property="og:description" content="" />
</head>
<body>
<h1>4200e002a7a458a9ac55cf9a</h1>
<ul>
<li>
20438927b0f440696a697ed69 </li>
<li>
17ab800d6da89 </li>
<li>
83e18a3f99e714febab24 </li>
<li>
0902c76df58 </li>
<li>
ed84605356fe </li>
<li>
d808b74516ed1ca27cd3 </li>
<li>
91bf81068985 </li>
<li>
91b0b712c95041690 </li>
<li>
7290c3ff31bae4b486b695e9d </li>
<li>
b66acda355e35c </li>
<li>
fcf316a3fef8 </li>
<li>
fa4bc9f5120723fc66 </li>
<li>
7ae04a845b42258a5 </li>
<li>
0a169abdbb </li>
<li>
e2dd58513e4cba177513b4 </li>
<li>
34f675d984b130ef6e3cc60cb </li>
<li>
615bf0d1a9 </li>
<ul>
<div class="idadgrn hieesgo tiw">
idadgrn hieesgo tiw </div>
</body>
</html>
Anche le intestazioni sono normali:
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Content-Length: 993
Content-Encoding: gzip
Vary: Accept-Encoding
Date: Mon, 12 Sep 2016 21:50:25 GMT
Accept-Ranges: bytes
Server: LiteSpeed
access-control-allow-origin: *
Connection: close
Lo script nell'HTML non viene nemmeno eseguito poiché non è un codice javascript valido. Immagino senza preoccupare la vittima, non capirò come è riuscito a compromettere il suo account. Ma mi chiedo, qual è lo scopo di quei collegamenti?
Ecco uno di questi: http://cbf8kcux [DOT] fulldailyonlynews [DOT] com/COs10bR7
Non seguire l'URL ouside ambiente sicuro. Ho sostituito i punti con [DOT]
per impedire l'incollatura senza scrupoli del collegamento.
Qual è lo scopo di questo? O è tutta una specie di falsa pista?