Ein Angriff, der auf Facebook-Anwender in Indien zielte, versuchte sie mit einem Tool zu locken, das es ihnen ermöglichen sollte, in die Accounts anderer Facebook-Anwender einzubrechen. Der Angriff leitet die Anwender zu einem Google-Drive-Dokument weiter, welches JavaScript-Code enthält.

Es enthält den Hinweis, den Code zu kopieren und in die Browser-Suchleiste einzufügen sowie ein Video zur Anleitung. Aber anstatt in andere Konten einbrechen zu können, werden die eigenen Konten von den Angreifern gekapert. Diese Angriffsart wird Self-Cross-Site-Scripting genannt, da die Betroffenen den Angriffscode selbst ausführen.

Obwohl der Angriff eigentlich ganz klar als Scam erkennbar ist, hat er trotzdem zwischen 50.000 und 100.000 „Likes“ bekommen. Sicherheitsexperten sprachen eine generelle Warnung an Facebook-Anwender aus, nicht auf diesen Scam hereinzufallen. Er verbreitet sich, indem die Anwender ihn mithilfe der Teilen-Funktion an die Seiten ihrer Freunde senden. Alleine schon die Idee, dass ein Code veröffentlicht wird, mit dem Anwender ihre Freunde ausspionieren können, sollte alle Alarmglocken zum Klingen bringen.

Es ist noch nicht ganz klar, wer hinter diesem Angriff steckt. Einige der Wörter im Code deuten auf türkische Quellen hin.

Artikel von theregister.co.uk, 02.05.2014: Script fools n00b hackers into hacking themselves
Artikel von pcworld.com, Mai 2014: Bogus tool for hacking your Friends‘ Facebook account hacks you instead