在Facebook推出阻止垃圾邮件的新安全功能后,多种新型“社交工程”(social engineering)攻击却蔓延开来。Facebook发言人弗雷德·沃伦斯(Fred Wolens)表示,垃圾邮件制造者已经修改了发送手段,因此这些垃圾邮件能通过Facebook的检测系统。
沃伦斯称,“在我们推出保护措施后,垃圾邮件制造者采取了新的方式。这就像军备竞赛一样:我们推出了新的防护措施,他们跟着就发起攻势。当我们宣布新的安全功能时,他们就立即调整了所有跨站点脚本攻击(XSS)。”
美国互联网安全公司M86分析师萨特南·纳朗(Satnam Narang)称,另外一种攻击伪装成提供查看多少人浏览了用户Facebook的页面,以此吸引用户点击“Scan Profile”链接。此链接会把用户引向外部站点,最终促使用户复制粘贴网页代码到浏览器地址栏中。
同时纳朗还表示,他怀疑这些垃圾邮件通过混淆代码来通过Facebook的检测系统。Facebook新安全功能似乎让这些制造者创建自动运行并发送的垃圾邮件,因此,他们转而发送外部站点并要求复制链接,以此来发送垃圾邮件。
云安全公司Zscaler在其博客中指出,第三种攻击则诱使用户观看视频并进行评价。这类Flash文件在用户复制链接时自动下载,恶意代码也会从剪切板中自动复制到地址栏。