Une page utilisateur de Facebook indiquant un lien vers une page appelée "101 hottest women in the world"... Le piège peut sembler a priori assez grossier, et aurait sans doute été considéré comme un spam par n'importe quel client webmail correct, mais sur Facebook, c'est passé. Le lien renvoyait vers une photographie de l'actrice Jessica Alba avec un lien de clickjacking (une technique de détournement de clic pour récupérer des informations ou infecter un ordinateur).
Autres versions de l'attaque : un présumé livre d'astuces sur Farmville, un visionnage gratuit de Sex and the city 2 ou d'Ultimate fight club, ou les promesses de nombres variables de célébrités légèrement vêtues. I« l est probable que quelqu'un gagne de l'argent avec tout ça, » estime Richard Cohen, de SophosLabs. « Même si nous n'avons pas encore vu d'infection de machines d'utilisateurs par ce biais, c'est tout de même une technique malicieuse, qui conduit des tonnes d'utilisateurs vers des pages de publicité. »
Les experts en sécurité ont renouvelé leur demande à Facebook de s'attaquer plus sérieusement au problème, alors que c'est la seconde attaque de clickjacking en quelques semaines. « Il est clair que Facebook doit mettre en place un système correct d'alerte pour informer les utilisateurs des menaces, » explique Graham Cluley, consultant à Sophos. « Il semble étonnant que le seul endroit où les utilisateurs de Facebook puissent s'informer sur les dernières attaques soit les pages des entreprises de sécurité, plutôt que sur les pages de sécurité de Facebook même. »
Cluley a également recommandé à Facebook d'ajouter des pop-ups ou des messages intersticiels pour vérifier que les utilisateurs aiment réellement quelque chose (les deux dernières attaques utilisaient notamment les boutons "Like" des pages malicieuses). Actuellement, la fonctionnalité est immédiatement activé au simple clic sur le bouton, même lorsque cette action est entreprise sur un site externe. « Même si les attaques n'ont pas encore donné lieu à des transferts d'argent importants pour l'instant, elles démontrent une faiblesse potentielle dans la façon de fonctionner de Facebook, mettant potentiellement les utilisateurs dans une situation dangereuse qui pourrait amener du phishing ou des attaques de malwares, » conclut Cluley.
Selon un récent sondage réalisé par Sophos sur son site web, les utilisateurs de Facebook sont du même avis, qui estiment à 95% - pour 6 000 personnes participantes - que Facebook ne faisait pas assez contre les attaques de vers issus du clickjacking.