我々は興味深い新たなFacebook CPAサーベイスパムを発見した。
これは「This girl killed herself after her dad posted a secret of her on her fb wall(この少女は父親に自分の秘密をウオールに投稿された後、自殺した)」というサブジェクトラインを使用している。
スパマはこのテンプレートを2週間前に使用し、その後、「thedominio.info」でホスティングされているWebページにリンクした。
![thedominio.info](http://www.f-secure.com/weblog/archives/dominio.png)
今日、同スパムは「apps.facebook.com」にリンクしている。直接Facebookアプリにとは、非常に興味深い…
アプリへのダイレクトリンクは、かなり以前から見ている。Facebookと彼らの絶え間ない鼬ごっこで、スパマはショートURLサービスや、他のリダイレクショントリックを使用することを余儀なくされてきた。
では、何が新しいのかを見てみよう。
![apps.facebook.com](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_01.png)
このスパムは、同じ画像、サブジェクト、説明をつかっているが、一つのアプリにリンクしている。これによりスパマは2重に利益を得る。第1に、オーバーヘッドが削減される。維持すべき外部リソースが少なくて済むからだ。第2に、「Web of Trust」などのレピュテーションサービスで、「apps.facebook.com」は安全と評価され、リンクに対する警告も少なくて済みそうだ。
我々はこれまでに、3つのアプリケーションを検出した。
• girl1 — http://apps.facebook.com/storynumb/
• girl2 — http://apps.facebook.com/girlstoryyl/
• girl3 — http://apps.facebook.com/seeingstoey/
しかし、これらのアプリから、見るべきところは多く無い。Facebookユーザがリンクをクリックすれば、このアプリケーションはただちにユーザを「url-linkay.tk」にリダイレクトし、以下の「ビデオプレイヤ」を表示する(「thedominio.info」は現在、「url-linkay.tk」にリダイレクトされる)。
![If nothing appear just click many times on the play button , it will redirect you to story page.](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_02.png)
この部分は、プラグインボタンのようにFacebookを隠すための透過フレームを使用した、典型的なクリックジャックだ。
プレイボタンをクリックすると、同ページを「いいね!」とすることになり、それが「Facebook News Feed」で広められる。
「NoScript」をインストールしているFirefoxユーザには、透過フレームのコンテンツを表示する「ClearClick Warning」ダイアログが示される。
![NoScript — ClearClick Warning](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_02_ClearClick.png)
何らかのクリックジャック保護を使用していないユーザは、Facebookの他のアプリページにリダイレクトされる。
• all the story — http://apps.facebook.com/allthestorylive/
同アプリは、スパマに利益を与えるCPAサーベイをホスティングしている。
このスパムテンプレートは、そのコンテンツを「www.promotiontrack.mobi」からとっている。
![Please verify your identity](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_03.png)
タブ/ページを閉じようとすると、以下のダイアログが表示される:
![Leave this Page](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_04.png)
「Help keep this content free.」とは何たることだ。勘弁して欲しい…何の「コンテンツ」だって?
どういうわけか、同アプリはユーザのFacebookプロフィールに自身を追加せずに機能する。
アクティブユーザ数を見る限り、他のスパムテンプレートほどのスピードで広がる様子は無いが、このスパマはそれでも、2000ドルほど稼いだ可能性がある。
![all the story](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_05.png)
Facebookのセキュリティチームにさらなる詳細を送る予定なので、彼らはこのテクニックを可能にさせる「機能」をフィックスすることができるだろう。
7月1日の追記:同スパムテンプレートは現在、そのコンテンツを「www.impressionvalue.mobi」からとっている。
これは「This girl killed herself after her dad posted a secret of her on her fb wall(この少女は父親に自分の秘密をウオールに投稿された後、自殺した)」というサブジェクトラインを使用している。
スパマはこのテンプレートを2週間前に使用し、その後、「thedominio.info」でホスティングされているWebページにリンクした。
![thedominio.info](http://www.f-secure.com/weblog/archives/dominio.png)
今日、同スパムは「apps.facebook.com」にリンクしている。直接Facebookアプリにとは、非常に興味深い…
アプリへのダイレクトリンクは、かなり以前から見ている。Facebookと彼らの絶え間ない鼬ごっこで、スパマはショートURLサービスや、他のリダイレクショントリックを使用することを余儀なくされてきた。
では、何が新しいのかを見てみよう。
![apps.facebook.com](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_01.png)
このスパムは、同じ画像、サブジェクト、説明をつかっているが、一つのアプリにリンクしている。これによりスパマは2重に利益を得る。第1に、オーバーヘッドが削減される。維持すべき外部リソースが少なくて済むからだ。第2に、「Web of Trust」などのレピュテーションサービスで、「apps.facebook.com」は安全と評価され、リンクに対する警告も少なくて済みそうだ。
我々はこれまでに、3つのアプリケーションを検出した。
• girl1 — http://apps.facebook.com/storynumb/
• girl2 — http://apps.facebook.com/girlstoryyl/
• girl3 — http://apps.facebook.com/seeingstoey/
しかし、これらのアプリから、見るべきところは多く無い。Facebookユーザがリンクをクリックすれば、このアプリケーションはただちにユーザを「url-linkay.tk」にリダイレクトし、以下の「ビデオプレイヤ」を表示する(「thedominio.info」は現在、「url-linkay.tk」にリダイレクトされる)。
![If nothing appear just click many times on the play button , it will redirect you to story page.](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_02.png)
この部分は、プラグインボタンのようにFacebookを隠すための透過フレームを使用した、典型的なクリックジャックだ。
プレイボタンをクリックすると、同ページを「いいね!」とすることになり、それが「Facebook News Feed」で広められる。
「NoScript」をインストールしているFirefoxユーザには、透過フレームのコンテンツを表示する「ClearClick Warning」ダイアログが示される。
![NoScript — ClearClick Warning](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_02_ClearClick.png)
何らかのクリックジャック保護を使用していないユーザは、Facebookの他のアプリページにリダイレクトされる。
• all the story — http://apps.facebook.com/allthestorylive/
同アプリは、スパマに利益を与えるCPAサーベイをホスティングしている。
このスパムテンプレートは、そのコンテンツを「www.promotiontrack.mobi」からとっている。
![Please verify your identity](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_03.png)
タブ/ページを閉じようとすると、以下のダイアログが表示される:
![Leave this Page](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_04.png)
「Help keep this content free.」とは何たることだ。勘弁して欲しい…何の「コンテンツ」だって?
どういうわけか、同アプリはユーザのFacebookプロフィールに自身を追加せずに機能する。
アクティブユーザ数を見る限り、他のスパムテンプレートほどのスピードで広がる様子は無いが、このスパマはそれでも、2000ドルほど稼いだ可能性がある。
![all the story](http://www.f-secure.com/weblog/archives/ThisGirlKilledHerself_apps_05.png)
Facebookのセキュリティチームにさらなる詳細を送る予定なので、彼らはこのテクニックを可能にさせる「機能」をフィックスすることができるだろう。
7月1日の追記:同スパムテンプレートは現在、そのコンテンツを「www.impressionvalue.mobi」からとっている。