Уязвимость в социальной сети Facebook стала причиной быстрого распространения среди сотен тысяч ее пользователей сетевого червя, авторы кода которого использовали в своих интересах методы социальной инженерии и клик-джекинг.

Схема работает следующим образом. Сначала пользователь видит, что кто-то из списка его друзей рекомендует ему перейти по ссылке с заголовками типа “Девчонку поимели после того, как полицейский прочитал ее статус” или “Этот мужик фотографировал себя каждый день на протяжении восьми лет”.
http://i026.radikal.ru/1006/9d/7cb1476910cc.jpg
Потом, кликая по такой ссылке, жертва попадает на пустую страницу, на которой имеется всего одна надпись: “Нажми здесь для продолжения”. Впрочем, нажимать можно на любую часть данной страницы, поскольку эффект в любом случае будет одинаковым – пользователь сам начнет “рекомендовать” вредоносные ссылки всем своим друзьям на Facebook.
http://s40.radikal.ru/i088/1006/c1/551ffc07d4e3.jpg
Термин “клик-джекинг” был введен в обращение в конце 2008 года экспертами Джеремией Гроссманом и Робертом Хансеном. Этим словом обычно описывают атаки, позволяющие злоумышленникам осуществлять подмену пользовательского интерфейса на законопослушных ресурсах, внедряя в них невидимые ссылки для перехода на вредоносные сайты. Уязвимыми к такой схеме являются практически все браузеры в мире, однако в некоторые из них встроены защитные механизмы, затрудняющие проведение подобных эксплоитов.

В случае с Facebook червь распространяется через невидимый IFrame размером во всю страницу, с помощью которого осуществляется перенаправление обратно в профиль пользователя.