לא כל דבר שמגיע אליכם ממישהו שאתם מכירים צריך לפתוח - במייל אנחנו כבר יודעים להיזהר, וגוגל גם עושה עבודה די טובה בלזהות מיילים שלא באמת נשלחו על ידי דוד משה, אלא על ידי מישהו שפרץ לו לחשבון ומנסה לעשות מכם אי-אה-אי-אה-או. אבל עכשיו נראה שגם על הודעות במסנג'ר של פייסבוק אי אפשר לסמוך בעיניים עצומות.
ביום ראשון סיפר חוקר האבטחה בארט פאריס שחבר שלו פנה אליו לאחר ששם לב לתמונה ששולחת את עצמה לחברים שלו דרך ההודעות המיידיות בפייסבוק. ההודעה לא הכילה טקסט, אלא קובץ תמונה בפורמט SVG.
SVG הוא סוג קובץ שלא מיועד לצילומים, אלא רק לגרפיקה ממוחשבת. הוא מכיל פקודות לציור של צורות, כך שאפשר להגדיל אותו עד אינסוף בלי לפגוע באיכות התוצאה. הוא משמש בעיקר ללוגואים של חברות (למשל, לוגואים בוויקיפדיה שמורים כך), ולמרות שאינו נמצא בשימוש נרחב בקרב הציבור, כל דפדפן תומך בו ומציג את התמונה. הבעיה היא שאפשר לשתול בפקודות הציור גם פקודות לביצוע פעולות בלתי רצויות - והדפדפן יבצע אותן ברגע שתפתחו את התמונה.
התמונה ששלחה את עצמה לחברים של אותו ידיד של פאריס הכילה הפניה לאתר שמתחזה ליוטיוב ומבקש להתקין תוסף לדפדפן. פאריס בדק את התוסף וגילה שהוא לא עושה כרגע כלום מלבד לשלוח תמונות נגועות כאלה לחברים של מי שמתקין אותו, כדי להפיץ את עצמו הלאה. אך כמו פעולות רבות מסוג זה בעבר, מדובר כנראה בשלב פעילות ראשון, ואחרי הדבקה של מספר גדול של מחשבים יגיע הרגע בו יודבקו כל אותם מחשבים בתוכנות זדוניות יותר.
וכדי להוכיח את התיאוריה הזו, חוקר האבטחה הדני פטר קרוזה שיתף באותו יום בטוויטר תוצאות בדיקה של תמונה דומה שנשלחה אליו והכילה כופרה - תוכנה שנועלת את קבצים על המחשב ודורשת מהמשתמש לשלם כופר כדי לפתוח אותם - בשם Locky.
Confirmed! #Locky spreading on #Facebook through #Nemucod camouflaged as .svg file. Bypasses FB file whitelist. https://t.co/WYRE6BlXIF pic.twitter.com/jgKs29zcaG
— peterkruse (@peterkruse) November 20, 2016
מקור מקורב לפייסבוק אמר לאתר Vocativ שהחברה מודעת לפרצה כבר מספר חודשים ו"נלחמת בה באופן פעיל", אך תגובתה הרשמית של החברה היתה ש"בחקירה שלנו מצאנו ש(התמונות) האלו לא התקינו למעשה את התוכנה הזדונית Locky".
לא משנה אם הקבצים שימשו להפצת הרושה הספציפית או לא - השורה התחתונה היא שצריך לשים לב להודעות חשודות, גם בפייסבוק מסנג'ר וגם אם הן מגיעות לחברים. כל קובץ שמגיע בלי הסבר הגיוני צריך להישאר סגור.