Phishing, o formă de activitate infracțională care constă în obținerea unor date confidențiale, implementează ceea ce pare a fi un truc nou pentru a bloca parolele oamenilor pe Facebook. Acesta prezintă replici convingătoare ale unor ferestre de conectare unice pe site-uri deochiate.
Un simplu sing-on sau SSO reprezintă o caracteristică ce permite utilizatorii să-și folosească conturile pe alte site-uri, de regulă Facebook, Google, Linkedln sau Twitter, pentru a se putea conecta cu oamenii de la distanță sau pentru a face lucrurile mai ușoare.
Și, decât să creeze și să-și amintească o parolă pentru site-urile terțe, oamenii preferă să se conecteze folosind datele de identificare pentru un singur site. Site-urile web care nu doresc să securizeze sistemele de autentificare bazate pe parolă au nevoie doar de acces la o interfață de programare foarte ușor de folosit. Securitatea și mecanismele criptografice sub hota permit conectarea să se întâmple fără ca site-ul terț să vadă vreodată numele de utilizator și parola.
Cercetătorii care studiază gestionarea parolelor au găsit de curând un site care se presupune că oferă SSO de pe Facebook. Potrivit videoclipului de mai jos, se poate observa că fereastra de autentificare părea aproape similară cu realul SSO Facebook. Însă, acesta nu a rulat pe API-ul rețelei de socializare și nu s-a asociat în niciun fel cu aceasta. În schimb, a dezactivat numele de utilizator și parola.
Unul dintre factorii care au făcut ca această fereastră de autentificare să arate real este că a reprodus aproape perfect ceea ce ar vedea utilizatorii dacă ar întâlni un SSO Facebook autentic, cum ar fi cel de mai jos.
Bara de status, cea de navigare, umbrele și adresa Facebook bazată pe HTTPS apar aproape la fel. Fereastra prezentată pe pagina de phishing a fost însă redată folosind mai degrabă un bloc de cod HTML decât apelând un API ce deschide apoi o fereastră reală din Facebook. Drept urmare, orice informație introdusă în pagina SSO falsă se direcționează direct către phishers.