Vladimir il problema spesso rientra nel phishing, come sappiamo al giorno d'oggi in genere è più facile fregare un essere umano che un algoritmo o sistema di protezione. Quindi si fa leva sulla social engineering, con la creatività massima possibile, ad esempio:
- scopri chi visita il tuo profilo (NB la piattaforma ufficiale non ha MAI dichiarato una simile funzionalità)
- altre app, software e integrazioni di vario genere
Funzionamento di base: l'app, software ha bisogno dei permessi di accesso, quindi grazie alla social engineering, semplicemente andiamo a chiederlo alla vittima, ovvero: "clicca consenti per far funzionare questa app". Ovviamente la vittima clicca "consenti" quindi l'app/software malevolo ottiene tutti i permessi per la funzione che deve svolgere, a seconda di come è stata creata.
In altri casi si invia ad esempio un link via email o altro (diciamo, "phishing di basso livello") che ti rimanda su un sito che NON è Facebook o la piattaforma che dice di essere, ha un dominio differente (magari creato "simile" in modo da fregarti se non leggi l'URL attentamente) e il layout ovviamente è copiato dall'originale, quindi apparentemente uguale. C'è un campo per l'inserimento dei dati di login, se vengono inseriti questi di fatto vengono inviati all'attaccante.