De ‘scam’ in kwestie verschijnt tussen andere berichten in de tijdlijn van Facebook en komt doorgaans af van vrienden die al in de val zijn gelokt. “Hack elk profiel door de volgende stappen op te volgen,” leest het bericht.
Facebook-gebruikers dienen in de browser op de rechtermuisknop te klikken en ‘element inspecteren’ te kiezen. Daar plakken ze vervolgens de code uit het bericht in het HTML-vak, waarna ze zichzelf hebben overgeleverd aan hackers.
Cross-site scripting
De list werkt dankzij cross-site scripting, een kwetsbaarheid die opgelost dient te worden door webbrowsers en niet door Facebook zelf. Het bedrijf waarschuwt dan ook al langer om niet zomaar verdachte codes te kopiëren.