Een functionaliteit van Facebook wordt door criminelen gebruikt om via een phishingaanval wachtwoorden en privégegevens van gebruikers te ontfutselen. De aanvallers gebruiken een iframe om een phishingformulier binnen een Facebook app te tonen. Sinds een aantal maanden ondersteunt Facebook iframes voor applicaties.

Het getoonde formulier waarschuwt de Facebook-gebruiker dat er vanaf een onbekende locatie op zijn account is ingelogd. Vervolgens moet men ter verificatie volledige naam, e-mailadres, wachtwoord, geslacht, geboortedatum, land en security vraag invullen. Het ingevoerde wachtwoord wordt meteen gecontroleerd. Geeft men een verkeerd wachtwoord, dan verschijnt er een waarschuwing.

Het formulier wordt op een gehackte Indiase website gehost. Volgens Sean Sullivan van het Finse F-Secure gaat het vooralsnog om een kleinschalige phishingaanval, maar kan dat in de toekomst veranderen. "Het hosten van spam, phishing en malware via iframes op Facebook.com, kan snel een zeer ernstig probleem worden."