Para notificar os usuários do golpe , o FB coloca a seguinte mensagem no console do desenvolvedor:
"
.d8888b. 888 888
d88P Y88b 888 888
Y88b. 888 888 This is a browser feature intended for
"Y888b. 888888 .d88b. 88888b. 888 developers. If someone told you to copy-paste
"Y88b. 888 d88""88b 888 "88b 888 something here to enable a Facebook feature
"888 888 888 888 888 888 Y8P or "hack" someone's account, it is a
Y88b d88P Y88b. Y88..88P 888 d88P scam and will give them access to your
"Y8888P" "Y888 "Y88P" 88888P" 888 Facebook account.
888
888
888
See https://www.facebook.com/selfxss for more information.
"
Eu diria que isso seria feito com console.log() , mas quando eu pesquiso fonte de página FB para um comando console.log não vejo nada.
De que outra forma eles poderiam ter feito isso?