Z biegiem lat Facebook stał się źródłem informacji o wszystko. Istnieją wiadomości, artykuły, muzyka, udostępnianie, wszystko możesz mieć ochotę w jednym miejscu, więc oczywiście ludzi z wątpliwych intencjach są przy użyciu tego również. Musi wystąpić wszelkiego rodzaju spam, niektóre bardziej oczywiste niż inni, fałszywe wiadomości, itp. Ale wszyscy mamy te ‚bezpieczny’ stron internetowych, które Zapraszamy do kliknięcia, jeśli zawartość wydawał się ciekawy.
I lipca 2017, Facebook opcji, które pozwoliły plakaty edytować tytuł, opis, obrazu, itp., które sprawia, że bezpieczniej kliknąć na linki, ponieważ wiesz, że dokładnie gdzie Cię nauczą się. Prawo? Choć byłoby miło, jeśli tak było, specjaliści zabezpieczeń Barak Tawily wykazał, że jest możliwe dla plakaty z zamiarem wyrządzenia szkód do fałszowania adresów URL, dzięki czemu pojawiają się uzasadnione podczas przekierowanie do złośliwych witryn. I Facebook’s Metoda pobierania podglądów łączy pozwala tak się stało.
Spamerzy wykorzystują używa Facebook metody do pobierania podglądów łączy
Gdy ktoś udostępni łącze, wideo, itp., Facebook narzędzie dla Open Graph meta tagi, w szczególności „og: adres url,” Tagi „og: obraz” i „og: tytuł”. W zasadzie jest adres URL, obraz i tytuł udostępnione łącze. Nie robi co Facebook jest, nie sprawdzić, czy link w „og: url” zgodny z adresem URL strony. Więc tak długo, jak możesz dodać uzasadnionych URL w „og: url”, użytkownicy mogą prowadzić do różnego rodzaju stron internetowych.
„Moim zdaniem, wszyscy użytkownicy Facebook Myślę, że Podgląd danych przez Facebook jest niezawodny i będą klikać łącza, które są zainteresowane w, co sprawia, że łatwo obiektem ataków, które nadużywają tej funkcji w celu wykonania kilku rodzajów ataków, jak Tawily wspomniano powyżej (phishing kliknij/reklamy/kampanii fraudpay-per-click),”wyjaśnia w jego blog post.
Facebook nie naprawi wadę
Analityka systemów zabezpieczeń przekazywane, co znalazł, do Facebook, ale firmy mediów społecznych nie rozpoznał go jako problem zabezpieczeń. Facebook wspomniano również, że używa „Linkshim” w celu uniknięcia takich ataków. Co to jest „Linkshim” system robi, skanuje adresy URL dla Piaśnicy. To również przeszuka witrynę pod kątem złośliwej zawartości, ciągłe poszerzanie listy witryny na czarnej liście. Jednak Tawily był w stanie przez przekazać to jako dobrze.
„Starałem się opublikować link, który przekierowuje przeglądarkę użytkownika do”evilzone”ale to wykryto i usunięto, a następnie myślałem, co zrobić, jeśli dostaw Facebook bot tylko normalny HTML fałszywe bez żadnego złośliwego kodu, ale dostarczają ofiar szkodliwych HTML?”
Chociaż istnieje niewiele można zrobić, aby chronić się przed tego typu atakiem, nadal istnieją pewne środki ostrożności, które należy wykonać. Można zawsze Aktywuj link bez faktycznie klikając na nim, jeśli jest on zgodny wyświetlany adres URL, można kliknąć na nim. Zwróć uwagę na dziwne, niepoprawne gramatycznie zdań i jeśli ktoś nie używasz do komunikowania się z angielskim wysyła wiadomość w dziwnym języku angielskim z linkiem, najpierw zapytać o to, a dopiero potem kliknij na nim. Jeśli jesteś bardzo sceptycznie, klikając na link, możesz zawsze można wyszukać artykuł/wideo ręcznie. Krótko mówiąc zachować czujność, nawet wtedy, gdy link wydaje się być godna zaufania.