Autorem poniższego artykułu jest Radosław Grzelaczyk – wlaściciel WebLike.pl. W odpowiedzi na ostatni wywiad publikowany na ramach Antyweb.pl chciałbym przekazać wam kilka cennych informacji, które pomogą wam ( użytkownikom Facebooka) ustrzec się przed wszelkiego rodzaju reklamami, aplikacjami sp...
W odpowiedzi na ostatni wywiad publikowany na ramach Antyweb.pl chciałbym przekazać wam kilka cennych informacji, które pomogą wam ( użytkownikom Facebooka) ustrzec się przed wszelkiego rodzaju reklamami, aplikacjami spamującymi i włamaniami na wasze konta.
Opiszę wam jak od kuchni wygląda taki precedens i mam nadzieję, że po przeczytaniu tego artykułu będziecie mieli większą świadomość tego, gdzie może czyhać na was zagrożenie. Chciałbym zaznaczyć, ze miałem i nadal mam pewne opory przed publikowaniem tych informacji.
Są to bowiem dokładne opisy sztuczek stosowanych przez osoby zarabiające na spamie ukazującym się na waszych tablicach, sprzedające fanów oraz teksty opisujące Facebookowe ,,luki" wykorzystywane przez ludzi chętnych do przejęcia danych umożliwiających logowanie się na wasze konto. Całą wiedzę przekazuje wam tylko dlatego, byście nigdy nie nabrali się na tego rodzaju sztuczki i z nadzieja, ze przeczyta go osoba, która może mieć wpływ na naprawienie błędów spowodowanych zbyt szybkim wprowadzaniem kolejnych innowacji w serwisie z którego korzysta co trzeci polski internauta.
Wspomniałem ostatnio:
,,myślę że facebook wprowadza zbyt dużo innowacji w zbyt krótkim czasie i dlatego nie są one perfekcyjnie dopracowane. Kiedy wraz z kolegą stosowaliśmy podobne praktyki wykorzystując luki na NK.pl to tak je dopracowali, że w żaden możliwy sposób nie dało się ich obejść. Na NK nie ma już możliwości spamowania przez jakiekolwiek skrypty, które działają w tle bez wiedzy użytkownika. Na Facebooku to nadal możliwe"
Rzeczywiście. Istnieją sposoby na przejecie twojego Konta, ale spokojnie - nie tylko twojego. Wierze, ze korzystając z jednego z tych sposobów haker jest w stanie przejąc konta użytkowników liczonych w setkach tysięcy. Sposób ten jest banalny i nawet gimnazjalista znający choć trochę programowanie potrafiłby stworzyć aplikacje, która pozwoliłaby mu przejąc setki tysięcy kont. Sam pomysł na wykorzystanie kilku ogólnodostępnych funkcji w celu uruchomienia skryptu jest tak oczywisty, ze aż trudno na niego wpaść. Nie opiszę go tutaj, gdyż jest to dość poważne niedopatrzenie i nie chciałbym, aby wiedza na ten temat trafiła do nieodpowiednich osób. By jednak uświadomić wam, że na Facebooku czyha na was duże zagrożenie opowiem o kilku innych niedopatrzeniach na największym portalu społecznościowym świata.
Istnieje bowiem na Facebooku możliwość dodawania treści w formie filmów, zdjęć i tekstu na tablice każdego użytkownika, który nieświadomie wykona pewna akcje trwająca zaledwie parę sekund. Nie mam tutaj na myśli skomplikowanych aplikacji, które można w każdej chwili wyłączyć lub po prostu usunąć z naszego profilu. Myślę tu o ruchu, po którego wykonaniu przez użytkownika haker ma możliwość wrzucania zdalnie każdej treści na tablice poszkodowanego, podmiany jego zdjęcia profilowego oraz wykonania kilku innych niepożądanych działań. Ludzie nie mają pojęcia skąd na ich tablicy pojawiają się nagle przeróżne wpisy głownie w formie spamu. Najważniejsze jednak jest to, że użytkownik nie ma możliwości pozbycia się go na stałe nawet, gdy zmieniałby hasło kilka razy dziennie. Reasumując - możemy takiemu użytkownikowi wrzucać na tablice spam w formie tekstu, zdjęć i filmów, a jedyną drogą by mógł się od niego uwolnić jest.... Usuniecie konta
Niedopatrzenie, które wykorzystujemy w tym sposobie leży po stronie mobilnej wersji Facebooka. Każdy bowiem użytkownik zaraz po rejestracji otrzymuje unikalny adres e-mail służący do wrzucania zdjęć poprzez wysłanie e-maila na przypisany do danego konta adres. Po wysłaniu czegokolwiek na taki adres, który ma formę qwerty123xyzxyz@m.facebook.com
Kolejny sposób, który nadal- mimo jego dawnego odkrycia nie został naprawiony to tzw. Ukryte ,,Lubie to!’’. Pewnie wielu z was zdarzyło się kiedyś polubić nieświadomie jakiś fanpage i zauważyć to dopiero po jakimś czasie. Wszystko to za razem zwykłego surfowania po internecie i nieświadomym kliknięciu w przycisk ,,like". Skrypt, który napisaliśmy działał już wtedy, gdy Facebook w Polsce nie był jeszcze tak popularny. Polegało to na ukryciu przycisku ,,Lubię To!" w ramce 1x1 piksela i przypięciu jej do wskaźnika myszy. W ten sposób każdy użytkownik, który wszedł na stronę miał pod wskaźnikiem podsunięty nie widoczny przycisk ,,Lubię To!’’ i gdy tylko kliknął gdziekolwiek automatycznie zostawał fanem strony, do której odnosił się przycisk.
Ramka dezaktywowała się zaraz po kliknięciu i dzięki temu skrypt był niezauważalny dla osób nie zaglądających w źródło strony. Ze sposobu tego korzystało kilka dużych portali rozrywkowych w Polsce do czasu, gdy Facebook wprowadził captche po zbyt częstym klikaniu ,,Lubię To!’’ na danej stronie. Odpowiednio napisany skrypt działa do dzisiaj, jednak nie jest on już tak efektywny jak kiedyś, gdyż co 2-3 osoba proszona jest o wpisanie captchy w ramce, której nawet nie widzi, a po sekundzie ramka znika i akcja nie zostaje wykonana. Myślę jednak, że zawsze znajdzie się rozwiązanie, które pozwoli to łatwo obejść.
Następny i ostatni sposób na stworzenie efektu wirusowego, który wam przedstawię to wtyczka komentarzy udostępniana przez Facebooka dla właścicieli stron internetowych. Na pomysł wykorzystania tego do generowania dużej ilości ruchu na stronie wpadliśmy zaraz po zobaczeniu wtyczki. Nie dało się nie zauważyć potencjału, który posiadała - po skomentowaniu bowiem czegokolwiek na jakiejkolwiek stronie poprzez wlaśnie wtyczkę fbcomments na tablicy użytkownika pojawiał się link do strony wraz z obrazkiem i opisem, który wcześniej zapisaliśmy w meta tagach i ledwo widoczny komentarz, został wpisany w puste pole.
Obrazek, opis i link można było dowolnie zmieniać poprzez edycje meta tagów, mogliśmy wiec bez wiedzy użytkownika zarządzać treścią, która pojawia się na jego tablicy. Aby przekonać każdego odwiedzającego nasza stronę do skomentowania zamaskowaliśmy skrypt zostawiając tylko pole służące do wpisania komentarza, a kilka pikseli wyżej umieściliśmy obrazek z 4 zwierzątkami: żyrafą, zebrą, słoniem i lwem oraz pytaniem: Co przedstawia obrazek numer 3 ? , a mądry Polak dumny z tego iż wie jak wygląda słoń wpisywał komentarz o takiej właśnie treści i nieświadomie reklamował naszą stronę.
To tylko część wielkiego zbioru tego typu praktyk. Dowiedzieliście się, że Facebook może służyć nie tylko do kontaktu między ludźmi i udostępniania zdjęć, ale także do stosowania rzeczy mniej przyjemnych dla typowych użytkowników. Po przeczytaniu artykułu powinniście podejmować już dobre decyzje podczas korzystania z Facebooka. Następnym razem więc, gdy będziecie chcieli obejrzeć zdjęcia na jakimś podejrzanym fanpage’u - zastanówcie się 3 razy, czy chcecie dać zarobić hakerowi biorąc na siebie wszystkie szkody, czy lepiej w tym czasie przeczytać jakiś ciekawy artykuł na Antywebie :)
Radosław Grzelaczyk – wlaściciel WebLike.pl
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
