40

Nabijanie fanów i generowanie lajków czyli jak to się robi na Facebooku ciąg dalszy

Autorem poniższego artykułu jest Radosław Grzelaczyk – wlaściciel WebLike.pl. W odpowiedzi na ostatni wywiad publikowany na ramach Antyweb.pl chciałbym przekazać wam kilka cennych informacji, które pomogą wam ( użytkownikom Facebooka) ustrzec się przed wszelkiego rodzaju reklamami, aplikacjami spamującymi i włamaniami na wasze konta. Opiszę wam jak od kuchni wygląda taki precedens i mam nadzieję, że po […]

Autorem poniższego artykułu jest Radosław Grzelaczyk – wlaściciel WebLike.pl.

W odpowiedzi na ostatni wywiad publikowany na ramach Antyweb.pl chciałbym przekazać wam kilka cennych informacji, które pomogą wam ( użytkownikom Facebooka) ustrzec się przed wszelkiego rodzaju reklamami, aplikacjami spamującymi i włamaniami na wasze konta.

Opiszę wam jak od kuchni wygląda taki precedens i mam nadzieję, że po przeczytaniu tego artykułu będziecie mieli większą świadomość tego, gdzie może czyhać na was zagrożenie. Chciałbym zaznaczyć, ze miałem i nadal mam pewne opory przed publikowaniem tych informacji.

Są to bowiem dokładne opisy sztuczek stosowanych przez osoby zarabiające na spamie ukazującym się na waszych tablicach, sprzedające fanów oraz teksty opisujące Facebookowe ,,luki” wykorzystywane przez ludzi chętnych do przejęcia danych umożliwiających logowanie się na wasze konto. Całą wiedzę przekazuje wam tylko dlatego, byście nigdy nie nabrali się na tego rodzaju sztuczki i z nadzieja, ze przeczyta go osoba, która może mieć wpływ na naprawienie błędów spowodowanych zbyt szybkim wprowadzaniem kolejnych innowacji w serwisie z którego korzysta co trzeci polski internauta.

Wspomniałem ostatnio:
,,myślę że facebook wprowadza zbyt dużo innowacji w zbyt krótkim czasie i dlatego nie są one perfekcyjnie dopracowane. Kiedy wraz z kolegą stosowaliśmy podobne praktyki wykorzystując luki na NK.pl to tak je dopracowali, że w żaden możliwy sposób nie dało się ich obejść. Na NK nie ma już możliwości spamowania przez jakiekolwiek skrypty, które działają w tle bez wiedzy użytkownika. Na Facebooku to nadal możliwe”

„Twoje konto” to tylko teoria

 

Rzeczywiście. Istnieją sposoby na przejecie twojego Konta, ale spokojnie – nie tylko twojego. Wierze, ze korzystając z jednego z tych sposobów haker jest w stanie przejąc konta użytkowników liczonych w setkach tysięcy. Sposób ten jest banalny i nawet gimnazjalista znający choć trochę programowanie potrafiłby stworzyć aplikacje, która pozwoliłaby mu przejąc setki tysięcy kont. Sam pomysł na wykorzystanie kilku ogólnodostępnych funkcji w celu uruchomienia skryptu jest tak oczywisty, ze aż trudno na niego wpaść. Nie opiszę go tutaj, gdyż jest to dość poważne niedopatrzenie i nie chciałbym, aby wiedza na ten temat trafiła do nieodpowiednich osób. By jednak uświadomić wam, że na Facebooku czyha na was duże zagrożenie opowiem o kilku innych niedopatrzeniach na największym portalu społecznościowym świata.

Istnieje bowiem na Facebooku możliwość dodawania treści w formie filmów, zdjęć i tekstu na tablice każdego użytkownika, który nieświadomie wykona pewna akcje trwająca zaledwie parę sekund. Nie mam tutaj na myśli skomplikowanych aplikacji, które można w każdej chwili wyłączyć lub po prostu usunąć z naszego profilu. Myślę tu o ruchu, po którego wykonaniu przez użytkownika haker ma możliwość wrzucania zdalnie każdej treści na tablice poszkodowanego, podmiany jego zdjęcia profilowego oraz wykonania kilku innych niepożądanych działań. Ludzie nie mają pojęcia skąd na ich tablicy pojawiają się nagle przeróżne wpisy głownie w formie spamu. Najważniejsze jednak jest to, że użytkownik nie ma możliwości pozbycia się go na stałe nawet, gdy zmieniałby hasło kilka razy dziennie. Reasumując – możemy takiemu użytkownikowi wrzucać na tablice spam w formie tekstu, zdjęć i filmów, a jedyną drogą by mógł się od niego uwolnić jest…. Usuniecie konta

Metoda na maila

 

Niedopatrzenie, które wykorzystujemy w tym sposobie leży po stronie mobilnej wersji Facebooka. Każdy bowiem użytkownik zaraz po rejestracji otrzymuje unikalny adres e-mail służący do wrzucania zdjęć poprzez wysłanie e-maila na przypisany do danego konta adres. Po wysłaniu czegokolwiek na taki adres, który ma formę qwerty123xyzxyz@m.facebook.com możemy umieścić dowolna treść na profilu poszkodowanego. Postanowiliśmy wiec sprawdzić jaka sile rażenia może mieć wykorzystujący te lukę skrypt tworzący prosty efekt wirusowy. Na potrzeby testów stworzyliśmy prosta aplikacje, która cyklicznie co parę godzin umieszczała link do skryptu na profilach kolejnych poszkodowanych generując w ten sposób piramidę. Każda kolejna osoba, która wpadła w pułapkę ciągnęła za sobą kilka kolejnych, ci zaś następnych i tak przez kilka godzin – tworząc całkiem pokaźna bazę e-maili, które nawet nie podlegają pod GIODO, co umożliwia legalne i bardzo efektywne spamowanie. Aplikacja załaczala się zawsze po kliknięciu ,Lubie To!’’ na danym fanpage’u i informowała o konieczności weryfikacji użytkownika. Automatycznie otwierało się okienko z mobilna wersja strony przycięte w taki sposób, by wyświetlany był tylko e-mail pułapka, zaś umieszczony obok obrazek informował o przeciągnięciu lub skopiowaniu e-maila do okienka w celu fikcyjnej weryfikacji. Po takiej akcji użytkownik został już przeniesiony na upragniony fanpage, a skrypt po chwili automatycznie dodawał wiadomość na jego tablice z linkiem do tej samej strony. Cały cykl powtarzał sie za każdym razem, gdy na fanpage trafiała nowa osoba.

Metoda na piksele

 

Kolejny sposób, który nadal- mimo jego dawnego odkrycia nie został naprawiony to tzw. Ukryte ,,Lubie to!’’. Pewnie wielu z was zdarzyło się kiedyś polubić nieświadomie jakiś fanpage i zauważyć to dopiero po jakimś czasie. Wszystko to za razem zwykłego surfowania po internecie i nieświadomym kliknięciu w przycisk ,,like”. Skrypt, który napisaliśmy działał już wtedy, gdy Facebook w Polsce nie był jeszcze tak popularny. Polegało to na ukryciu przycisku ,,Lubię To!” w ramce 1×1 piksela i przypięciu jej do wskaźnika myszy. W ten sposób każdy użytkownik, który wszedł na stronę miał pod wskaźnikiem podsunięty nie widoczny przycisk ,,Lubię To!’’ i gdy tylko kliknął gdziekolwiek automatycznie zostawał fanem strony, do której odnosił się przycisk.

Ramka dezaktywowała się zaraz po kliknięciu i dzięki temu skrypt był niezauważalny dla osób nie zaglądających w źródło strony. Ze sposobu tego korzystało kilka dużych portali rozrywkowych w Polsce do czasu, gdy Facebook wprowadził captche po zbyt częstym klikaniu ,,Lubię To!’’ na danej stronie. Odpowiednio napisany skrypt działa do dzisiaj, jednak nie jest on już tak efektywny jak kiedyś, gdyż co 2-3 osoba proszona jest o wpisanie captchy w ramce, której nawet nie widzi, a po sekundzie ramka znika i akcja nie zostaje wykonana. Myślę jednak, że zawsze znajdzie się rozwiązanie, które pozwoli to łatwo obejść.

Metoda na komentarz

 

Następny i ostatni sposób na stworzenie efektu wirusowego, który wam przedstawię to wtyczka komentarzy udostępniana przez Facebooka dla właścicieli stron internetowych. Na pomysł wykorzystania tego do generowania dużej ilości ruchu na stronie wpadliśmy zaraz po zobaczeniu wtyczki. Nie dało się nie zauważyć potencjału, który posiadała – po skomentowaniu bowiem czegokolwiek na jakiejkolwiek stronie poprzez wlaśnie wtyczkę fbcomments na tablicy użytkownika pojawiał się link do strony wraz z obrazkiem i opisem, który wcześniej zapisaliśmy w meta tagach i ledwo widoczny komentarz, został wpisany w puste pole.

Obrazek, opis i link można było dowolnie zmieniać poprzez edycje meta tagów, mogliśmy wiec bez wiedzy użytkownika zarządzać treścią, która pojawia się na jego tablicy. Aby przekonać każdego odwiedzającego nasza stronę do skomentowania zamaskowaliśmy skrypt zostawiając tylko pole służące do wpisania komentarza, a kilka pikseli wyżej umieściliśmy obrazek z 4 zwierzątkami: żyrafą, zebrą, słoniem i lwem oraz pytaniem: Co przedstawia obrazek numer 3 ? , a mądry Polak dumny z tego iż wie jak wygląda słoń wpisywał komentarz o takiej właśnie treści i nieświadomie reklamował naszą stronę.




W tym momencie na jego tablicy pojawiał się link zachęcający do przejścia na nią i historia się powtarzała. Już pierwszego dnia piramida zaszła tak daleko, że stronę odwiedziło 400.000 użytkowników. W Kolejnym dniu liczba ta wzrosła do 600.000 unikalnych wizyt. W ciągu 3 dni przez stronę przewinęło się prawie 1.200.000 użytkowników nie mających pojęcia, ze komentarz dodaje się na ich tablicy i werbuje kolejne osoby. Po kilku, równie efektywnych akcjach Facebook zabrał się za naprawę tej wtyczki i na dzień dzisiejszy skrypt wychwytuje strony nieodpowiednio wykorzystujące ją już po kilku komentarzach.

To tylko część wielkiego zbioru tego typu praktyk. Dowiedzieliście się, że Facebook może służyć nie tylko do kontaktu między ludźmi i udostępniania zdjęć, ale także do stosowania rzeczy mniej przyjemnych dla typowych użytkowników. Po przeczytaniu artykułu powinniście podejmować już dobre decyzje podczas korzystania z Facebooka. Następnym razem więc, gdy będziecie chcieli obejrzeć zdjęcia na jakimś podejrzanym fanpage’u – zastanówcie się 3 razy, czy chcecie dać zarobić hakerowi biorąc na siebie wszystkie szkody, czy lepiej w tym czasie przeczytać jakiś ciekawy artykuł na Antywebie :)

Radosław Grzelaczyk – wlaściciel WebLike.pl