I år, er Facebook blevet en kilde til oplysninger om alt. Der er nyheder artikler, musik deling, alt, hvad du kunne muligt ønsker på ét sted, så naturligvis mennesker med tvivlsom intentioner med, så godt. Du skal støde alle form af spam, nogle mere indlysende end andre, falske nyheder, osv. Men vi alle har disse “sikre” websteder, der vi ikke ville tøve med at klikke på, hvis indholdet virkede interessant.
Og i juli 2017, Facebook elimineret den indstilling, der tillod plakater til at redigere tittle, beskrivelse, billede, osv., som gør det mere sikkert at klikke på links siden du ved præcis hvor du vil blive ført til. Ret? Mens det ville rart hvis det var tilfældet, sikkerhedsspecialister Barak Tawily har vist, at er det muligt for plakater med ondsindet hensigt at forfalske webadresser, hvilket gør dem synes legitime mens omdirigere dig til ondsindede websteder. Og Facebook’s metode til at hente link previews tillader dette at ske.
Spammere udnytte metode Facebook anvender til at hente link previews
Når nogen deler et link, video m.m., Facebook scanner for åbne graf metatags, specielt “og: url,” “og: billede” og “og: title”-tags. Dette er dybest set URL, billede og titlen på det delte linket. Hvad Facebook gør ikke er, det ikke kontrollerer, om linket i “og: url” svarer til sidens URL. Så så længe du tilføje en legitim URL “og: URL”, kan du føre brugere til alle typer af hjemmesider.
“Efter min mening alle Facebook brugere, at Vis data vist af Facebook er pålidelig, og vil skal du klikke på de links, de er interesserede i, hvilket gør dem let ramt af hackere, der misbruger denne funktion for at udføre flere typer af angreb som jeg nævnt ovenfor (phishing kampagner/Annoncer/klik fraudpay-per-click),”Tawily forklarer i sin blog post.
Facebook vil ikke lave fejlen
Sikkerhedsforsker fremsendt, hvad han fandt at Facebook, men firmaet sociale medier genkende ikke det som et sikkerhedsspørgsmål. Facebook nævnte også, at det bruger “Linkshim” for at undgå sådanne angreb. “Linkshim” systemet gør er scanner det webadresserne for sortlistet links. Det scanner også webstedet for skadeligt indhold, udvide listen sortlistet websted konstant. Men Tawily var i stand til ved at passere det så godt.
“Jeg prøvede at udgive et link, der omdirigerer brugerens browser til”evilzone”, men det blev registreret og fjernet, så jeg tænkte, hvad nu hvis jeg levere Facebook bot bare en normal falske HTML uden skadelig kode, men leverer ofre ondsindet HTML?”
Mens der er lidt du kan gøre for at beskytte dig selv mod denne form for angreb, er der stadig nogle forholdsregler, som du kan tage. Du kan altid svæver over linket uden faktisk at klikke på det, hvis det svarer til de viste URL, du kan trygt klikke på det. Hold øje med underlige, grammatisk ukorrekt sætninger, og hvis nogen du ikke bruger engelsk for at kommunikere med sender du en besked i mærkelige engelsk med et link, først spørge om det, og først derefter klikke på den. Hvis du er meget skeptisk over for at klikke på et link, kan du altid søge manuelt efter artikel/video. Kort sagt, forblive årvågne, selv når linket synes at være troværdige.