En los años Facebook se ha convertido en una fuente de información acerca de todo. Hay noticias, artículos, música, todo que lo posible desea en un solo lugar, así que de las personas del curso con cuestionables intenciones están usando así. Usted debe encontrar todo tipo de spam, algunas más obvias que otras, falsas noticias, etcetera. Pero todos los sitios ‘seguros’ que no dudaríamos en hacer clic en si el contenido me parecía interesante.
Y en julio de 2017, Facebook la opción que permitía carteles editar el título, descripción, imagen, etc., que hace más seguro hacer clic en enlaces ya que sabes exactamente donde serás llevado a. ¿Correcto? Aunque sería agradable si ese fuera el caso, especialistas en seguridad Barak Tawily ha demostrado es posible para carteles con intención maliciosa para engañar a URLs, haciéndolos aparecer legítimos mientras te redirige a sitios maliciosos. Y método de Facebook de obtener previsualizaciones de enlace permite que esto suceda.
Los spammers explotan el método Facebook que utiliza para obtener vistas previas de enlace
Cuando alguien comparte un enlace, video, etc., Facebook busca de etiquetas meta de Open Graph, específicamente la “og: url,” etiquetas “og: image” y “og: title”. Básicamente se trata de la URL, la imagen y el título del enlace compartido. Lo que Facebook no es, no comprueba si el enlace en “og: url” coincide con la URL de la página. Así como agregar un URL legítima “og: URL”, puede llevar a los usuarios a todo tipo de sitios Web.
“En mi opinión, todos los usuarios de Facebook que escuchar datos de Facebook es confiables y se haga clic en los enlaces que les interesa, que los hace fácilmente atacado por agresores que abusan de esta característica para realizar varios tipos de ataques como Tawily mencionado arriba (phishing campañas/anuncios/haga clic fraudpay-per-click),”explica en su blog post.
Facebook no va a arreglar la falla
El investigador de seguridad reenvía lo que encontró a Facebook, pero la empresa de medios de comunicación social no lo reconoció como un problema de seguridad. Facebook también menciona que utiliza “Linkshim” para evitar este tipo de ataques. Qué es el “Linkshim” sistema hace, analiza las direcciones URL para los vínculos en la lista negra. También analiza el sitio de contenido malicioso, ampliando constantemente la lista de sitios en la lista negra. Sin embargo, Tawily era capaz de pasar por esto así.
“He intentado publicar un enlace que redirecciona el navegador del usuario a”evilzone”, pero fue detectado y eliminado, entonces pensé, ¿qué pasa si suministrar Facebook bot sólo un HTML falso normal sin ningún código malicioso, pero víctimas de la fuente HTML malicioso?”
Mientras que hay poco que puede hacer para protegerse de este tipo de ataque, todavía hay algunas precauciones que puede tomar. Usted siempre puede asomar sobre el enlace sin realmente hacer clic en él, si coincide con la URL mostrada, puede con seguridad hacer clic en él. Busque las frases gramaticalmente incorrectos, extraños y si alguien con que no utilizar el inglés para comunicarse le envía un mensaje en inglés extraño con un enlace, primero averiguar y sólo entonces haga clic en él. Si usted es muy escéptico acerca de hacer clic en un enlace, puede siempre buscar el artículo y vídeo manualmente. En definitiva, permanecer vigilante, aún cuando el enlace parece ser digno de confianza.