V průběhu let se stala Facebook zdroj informací o všem. Existují zprávy, články, sdílení hudby, vše, co že byste mohli možná chtějí na jednom místě, tak samozřejmě lidí s pochybnými úmysly jsou která stejně. Třeba narazíte na všechny druhy spamu, některé patrnější než ostatní, falešné zprávy, atd. Ale všichni máme, ty „bezpečné“ weby, které nebudeme váhat klikněte na, je-li obsah zdálo zajímavé.
A v červenci 2017, Facebook vyloučena možnost, který umožnil plakáty upravit puntík, popis, obrázek, atd., což je bezpečnější kliknout na odkazy, protože víte přesně kde budete navedeni k. Je to tak? Zatímco bylo by pěkné, kdyby to tak bylo, bezpečnostní specialisté Barak Tawily prokázal, že je možné pro plakáty s nepřátelskými úmysly falšovat URL, nutit je vypadat legitimní při přesměrování na škodlivé weby. A je Facebook metoda načítání náhledů odkazů umožňuje, aby se to stalo.
Odesílatelé nevyžádané pošty využívají používá metodu Facebook k načtení náhledů odkazů
Když někdo sdílí, odkaz, video, atd., Facebook vyhledává Open Graph meta tagy, konkrétně „og: url,“ značky „og: image“ a „og: titul“. V podstatě to je adresa URL, obrázek a název sdíleného odkazu. Jaký Facebook nedělá je, jej nekontroluje, zda odkaz v „og: url“ odpovídá adrese URL stránky. Takže, pokud přidáte legitimní adresa URL v „og: url“, může vést uživatele k webových stránek všeho druhu.
„Podle mého názoru, všichni Facebook uživatelé si myslí, že náhled dat dokládá Facebook je spolehlivá a bude na odkazy, které mají zájem, což je terčem útoků, které zneužívají tuto funkci plnit několik typů útoků, jako já, snadno uvedeno výše (phishing kampaní/reklamy/klikněte na fraudpay-per-click),“vysvětluje Tawily v jeho blog post.
Facebook není možné opravit chybu
Bezpečnostní výzkumník předány, co našel na Facebook, ale sociální mediální společnost jí neuznává jako bezpečnostní problém. Facebook se také zmínil, že používá „Linkshim“ aby se předešlo takovým útokům. Co je „Linkshim“ systém, to prohledá adresy URL pro medailí. Prohledá také místo pro škodlivý obsah, neustále rozšiřuje seznam zakázaných serverů. Avšak Tawily byl schopen tím projít to stejně.
„Snažil jsem se zveřejnit odkaz, který přesměruje prohlížeč na“evilzone“ale bylo nalezeno a odstraněno, pak mě napadlo, co když jsem dodat Facebook bot jen normální falešná HTML bez jakéhokoliv škodlivého kódu, ale dodávají oběti škodlivý HTML?“
Zatímco tam je že málo můžete udělat se chránit před tímto typem útoku, stále existují některé bezpečnostní opatření, kterými lze. Můžete vždy najedete na odkaz bez skutečně kliknutím na něj, pokud to odpovídá zobrazené URL bezpečně po klepnutí na něj. Pozor na podivné, gramaticky nesprávné věty a pokud nepoužíváte angličtina komunikovat se vám někdo pošle zprávu v podivné angličtině s odkazem, nejprve informovat o tom a teprve potom klikněte na něj. Pokud jste velmi skeptický ohledně klepnutím na odkaz, můžete vždy hledat článek a video ručně. Stručně řečeno stále ostražití, i v případě, že odkaz se zdá být důvěryhodný.