Au cours des années, Facebook est devenu une source d’information sur tout. Il y a des news articles, musique, partage, tout ce que vous pourriez vouloir possible en un seul endroit, tellement de gens de cours avec des intentions douteuses sont utilisant qui aussi bien. Vous devez rencontrer toutes sortes de spam, certains plus évidents que d’autres, fausses nouvelles, etc.. Mais nous avons tous ces sites « sûrs » que nous n’hésiterions pas à cliquer sur si le contenu nous a semblé intéressant.

Flaw in Facebook allows you to spoof links

Et en juillet 2017, Facebook éliminé l’option permettant aux affiches d’éditer le tittle, image, description, etc., ce qui le rend plus sûr de cliquer sur les liens car vous savez exactement où vous emmenerons à. Oui ? Alors qu’il serait gentil si tel était le cas, les spécialistes de la sécurité Barak Tawily a démontré que, il est possible pour des affiches avec une intention malveillante d’usurper les adresses URL, faisant apparaître légitimes tout en vous redirigeant vers des sites malveillants. Et la méthode de Facebook d’aller chercher les Prévisualisations de lien permet de le faire.

Les spammeurs exploitent la méthode Facebook utilise pour extraire des Prévisualisations de lien

Lorsque quelqu’un partage un lien, vidéo, etc., Facebook scanne pour les balises meta Open Graph, spécifiquement la « og : url, » balises « og : image » et « og : title ». C’est fondamentalement l’URL, l’image et le titre du lien partagé. Ce que Facebook ne fait pas est, il ne vérifie pas si le lien dans « og : url » correspond à l’URL de la page. Donc tant que vous ajoutez une URL légitime dans « og : url », vous pouvez orienter les utilisateurs vers toutes sortes de sites Web.

« À mon avis, tous les utilisateurs de Facebook pensent que données d’aperçu illustrées par Facebook sont fiables et cliquez sur les liens qu’ils sont intéressés, ce qui les rend facilement pris pour cible par les assaillants qui abusent de cette fonctionnalité afin d’effectuer plusieurs types d’attaques comme je l’ai mentionnés ci-dessus (phishing campagnes/ads/click fraudpay-per-click), » Tawily explique dans son blog post.

Facebook ne va pas corriger la faille

Le chercheur en sécurité a transmis ce qu’il a trouvé à Facebook, mais la société de médias sociaux il n’a pas reconnu comme un problème de sécurité. Facebook a également mentionné qu’il utilise « Linkshim » afin d’éviter de telles attaques. Ce qui est le « Linkshim », le système opère, il scanne les URL pour les liens sur la liste noire. Il analyse également le site de contenu malveillant, élargissant la liste des sites sur la liste noire sans cesse. Cependant, Tawily a pu passer par cela aussi bien.

« J’ai essayé de publier un lien qui redirige le navigateur de l’utilisateur à « evilzone » mais il a été détecté et supprimé, alors j’ai pensé, que se passe-t-il si j’ai fournir Facebook bot juste un HTML normal faux sans code malveillant, mais fournir des victimes le HTML malveillant ? »

Alors qu’il y a que peu, vous pouvez faire pour vous protéger contre ce genre d’attaque, il y a toujours quelques précautions que vous pouvez prendre. Vous pouvez toujours survolez le lien sans cliquer en fait à ce sujet, si elle correspond à l’URL affichée, vous pouvez en toute sécurité cliquer sur elle. Recherchez les phrases bizarres et grammaticalement incorrects et si, que vous n’utilisez pas l’anglais pour communiquer vous recevez un message en anglais étrange avec un lien, tout d’abord vous renseigner à ce sujet et alors seulement, cliquez dessus. Si vous êtes très sceptique à propos d’en cliquant sur un lien, vous pouvez toujours Rechercher l’article/vidéo manuellement. En bref, rester vigilants, même si le lien semble être digne de confiance.

Laisser un commentaire