Hlavní navigace

Facebook a nekalé spamovací techniky

 Autor: 21971
Michal Smrčka

V poslední době se na Facebooku rozmohl nový fenomén: spamování uživatelů reklamou s využitím podvodných aplikací. Kombinace bezpečnostních chyb, naivity uživatelů a pomalých reakcí správců Facebooku tvoří obrovskou příležitost pro masivní, velmi levnou a poměrně účinnou reklamu. Dokud bude možné Facebook tak snadno programátorsky obelstít, běžný uživatel nepozná, co konkrétní aplikace ve skutečnosti zamýšlí.

Pro zmíněné spamovací aplikace jsou společné dva rysy: lákají uživatele ke kliknutí na reklamu a snaží se rozmnožit dále. Abych byl konkrétnější, pojďme si situaci ukázat na dvou příkladech.

Příklad číslo 1

Zhruba před dvěma týdny se zejména na českém a polském Facebooku objevila aplikace my_virtual_a (později i další upravené varianty označené jiným koncovým písmenkem).

Princip fungování aplikace je následující: Nejprve vám přijde falešné upozornění od přítele, že okomentoval vaši fotku. To však není pravda a odkaz ve skutečnosti vede na cizí server, který kopíruje vzhled Facebooku.

Facebook - spam 1

Zajímá vás, co si o vaší fotce myslí jeden z vašich přátel? Koho by to nezajímalo.

Facebook - spam 2

Po kliknutí na odkaz se ale objeví místo komentáře úplně něco jiného.

Dále vás navádí hláška „You must allow 3D photos“ (všimněte si toho, jak vás tvůrce chce nalákat, 3D fotka je určitě lepší než obyčejná, i když je technicky nemožné ji na klasickém monitoru zobrazit).

Facebook - spam 3

Oops, něco se právě pokazilo.

Kliknutím se provedou dvě akce:

  • Nevědomky kliknete na reklamu, protože se díky speciálnímu triku zobrazuje pod kurzorem myši a je neviditelná.
  • Budete znovu požádán o povolení spuštění aplikace, nyní již na pravém Facebooku. Ta automaticky rozešle vašim přátelům falešná upozornění, že jste také komentovali jejich fotky. Lavina se tedy šíří exponenciálně.
Facebook - spam 4

Stačí kliknout a svou porci spamu si užijí i vaši přátelé.

Příklad číslo 2

Jistému člověku se zachtělo přivydělat si nějaké peníze. Vytvořil jednoduchou miniaplikaci, která lákala tím, že vám ukáže, jak byste vypadal/a jako opačné pohlaví. Obsahovala tlačítko „ano, chci se vidět jako opačné pohlaví“, které vás ale pouze přihlásilo k fanouškům této aplikace. A to aniž byste byli jakkoli upozorněni. Aplikace se šířila jednoduše sama – přátelé viděli, že jste se stali fanoušky, tak se mrkli taky.

Těchto skupin (tematicky podobných) tvůrce založil několik a po nastřádání několika stovek tisíc fanoušků začal rozesílat reklamy na e-shop, ve kterém získával provize.

Jak a proč to tak funguje?

Vytvořit Facebookovou aplikaci dnes může každý, kdo rozumí základům značkovacího jazyka HTML, popř. JavaScriptu. A naprogramování kódu, který například dokáže uživatele tajně a bez upozornění přidat mezi fanoušky libovolné skupiny, vyžaduje znalosti jen o něco málo hlubší. Je dlouho známo, že Facebook má nedostatečně řešený systém oprávnění a doslova si „aplikace pouští do svého kódu“.

Některé aktivity Facebook chrání speciálně vypočítanými ID, algoritmy se však dají najít volně na Internetu. Integrace aplikace do Facebooku nepodléhá žádným kontrolám a probíhá automaticky a okamžitě. To je pro vývojáře sice pohodlnější, ale zároveň je také snazší najít a zneužít chyby nebo bezpečnostní slabiny.

Univerzální řešení, jak podvody v aplikacích na Facebooku bezpečně odhalit, neexistuje. Největší vina je totiž na straně Facebooku a dokud jej bude možné tak snadno programátorsky obelstít, běžný uživatel nepozná, co daná aplikace zamýšlí. Může se jen naučit situaci předvídat a podporování takových aplikací na Facebooku se vyhnout.

Takže na závěr pár zásad:

  • Pokud se vám na Facebooku něco nezdá, ignorujte to. Typickým příkladem jsou podvržená upozornění, jako například „uživatel okomentoval váš status“. Pokud se po kliknutí najednou ocitnete někde jinde, než jste očekávali, vraťte se zpět a označte položku jako SPAM (křížek v seznamu upozornění).
  • Buďte obezřetní, pokud po vás aplikace chce povolení k přístupu k vašim osobním údajům. Položte si otázku, zda by například aplikace „podívej se na super video“ opravdu měla potřebovat ke svému fungování vaše data. Ve skutečnosti je často požaduje proto, aby se skrz vaše kontakty mohla dále automaticky šířit.
  • Povolení k použití vaší e-mailové adresy dávejte výhradně důvěryhodným aplikacím.

Další informace o Facebooku

Facebook

Neznáte Facebook? Věnujte pozornost: Facebook pro začátečníky

Více praktických informací o bezpečnosti na Facebooku najdete v těchto článcích:

Anketa

Spouštíte aplikace na Facebooku?

Našli jste v článku chybu?

2. 3. 2010 20:56

:-) (neregistrovaný)
Milé děti, bylo to tenkrát v desátým roce, po ulicích se šeptalo o člověku - i když podle některých to ani člověk nebyl - jemuž se říkalo "stín bez tváře".

Podle starých legend uměl mluvit se zvířaty, být neviditelný, uměl uhranout člověka jediným pohledem... A co bylo nejstrašnější - NEMĚL ÚČET NA FACEBOOKU!!!

:-DDDDDDD



2. 3. 2010 7:36

"Vytvořil jednoduchou miniaplikaci," <- jen malá poznámka, žádnou aplikaci nevytvořil. Tedy pokud nezačneme odkaz s jedním kusem javascriptu označovat za "aplikaci" :) Beru slovo "mini", ale v prostředí Facebooku je aplikace už něco definovaného.

Tohle bylo použití uplně obyčejného FBML. A ten "člověk" je navíc znám. Robert Dziugiel, www.freshmind.cz a zneužití v rámci provizního prodeje pro www.hodinky.cz. Viz http://www.pooh.cz/pooh/a.asp?a=2015940<…

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

DigiZone.cz: Kanál TA3 HD zahájil vysílání

Kanál TA3 HD zahájil vysílání

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Sleva na dítě a manželku pro OSVČ je zpět. Ale..

Sleva na dítě a manželku pro OSVČ je zpět. Ale..