Facebook a nekalé spamovací techniky

Pro zmíněné spamovací aplikace jsou společné dva rysy: lákají uživatele ke kliknutí na reklamu a snaží se rozmnožit dále. Abych byl konkrétnější, pojďme si situaci ukázat na dvou příkladech.

Příklad číslo 1

Zhruba před dvěma týdny se zejména na českém a polském Facebooku objevila aplikace my_virtual_a (později i další upravené varianty označené jiným koncovým písmenkem).

Princip fungování aplikace je následující: Nejprve vám přijde falešné upozornění od přítele, že okomentoval vaši fotku. To však není pravda a odkaz ve skutečnosti vede na cizí server, který kopíruje vzhled Facebooku.

Zajímá vás, co si o vaší fotce myslí jeden z vašich přátel? Koho by to nezajímalo.

Po kliknutí na odkaz se ale objeví místo komentáře úplně něco jiného.

Dále vás navádí hláška „You must allow 3D photos“ (všimněte si toho, jak vás tvůrce chce nalákat, 3D fotka je určitě lepší než obyčejná, i když je technicky nemožné ji na klasickém monitoru zobrazit).

Oops, něco se právě pokazilo.

Kliknutím se provedou dvě akce:

• Nevědomky kliknete na reklamu, protože se díky speciálnímu triku zobrazuje pod kurzorem myši a je neviditelná.
• Budete znovu požádán o povolení spuštění aplikace, nyní již na pravém Facebooku. Ta automaticky rozešle vašim přátelům falešná upozornění, že jste také komentovali jejich fotky. Lavina se tedy šíří exponenciálně.

Stačí kliknout a svou porci spamu si užijí i vaši přátelé.

Příklad číslo 2

Jistému člověku se zachtělo přivydělat si nějaké peníze. Vytvořil jednoduchou miniaplikaci, která lákala tím, že vám ukáže, jak byste vypadal/a jako opačné pohlaví. Obsahovala tlačítko „ano, chci se vidět jako opačné pohlaví“, které vás ale pouze přihlásilo k fanouškům této aplikace. A to aniž byste byli jakkoli upozorněni. Aplikace se šířila jednoduše sama – přátelé viděli, že jste se stali fanoušky, tak se mrkli taky.

Těchto skupin (tematicky podobných) tvůrce založil několik a po nastřádání několika stovek tisíc fanoušků začal rozesílat reklamy na e-shop, ve kterém získával provize.

Jak a proč to tak funguje?

Vytvořit Facebookovou aplikaci dnes může každý, kdo rozumí základům značkovacího jazyka HTML, popř. JavaScriptu. A naprogramování kódu, který například dokáže uživatele tajně a bez upozornění přidat mezi fanoušky libovolné skupiny, vyžaduje znalosti jen o něco málo hlubší. Je dlouho známo, že Facebook má nedostatečně řešený systém oprávnění a doslova si „aplikace pouští do svého kódu“.

Některé aktivity Facebook chrání speciálně vypočítanými ID, algoritmy se však dají najít volně na Internetu. Integrace aplikace do Facebooku nepodléhá žádným kontrolám a probíhá automaticky a okamžitě. To je pro vývojáře sice pohodlnější, ale zároveň je také snazší najít a zneužít chyby nebo bezpečnostní slabiny.

Univerzální řešení, jak podvody v aplikacích na Facebooku bezpečně odhalit, neexistuje. Největší vina je totiž na straně Facebooku a dokud jej bude možné tak snadno programátorsky obelstít, běžný uživatel nepozná, co daná aplikace zamýšlí. Může se jen naučit situaci předvídat a podporování takových aplikací na Facebooku se vyhnout.

Takže na závěr pár zásad:

• Pokud se vám na Facebooku něco nezdá, ignorujte to. Typickým příkladem jsou podvržená upozornění, jako například „uživatel okomentoval váš status“. Pokud se po kliknutí najednou ocitnete někde jinde, než jste očekávali, vraťte se zpět a označte položku jako SPAM (křížek v seznamu upozornění).
• Buďte obezřetní, pokud po vás aplikace chce povolení k přístupu k vašim osobním údajům. Položte si otázku, zda by například aplikace „podívej se na super video“ opravdu měla potřebovat ke svému fungování vaše data. Ve skutečnosti je často požaduje proto, aby se skrz vaše kontakty mohla dále automaticky šířit.
• Povolení k použití vaší e-mailové adresy dávejte výhradně důvěryhodným aplikacím.