طرق نشر الروابط الخبيثة على الفيسبوك – الجزء الأول
كثر في الفترة الأخيرة منشورات على شكل روابط لفيديوهات اباحية تنتشر على حسابات الأصدقاء و يتم الإشارة في المنشور للعديد من اصدقاء صاحب الحساب الذي يقوم بنشر هذه المنشورات.
تسائل حينها العديد من الاصدقاء عن سبب مثل هذه المنشورات و كيفية انتشارها بهذه السرعة على حساباتهم او حسابات اصدقائهم.
لذا اردنا في هذه المواضيع التحدث عن اشهر الطرق القديمة و الحديثة والتي تعمل على تجاوز خصوصية الأشخاص على موقع التواصل الإجتماعي فيسبوك.
هنالك العديد من الطرق تقوم بتجاوز خصوصية المستخدم على موقع فيسبوك و تنشر منشورات لروابط متعددة منها ما هو اباحي و منها ما هو لفيديوهات قتل و غيرها الكثير الكثير.
سنبدأ اليوم بذكر اولى هذه الطرق وهي طريقة قديمة نسبيا و قد كنت قد سجلت سابقا فيديو حول هذه الطريقة, الا اني سأقوم اليوم بشرحها مرة أخرى.
الطريقة الأولى :
هذه الطريقة تعتمد على اسلوب من اساليب الخداع يدعى Clickjacking او اصطياد النقرات, حيث يعتبر نوع من انواع الهجمات التي تستهدف تطبيقات و مواقع الويب والذي يعمل عن طريق اضافة صفحة ويب فوق صفحة ويب اخرى. حيث يتفاعل المستخدم و المتصفح لهذه الصفحات مع الصفحة الخبيثة دون علم منه, فهو يشاهد فقد الجزء الإعتياد من الصفحة و لا يشاهد الجزء الخبيث.
يقوم المخادعون على شبكة الإنترنت بإستغلال هذه الطريقة بعدة اساليب, منها ان يقوموا بدمجها مع موقع التواصل الإجتماعي لشن هجمات تدعى Likejacking او اصطياد الإعجابات.
حيث يقوم المخادعون بتصميم صفحات ويب بمجرد ان يقوم متصفحها بالنقر على منطقة محددة في هذه الصفحة, كأن يقوم بالنقر على زر تحميل ملف او على صورة او حتى تشغيل فيديو ما داخل هذه الصفحة, فإن المتصفح يقوم بعمل اعجاب على حسابه على موقع التواصل الإجتماعي فيسبوك دون علم منه على رابط تم زرعه بالخفية داخل هذه الصفحة من قبل مصمم الصفحة. هذا الرابط الذي تم اجبار المستخدم بعمل اعجاب عليه سيظهر لأصدقاءه و متابعيه, بحيث يزيد من احتمالية النقر عليه وزيارته من قبل آخرين و بالتالي وقوعهم بنفس الحيلة.
يستغل هؤلاء المخادعون هذه الطرق لكي يزيدوا من الزيارات على مواقعهم وبالتالي ارتفاع ترتيب الموقع عالميا و زيادة الدخل من الإعلانات مثل اعلانات جوجل و غيرها.
يمكن ايضا للمخادعين ان يجبروا المتصفحين بعمل اعجاب على صفحات دون علمهم, او متابعة مستخدم معين على موقع فيسبوك او تويتر وغيرها من الأمور الأخرى الكثيرة التي لا تعد ولا تحصى.
هذا النوع من انواع الهجمات يعتمد على لغة خاصة ببرمجة مواقع الإنترنت و هي لغة javascript, والذي اذا لم يتم التعامل معه بالشكل الصحيح سيؤدي الى امور خطيرة.
لحسن الحظ هنالك العديد من الطرق لإيقاف و الحد من مثل هذا النوع من انواع الهجمات و الذي تم اتاحتها من قبل الباحثين الأمنيين. حيث يمكن تطبيق هذه الطرق على كل من جانب متصفح الموقع (الزائر) او جانب الخادم او كلاهما.
من جانبك انت كمتصفح للموقع فإنك اذا كنت تتعامل مع متصفح firefox فعليك تنصيب اضافة تدعى NoScript والتي بدورها تقوم بإيقاف هذ النوع من الهجمات.
هذه الطريقة فقط تقوم بنشر الروابط دون علمك (بالطبع يجب ان يكون المتصفح قد قام بتسحيل دخوله من نفس المتصفح الذي قام بزيارة الرابط منه) ولا تقوم بالإشارة للأصدقاء في المنشور, و قد حدثت هذه الأمور سابقا مع بعض الأصدقاء و قمت حينها بتسجيل فيديو سابق حول هذا الموضوع وتحليل كيفية عملها.
رابط الموضوع السابق من هنا : كيف تخترق بعض المواقع خصوصيتك على الفيسبوك .
هذه اول و ابسط طريقة من طرق نشر الروابط على الحسابات و التي اتمنى ان اكون قد استطعت ايصالها لكم بشكل واضح و بسيط.
الطريقة الثانية :
دعونا الآن ننتقل لطريقة جديدة من هذه الطرق و التي يمكن ان تستخدم من المخادعين لنشر مثل هذه الروابط على حساباك و استغلالك وتجاوز خصوصيتك.
هنالك طريقة اخرى تقوم بنشر الروابط الخبيثة و هي تطبيقات الفيسبوك, حيث يمكن لأي مطور ان يقوم بتطوير تطبيقات توفر خدمات لمستخدمي موقع التواصل الإجتماعي فيسبوك. كأن تقوم بنشر حكم و احاديث و آيات قرآنية على حسابات المشتركين بها, او ان تكون التطبيقات على شكل العاب او غيرها.
عند اشتراكك بأي تطبيق من تطبيقات الفيسبوك, يتم تحويلك لصفحة تطلب منك التأكيد على الامور والصلاحيات التي سيقوم هذا التطبيق بالتعامل معها في حسابك الشخصي.
بعد ان تقوم بإختيار هذه الصلاحيات و الموافقة عليها, يتم انشاء رمز وصول (access token) خاص بك لهذا التطبيق, بحيث يصبح هذا التطبيق قادرا على تنفيذ واستخدام الصلاحيات التي قمت بإعطائها اياه من خلال هذا الرمز.
هذه الرموز و لجميع المستخدمين المشتركين بهذا التطبيق يتم تخزينها في العادة في قاعدة بيانات خاصة بالتطبيق لكي يتم استخدامها في كل مرة يرغب التطبيق في التعامل مع حسابك.
لذا فإنه لو فرضنا بأن هذا التطبيق هو تطبيق موثوق ومن موقع و جهة موثوقة لن تقوم بنشر منشورات على حسابك او مراقبتك بدون علمك, فإن اي عملية اختراق للخادم المستضيف لهذا التطبيق من قبل اي مخترق, يصبح المخترق قادرا على التعامل مع حسابك دون علمك.
بغض النظر سواء اكان من ينشر هذه الروابط هي الجهة المطورة للتطبيق او شخص قام بإختراق الخادم الذي يستضيف التطبيق, فإن هذا يعتبر تهديدا لخصوصيتك و انت من قمت بالسماح لهذا الأمر ان يتم بإشتراكك بمثل هذه التطبيقات.
هذه التطبيقات في العادة يكون لها صلاحيات مختلفة كما ذكرنا على حسب الأمور التي تم طلبها منك عند الإشتراك بها, لذا اذا مكنت التطبيق من ان يقوم بالنشر على حسابك او يقوم بالوصول الى قائمة الاصدقاء, يصبح التطبيق حينها قادرا على نشر اي روابط او منشورات بإسمك بالإضافة الى امكانية الإشارة لأصدقائك على هذه المنشورات مما يهدد عدد اكبر من الأشخاص و الاصدقاء و من يشاهدون هذه المنشورات من الوقوع ضحية لمثل هذا النوع من انواع الهجمات.
هذا الامر تابعناه في التطبيقات الخبيثة مثل تطبيق “اعرف من زار حسابك” او “حول صورتك لرسم كرتوني” او غيرها و لاحظنا بأن انتشارها كان سريعا للغاية.
لذا يرجى منكم مراجعة التطبيقات التي قمتم بالإشتراك بها بواسطة الذهاب الى اعدادات الحساب (settings) وبعدها الى التطبيقات (apps) وذلك لمعرفة ماهي التطبيقات التي تم الإشتراك بها وما هي الصلاحيات لكل تطبيق.
كنت أيضا في مقال سابق قد ذكرت المخاطر الامنية من الإشتراك بالتطبيقات على الفيسبوك, ويمكنكم قراءته من الرابط التالي : مقال المخاطر الأمنية من تطبيقات الفيسبوك .
Anonymouxminou
أيمن خلفاتني : من الجزائر, عمري 17سنة دخلت عالم الهككر سنة 2013 وحاليا ملك الساحة الالجزائرية ختراق الشاتات الفلاشيه ، ! ، ,لدي إهتمامات اخرى منها الرياضة ، ألعاب الفيديو ، والتصميم بحد ذاته .