觀賞影片時,莫名其妙的對粉絲社群按了一個讚? 這叫做「Clickjacking」!

近日,AegisLab在粉絲團上收到了一個用戶的詢問,該用戶指出其Facebook上莫名其妙多了一個按讚的粉絲專頁,但他指出對此專頁的貼文皆沒有印象,絕對不可能按讚,而且其身邊的很多朋友也都有對該專頁按讚,請我們幫他分析此現象!

該用戶指出AK Zone為造成此現象的可疑網站,經過追蹤,我們在AK Zone的「爆影片」裡發現了此行為!

 

在你欲觀賞「爆影片」專區裡的某部影片,很自然的會去按「►」這個按鈕,如上圖所示,當我們滑鼠移至「►」時,可以看到「讚好」2字,其代表了這不是普通的播放鍵,而當你按下去之後,會跳出一個Facebook的登入視窗,這是怎麼回事呢?

原來,在「►」這個按鈕上,被嵌了一個iframe,而這iframe即是對「全民爆笑特區」這個粉絲社群按讚

 

這個iframe的「讚好」button,用的是Facebook like API

 

所以,如果你當時Facebook是在登入的狀態時,你並不會知道你對此粉絲社群按了讚

你只能從個人的「活動記錄」上看到此行為↓

 

其實相同行為的網站還有不少,根據我們AegisLab的追蹤,「新奇好笑影片」網站也是在播放鍵上嵌了一個按讚的iframe!

 

原本只是想觀賞這部影片,但卻對粉絲專頁按了讚…

點擊動作產生非使用者所預想的結果時,此行為稱之為Clickjacking

 

增加粉絲團的人數,有很多種方式

ex.

1.提供實用或吸引人的內容,自然增加

2.委託專業行銷公司

3.遊走於灰色地帶的「Clickjacking」(本文的例子)

4.惡意的病毒式散播

 

不管是以哪種方式來增加粉絲團的人數,這些背後都是有商業利益的。

當你有一個50萬個粉絲的粉絲社群,在上面的資訊或廣告,如果10%的粉絲會看到,那就有5萬人會接受到粉絲團push的資訊,這就是現在社群媒體恐怖的力量,而這也是粉絲團急於透過各種方式想增加粉絲人數的原因!

 

上面的「Clickjacking」例子只是對粉絲團按讚,尚不會對使用者有立即的危害,但如果是個惡意的連結那使用者即會因此受害

老話一句,「不要點選不明的連結、不要開啟未知的檔案」要有基本的警覺心和資安意識

 

This entry was posted in 一般.

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

*