מתקפות לגניבת לייקים ועוקבים ב-Facebook

בהמשך לפוסט הקודם, אני רוצה לדבר על תופעה רחבת היקף נוספת שמתרחשת בישראל בחודשים האחרונים והיא גניבת לייקים (Facebook Likes) באמצעות מתקפות "גניבת קליקים" ClickJacking.

הרבה מאיתנו לא שמים לב לכך, אבל Facebook לא רק שינה את הדרך שבה בני נוער מתקשרים אלא גם שינה את הדרך בה הם מודדים זה את זה. אם בתקופה שבה אני הייתי בחטיבת הביניים או התיכון הילדים "המקובלים" היו אלו שיצאו עם הבחורה היפה בשכבה, ארגנו את המסיבות שאליהם כולם הלכו או עשו הכי הרבה בלאגן למורים, היום התמונה שונה. הרבה מבני הנוער היום מודדים אחד את השני לפי מספר העוקבים (Followers) אחרי הפרופיל שלהם, או על פי מספר הלייקים בעמוד ה-Facebook אותו הם מנהלים. למעשה, ראיתי מספר עדויות לכך שבני נוער שלהם יש עשרות אלפי עוקבים בפייסבוק מוכרים מאוד על ידי ילדים בגילאים האלו בכל הארץ, כלומר, הם הפכו את עצמם לסוג של Celebrities צעירים.

גנב לייקים

ובמקום שבו אנשים מודדים עצמם על פי קריטריונים "ריקים" שכאלו, יהיו כאלה שינסו לזייף אותם.

לפני שנמשיך, כדאי להגיד כמה מילים על מתקפות ClickJacking. מתקפות אלו הן למעשה טכניקה של Phishing שמאפשרת לתוקף לגרום לנתקף לבצע פעולות שונות. לדוגמה, תוקף עשוי לטעון מערכת להזמנת מוצרים מאחורי משחק פשוט, כלומר לבנות העמוד שכבה על גבי שכבה, כשהשכבה העליונה משמת להטעיית המשתמש. כאשר המשתמש ישחק במשחק וילחץ על אזורים שונים במסך, הוא למעשה יאשר את הזמנת המוצר בלי ידיעתו.

מסתבר שאותם "גנבי לייקים", אשר לפי המחקר שלי הם לרוב ילדים צעירים (בגילאי 12-15) הצליחו להבין כיצד לבצע מתקפות ClickJacking בקלות.  לרוב הם מייצרים עמוד הדומה לדף הפרסומת של Nana10 או של Mako, המוכר לרוב הגולשים הישראלים. כפתור ה"דלג" המופיע בעמוד הוא למעשה כפתור לייק לאחד מעמודי התוקפים, או כפתור Follow לפרופיל האישי שלהם. אותם תוקפים מפיצים הודעות פייסבוק המכילות מסר הגורם לרבים ללחוץ על הלינק המצורף. לדוגמה, בתקופה האחרונה מופצת ההודעה "אני בשוק חח למה עשו עלייך כתבה?" או הודעה אחרת עם הטקסט "יוואו קשה להאמין שהיא התאבדה אנחנו הכרנו אותההה" עם הפניה "לכתבה". אותו הלינק המצורף מופנה לעמוד ה-Phishing.

phishing_page_like

1514003_10152468519542678_1332769311_o

posts

המתקפות האלו יעילות ביותר, ולהערכתי השפיעו על מעל למיליון משתמשים (!) בישראל בלבד, מספר זה כולל גם אנשי Security רבים, שגם הם כמו רבים אחרים נפלו בפח.

הנה כמה דוגמאות:

Gisenu IsraStatus LoveStatus

נשאלת השאלה, כיצד התוקפים מצליחים להפיץ את הלינקים הזדוניים ברחבי פייסבוק, הרי "לייק" לעמוד לא מעניק לבעל העמוד גישה לחשבונו של המשתמש. כאן נכנסת לפעולה שיטת תקיפה נוספת העושה שימוש במנגנון App Access Token (חלק מ-OAuth) אשר נועד לשימוש בין השאר באפליקציות חיצוניות או במכשירי סלולאר אשר אינם תומכים באפליקציות הסלולאר הרגילות של Facebook. בשלב מוקדם יותר של התקיפה, טרם הפצת ה-Phishing  לגניבת הלייקים, התוקפים מפיצים Phishing מסוג אחר הגורם לאנשים לאשר את המנגנון הנ"ל, וכך התוקפים יכולים להפיץ בקלות הודעות בשם המשתמשים בשלב מאחור יותר, לעיתים שבועות או חודשים לאחר השגת ההרשאה.

המתקפה המשולבת הזאת היא יחסית מתוחכמת ברעיון שלה, אך הפכה לפשוטה ונגישה לכל ילד היודע לחפש ב-Google הוראות לעריכתה. על אף פשוטה היחסית, Facebook לא מונעים אותה כבר זמן רב (לפחות כשנה), ומשתמשים רבים נפגעים.

בדומה לפוסט הקודם שפרסמתי, גם כאן כרגע מדובר בעיקר על הצקה, אך אם ילדים בגילאי העשרה מצליחים לבצע בקלות את המתקפה ולהגיע למיליון ישראלים, לא יעבור זמן רב עד שתוקפים זדוניים יותר, פליליים או אפילו ביטחוניים, יפעלו גם באותו הערוץ.

אפליקציות ספאם ישראליות ב-Facebook

עליית הרשתות החברתיות בראשן Facebook שינתה את הרגלי הגלישה שלנו. היום, אחוזים משמעותיים מהזמן אותו אנחנו מבלים באינטרנט הוא בגלישה ברשתות אלו, ופחות ופחות באתרים אחרים.
לא רק חבריכם שמשתפים תמונות של חיות המחמד שלהם והבישולים שלהם שמו לב לזה, אלא גם הספאמרים (Spammers). הספאמרים הם אותם אלו שמקימים תשתיות פרסום בצורה לא אתית, ואף פעמים רבות לא חוקית, ומציעים לעסקים להפיץ את פרסומותיהם בזול לקהל רחב ביותר. מנועי ה-Anti-Spam שמיושמים כמעט בכל שירות דוא"ל מודרני הפחיתו את הבעיה זאת באופן משמעותי, אך דווקא הרשתות החברתיות הפכו לפלטפורמה מתאימה להקמת תשתיות ספאם שכאלו.

אם אתם מבלים ברשתות חברתיות זמן רב, בוודאי שמתם לב לא פעם להודעות מוזרות המשותפות על ידי חבריכם המזמינות אתכם להשתתף באודישנים לסדרות טלוויזיה או לקנות בהנחה שירותים או מוצרים חדשים. לפעמים אלו באמת הודעות חבריכם אך פעמים רבות מדובר בהודעות אשר נשלחו בצורה אוטומטית מחשבונם ללא אישורם וללא מודעותם. מהמשתמשים אשר דרכם נשלחה הודעת הספאם מוסתרת ההודעה עצמה באמצעות אותה האפליקציה, וכך לרוב הם אינם יכולים לשים לב לתופעה. בנוסף, רוב המשתמשים אינם יודעים כיצד להסיר אפליקציות מחשבון ה-Facebook שלהם, ולכן באופן מעשי, הן ימשכו להיות פעילות עד ש-Facebook בעצם יחליטו לחסום את האפליקציה.

 

נשאלת כמובן השאלה, כיצד האפליקציות מותקנות מראש בחשבונות המשתמשים, וכיצד הן משיגות את ההרשאות לפרסום ההודעות. התשובה לכך היא, כמו בפעמים רבות, חוסר מודעות ופזיזות של המשתמשים. בישראל כנראה שדרך ההפצה העיקרית היא באמצעות אתרי הורדות או צפייה ישירה בסרטים המאפשרים לצרוך את התוכן רק לאחר התקנת האפליקציה. מכיוון ויכול לעבור זמן מרגע ההתקנה למועד תחילת הפצת ההודעות מחשבונו של המשתמש, רוב המשתמשים שכן מזהים את ההתנהגות הזדונית בחשבנם אינם מקשרים בינה לבין הפעולה שהובילה להתקנה.
בין אפליקציות הספאם הפופולאריות בארץ כעת ניתן למצוא לדוגמה את Imbvod, MyvodOnline, File4save, VODBest, FastPlay, SD Player, LV Video.

מפיצי האפליקציה טוענים כי היא חוקית, הרי הסכמתם התקנתה כי היא תוכל לשלוח הודעות מחשבונכם. גם אם הדבר חוקי, ואני בכלל לא בטוח שזה כך, הוא אינו אתי הרי האנשים העומדים מאחורי התופעה יודעים כי אין שום ערך מוסף בהתקנתה וכי הסיבה היחידה שהמשתמשים מאשרים את התנאים הללו כי הם לא שמים לב להרשאות שהם נותנים לפעול בחשבונם.

אז מה אפשר לעשות?
הדרך להתמודד עם האפליקציות האלו צריכה להיות בכמה מישורים:

  1. לעיתים אפליקציות אלו מכילות קישורים לעמודים שמסבירי כיצד להסיר את האפליקציה במידה והמשתמש איזה מעוניין בה. ההמלצה שלי היא להסיר אותה בעצמכם ולא להיעזר בהוראות או בכפתורים שיבצעו זאת אוטומטית. אם כבר אנחנו יודעים שאי אפשר לסמוך על אותו גורם שמפיץ את האפליקציה, אין סיבה שנסמוך עליו שיעזור לנו להסיר אותה.
  2. אם גם אתם "נדבקתם" באפליקציות האלו, או שמישהו מחבריכם נדבק, היכנסו לדף ניהול האפליקציות של חשבון ה-Facebook שלכם והסירו את האפליקציה. באותה ההזדמנות, הסירו אפליקציות נוספות שלא בשימושכם.
  3. רצוי גם להיכנס לעמוד האפליקציה (בלחיצה על הלינק המופיע בהודעה) ודווחו עליה כאפליקציה המפיצה ספאם.
  4. חפשו חברים נוספים אשר גם אצלם מותקנת האפליקציה באמצעות ה-"Graph Search". ניתן לעשות זאת באמצעות חיפוש המחרוזת "People who use X" (החליפו את X בשם האפליקציה). ספרו להם על הבעיה ואיך מסירים את האפליקציה. כך גם תחסכו מעצמכם ספאם ב-NewsFeed.
  5. ניתן גם להתקין את התוסף MyPermissions, תוסף של חברה ישראלית העוקב אחר האפליקציות המותקנות בחשבונכם ואחר ההרשאות שלהן. מניסיוני היא עושה את העבודה וידידותית למשתמש.

כרגע התופעה מסתכמת בספאם והצקות בלבד. היא מהווה פגיעה בתדמית של Facebook ובאופן פוטנציאלי גם פוגעת ברווחיות שלה כיוון שמפרסמים פועלים בה ללא אישור וללא תמורה. עם זאת, בקלות רבה התופעה יכולה להפוך לחמורה בהרבה. לדוגמה, אם באופן אוטומטי ישלחו הודעות ממשתמש הזועקות לעזרה דחופה, ומתחננות שליחת כספים, רבים עשויים ליפול בפח ולשלוח כסף "לחבריהם" שנמצאים במצוקה.

כנראה שהבעיה לא תיפתר לחלוטין עד ש-Facebook בעצמם ימצאו פתרון לבעיה. כצעד ראשון Facebook יכולים לבטל את אפשרות האפליקציות להסתיר ממשתמשים הודעות אשר פורסמו בחשבונם על גבי ה-Wall. האופציה הזאת לא תפתור לגמרי את התופעה, אז היא תגביר את מודעות המשתמשים לכך שהם נמצאים בבעיה ותעודד אותם להסיר את האפליקציות הזדוניות.
שינוי נוסף שאני מאמין כי חייב להתבצע הוא הוספת אפשרות מהירה וקלה להסיר אפליקציות, ולא דרך עמוד אשר נסתר מעיניי רוב המשתמשים.