Điều gì khiến bạn quyết định nhấp vào một liên kết bất kỳ trên Facebook? Nội dung, thanh tiêu đề liên kết, hình ảnh, URL hay người chia sẻ? Hãy nhìn hình ảnh dưới đây và tìm xem liên kết được chia sẻ trên Facebook này có gì khác biệt so với các liên kết mà bạn nhấp vào hàng ngày trên Facebook.
.jpg "Cảnh báo liên kết giả mạo Youtube trên Facebook")
Ngày nay trên dòng tin tức Facebook đang tràn ngập quảng cáo, tin tức giả mạo, câu like, do đó đa số người dùng thông minh đều lựa chọn là xem xét kỹ lưỡng mỗi đường link chia sẻ trước khi nhấp vào. Và nếu đường link được chia sẻ từ các trang dịch vụ hợp pháp như Youtube hoặc Instagram, tỷ lệ nhấp vào sẽ cao hơn bình thường rất nhiều.
Thế nhưng, điều gì sẽ xảy ra nếu đường link được chia sẻ từ dịch vụ hợp pháp có thể dẫn người dùng đến những trang web độc hại?
Mặc dù Facebook đã loại bỏ khả năng page chỉnh sửa tiêu đề, mô tả, hình thu nhỏ của liên kết vào tháng 7 năm 2017. Tuy nhiên, người phát tán thư rác có thể giả mạo URL của các liên kết được chia sẻ để lừa người dùng truy cập vào các trang web mà họ không ngờ đến, chuyển hướng người dùng đến các trang web lừa đảo hoặc giả mạo, hoặc các trang web độc hại có chứa mã độc hay các nội dung độc hại.
Một nhà nghiên cứu bảo mật trẻ tuổi Barak Tawily 24 tuổi đã phát hiện thủ thuật đơn giản có thể cho phép bất cứ ai giả mạo liên kết URL bằng cách khai thác cách mà Facebook lấy thông tin xem trước của đường link liên kết.
Nói một cách ngắn gọn, Facebook sẽ quét liên kết chia sẻ để lấy thông tin thẻ meta của Open Graph để xác định các thuộc tính của trang web như ‘og:url’, ‘og:image’, và ‘og:title’ để lấy URL, hình minh họa thu nhỏ và tiêu đề tương ứng.
Tawily đã phát hiện một điều thú vị rằng Facebook sẽ không xác nhận liên kết được đề cập trong thẻ meta ‘og:url’ có giống với URL của trang hay không, cho phép kẻ tấn công phát tán các trang web độc hại trên Facebook bằng các URL giả mạo chỉ bằng cách thêm các URL của dịch vụ hợp pháp vào thẻ ‘og:url’ trong Open Graph của website của họ.
Nhà bảo mật trẻ tuổi đã nhanh chóng báo cáo vấn đề này với Facebook, nhưng mạng xã hội khổng lồ này từ chối cho rằng đây là một lỗ hổng bảo mật và cho biết Facebook đang sử dụng ‘Linkshim’ để bảo vệ người dùng khỏi các vụ tấn công.
Cơ chế Linkshim hoạt động như sau, mỗi khi một liên kết nào đó được nhấp vào trên Facebook, Linkshim sẽ nhanh chóng kiểm tra URL đó có nằm trong danh sách đen các trang web độc hại được công ty thu thập để tránh các trang web lừa đảo hay độc hại. Nhưng điều này dẫn đến 1 vấn đề, nếu kẻ tấn công đang sử dụng một miền mới để tạo các liên kết giả mạo, thì sẽ không dễ cho hệ thống Linkshim kịp thời phát hiện xem link này có độc hại hay không.
Mặc dù Linkshim cũng sử dụng trí thông minh nhân tạo có thể học được cách phát hiện các trang độc hại chưa tìm thấy trước đó thông qua quét nội dung trang, Tawily cũng tìm ra rằng cơ chế bảo vệ này có thể được bỏ qua bằng cách cung cấp nội dung không độc hại cho bot Facebook dựa trên User-Agent hoặc địa chỉ IP.
Tawily cũng cung cấp một video làm mẫu để cho người dùng cái nhìn trực quan nhất về thủ thuật tấn công này.