和 Digg相似的共享书签网站 Reddit,用户可对所刊登内容以“支持(up,上)”或“否决(down,下)”的投票方式,让最热门的连结会出现在首页面的前端或是其他显著的位置。
在伦敦,一位Black_Hat SEO(黑帽搜索引擎优化攻击)黑客,展现了玩弄热门链接交换网站 Reddit的方法,利用假账户对特定内容以人工方式提升投票支持率。
宣称自己是为一家位在伦敦的搜寻营销经纪公司服务,仅以Esrun为名的该名黑客,在部落格贴文中提供了影片显示他如何以半自动方式制作假账户,并利用程序代码来执行投票。他自称这个动作在8小时内就吸引了4万人浏览他设定的页面。
以下是趋势科技信息安全分析师所写的相关报导。
--------------------------------------------------------------------------------
作者:趋势科技信息安全分析师Jonathan Leopando
被毒化的链接通常多是在搜索引擎中出现,不过社交共享书签网站如Digg和Reddit也成了网络犯罪目标。本周稍早之际,一名Black_Hat SEO黑帽搜索引擎优化(Search Engine Optimization,简称SEO)专家在博客披露,他是如何将Reddit的流量导向他的博客。该篇文章已被如The Register等媒体报导。
针对Reddit所发出的攻击相当的简单。精简而言,就是在该网站上设立几个新帐户,投票支持垃圾讯息散发者的贴文。散发者可将此程序自动化。唯一需要人力输入的则是解读为设立账户时需输入的CAPTCHA图形验证码(Completely Automated Public Turing Test To Tell Computers And Humans Apart,简称CAPTCHA)。
而很清楚的是,单一个人是无法就任何的内容进行此类攻击。内容必须要对 Reddit 的使用者来说是够有趣够好,以促使他们自然地投票支持。否则发动攻击者的链接很快就会被发现,被投票否定,甚至被移除。如此类的优化手法对文章有「好的开始」很有帮助,但对续后的帮助有限。更精密的攻击牵涉到利用此网站中评价极高的使用者,这些使用者的支持有较高的影响力。
此类攻击也可搭配传统Black_Hat SEO黑帽搜索引擎优化手法。单靠本身,从Digg和Reddit链接过去的网站或提升在Google的排名,但其它SEO搜索引擎优化手法也可提升第三者网页的排名。这可被用来做为不择手段的营销手法。
手法本身不会对使用者造成直接伤害。Digg或Reddit网站拥有者才会是受伤害者,因为他们的声誉会因为此类的攻击而受毁损。
不过这些手法也极有可能受网络犯罪份子的使用。例如KOOBFACE 最为人熟知的就是以使用社交工程 ( Social Engineering ) 手法诱导使用者点击链接,正如许多以意见调查为手法的攻击一般。
根本而言,使用者可分享内容的任何网站,如Digg和Reddit;或任何其它社交网络网站,皆会被滥用。到目前为止,滥用的程度尚未到用以散布恶意软件的程度。不过既然工具和方法皆已被发展出来,未来当看到网络犯罪份子使用时也就不会是感到意外了。
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势--免费下载趋势科技杀毒软件
微博--关注趋势科技期期有奖
http://t.sina.com.cn/trendcloud
开心网--加入趋势科技粉丝群拿礼品
http://www.kaixin001.com/trendmicro
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
