熱血時報 | Facebook嚴重保安漏洞 黑客任意假扮正規網站釣魚

Facebook嚴重保安漏洞 黑客任意假扮正規網站釣魚

Facebook嚴重保安漏洞 黑客任意假扮正規網站釣魚

今日(4月9日)晚上,Facebook群組「搵工,請人,求職,招聘站(任何全職或兼職)」,出現一條貌似本報 2015 年一則專欄文章《防警衰十一 設立「誘警罪」》的連結。


(圖1)

按下該連結後,則會出現一個偽冒的 Facebook 登入頁面,在瀏覽器顯示的網址,亦並非本報或 Facebook 所屬。


(圖2)

經過本報技術人員初步追查,發現此問題該屬於 Facebook 對外部連結檢測的保安漏洞。經黑客程式所產生的外部連結網址,向「Facebook Crawler」偽裝成「重新導向本報網頁」,故「Facebook Crawler」使用本報網頁的內文和標題圖,向用戶顯示如上述「圖1」的預覽資訊。


(圖3)

上圖清楚顯示,有關連結被 Facebook 視作「302 HTTP Redirect」至本報的網頁。不過,當用戶實際使用瀏覽器按下該連結,即會連接到與本報完全無關的釣魚網頁(偽冒 Facebook 登入頁)。


(圖4)

本報技術人員根據該黑客程式的痕跡,找到相信是相關黑客程式發佈人、在 2016 年 7 月在網上宣稱可以跳過(bypass facebook bot) ,並「歡迎聯絡查詢」的貼文。同時發現近日亦有《HK01》及《東方日報》的網頁,以同一個黑客程式的製作的偽冒連結。



(圖5及6)

報道此消息前,本報技術人員已將相關保安漏洞的技術資料交付 Facebook,至今未有回應。在 Facebook 解決此保安漏洞前,請留意所瀏覽的網站連結,是否包括「redirectme.net」或其他不正常的網域。如有疑問,則不要輸入任何敏感個人資料(如 Facebook 登入密碼等),或尋求專業人員的確認。

有關事態發展,我們會密切作跟進報導。

作者
讀者回應