طعمه گذاشتن و سوییچ کردن: نارسایی تبلیغات فیسبوک – یک پژوهش از OSINT
نمونه پژوهشی از اوسینت من باب نارسایی تبلیغات فیس بوک !
این داستان با سیدنی کراسبی آغاز میشود. یک بازیکن حرفهای هاکی و شمایلی کانادایی. نه میتوانم تأیید کنم و نه انکار که مثل بچهها شیفتهی سالن هاکی نمایشگاه مشاهیر «گل طلایی» شده بودم (هرگز آن لحظه را فراموش نخواهم کرد). پس شگفتی مرا تصور کنید وقتی که مشغول انجام یک تحقیق بودم و ناگهان با این تبلیغ، حواسم پرت شد:
میتوانم تصور کنم که نگاهتان را با غیظ برمیگردانید. به نظر کمی جعلی میرسد، اینطور نیست؟ مشکل این است که به آدرس/دامینِ این تبلیغ نگاه کردم و ctvnews.ca را دیدم که سازمان خبری مشهوری در کاناداست. البته که این مسئله باعث شد فکر کنم حتماً اتفاقی برای سید افتاده است. پس کلیک کردم. بله. قطعاً این کار را کردم.
میبینید که این تیتر بیشتر بهطرز وحشتناکی شبیه ESPN است، و اصلاً مثل CTV News نیست. نه فقط این، بلکه دامین espn.l1dh.com دقیقاً به من اطمینان داد که در سایت ESPN فرود آمدهام نه CTV News. با رفتن به پایین صفحه، تبلیغات مکملهای بدنسازی را به اجبار میبینیم.
پس واضح است که این ESPN است و سیدِ طفلکی، این مکملها را تأیید نمیکند. در پایین صفحه «تأیید اجتماعی» افرادی را میبینید که این محصول را پیشنهاد دادهاند. بیایید بهسرعت یک جستجوی تصویر معکوس انجام دهیم. در این مورد چارلز بارُت (Charles Barrott) هدف جستجوی ماست:
این کار جستجوی گوگل برای تصویر دقیق را معکوس خواهد کرد. آهان، ببینید، معلوم شد که این فرد، فیلمسازی به نام سم موییرهد (Sam Muirhead) است.
بسیارخوب. پس میتوانیم همینجا توقف کنیم. واضح است کسی فهمیده که چگونه سیستم فیسبوک را برای راهاندازی تبلیغات بازی دهد که به نظر میرسد به جایی (ctvnews.ca) ختم میشوند ولی درنهایت به جایی کاملاً متفاوت برسند. نه تنها آنها این کار را انجام میدهند، بلکه به دفعات از نامهای علائم تجاری و اطلاعات غلط، برای فروش محصولات استفاده میکنند. این نقض تعدادی از سیاستهای تبلیغاتی فیسبوک است. حدس میزنم اگر برای یک امتحان مجانی/ free trial ثبت نام کنید، ماهی یک بار برای یک عمر، هشدار خواهید گرفت. یا حتی از این هم بدتر.
اینجا دارند چه غلطی میکنند؟
در اینجا از خودم میپرسم این حقهبازها چقدر از این طعمه استفاده میکنند و این تکنیک را اجرا میکنند. ممکن است فقط همین یک حقهباز موفق شده باشد فیسبوک را فریب دهد و من آنقدر خوششانس بودهام که او را بگیرم؟ به سراغ اندیس Hunchly خودم رفتم. Hunchly به شما اجازه میدهد یک جستجوی متن کامل (fulltext search) در همهی صفحات گرفتهشدهای راه بیاندازید که در زمان روشن بودن آن، این صفحات را دیدهاید. در تمام تبلیغات فیسبوک، همیشه در کدهای HTML واژهی کلیدی “Sponsored” به چشم میخورد، درنتیجه جستجویی مثل این:
url:facebook.com* sponsored
برای تمام URLهای facebook.com که شامل واژهی کلیدی “Sponsored” میشوند، جستجوی متن کاملی را انجام خواهد داد. همانطور که انتظار دارید، این کار انبوهی از بازدیدها را فرامیخواند (من صفحاتی حدود 5k در اندیس خودم دارم)، چراکه صفحات فیسبوک تبلیغات اسپانسری را در خود دارند. سعی کردم شکارم را در صفحات آرشیوی شروع کنم و صفحهای پیدا کردم که طی پژوهشی در 11 سپتامبر 2015 دیده بودم، تقریباً 6 ماه قبل.
صفحه را در Hunchly دیدم و تبلیغی را که فقط براساس کپی تبلیغ، مشکوک بود. دامین نمایش داده شده برای btmontreal.ca یعنی یک سایت قانونی خبری است. داشت بوهایی به مشامم میرسید.
از آنجا که Hunchly یک کپی زنده از کلّ صفحه دارد، تمامی لینکها در آن حفظ میشوند. ماوس را روی تبلیغ بردم تا ببینم کلیک کردنم مرا واقعاً به کجا خواهد برد و دیدم که URL نمایش داده شده در پایین صفحهی کروم، با btmontreal.ca مطابقت ندارد. ما به موفقیت دیگری رسیدیم. حالا آتش را میبینم(یعنی حالا میفهمم منبع بویی که حس میکردم کجاست). به جای کلیک روی این لینک، راست کلیک کرده و آن را در یک ویرایشگر متن کپی میکنم.
این یک لکه ننگ بزرگ است و اگر به همهی آن %’s های کوچک نگاه کنید، خواهید دید که URL کدگذاری شده است. میتوانید به سادگی یک کدشکن URL آنلاین پیدا کنید که URL خود را در آن بچسبانید. اولین بیتی که در آن میبینید، این است:
https://www.facebook.com/a.php?u=http://goo.gl/UssPDm&
اولین بیت، هندلر/ دستگذارِ تبلیغ فیسبوک است، و قسمتی که پررنگ نوشته شده URL مقصد است که پس از کلیک کردن وارد آن میشوید. من از اولین “&” آن را بریدم تا فقط URL کوتاه شدهی گوگل را داشته باشیم. این ما را به بخش بعدی پژوهشمان میبرد.
تحلیل URLهای کوتاهشدهی گوگل
کوتاهساز URL گوگل مثل هر سرویس کوتاکنندهای نظیر bit.ly کار میکند. شما URL بزرگی را در آن وارد میکنید و او URL کوچکی را تحویل میدهد. بخش باحالِ کوتاهساز URL گوگل این است که آنها، برای شما تجزیه و تحلیلی فراهم میکنند تا بتوانید ببینید که یک URL کوتاهشده، چگونه و چندبار مورد دسترسی قرار گرفته است.[توجه کنید این سرویس دیگر فعال نیست. اما امکان مشاهدهی اطلاعات لینکها تا چندماه دیگر فراهم است.]
چگونه این تجزیه و تحلیلهای شگفتانگیز را پیدا میکنید؟
بهسادگی .info را به انتهای URL کوتاهشدهی گوگل اضافه میکنید و به صفحهای برده خواهید شد که دادهی موردنظر را داراست:
پس میتوانیم ببینیم که 26812 کلیک ازطریق این URL انجام شده و اگر در نمودار دایرهای دقیقتر شوید، خواهید دید که تعلق داشتن 11246 مورد از آنها به فیسبوک تأیید شده است. این تعداد کلیک بسیار زیاد است. کلیکهای ناشناس میتوانند ناشی از استفاده از مرورگرهایی باشند که از سربرگ Referer HTTP عبور نمیکنند، اما نمیتوانم این را قطعی بگویم. آنچه میتوانیم از نمودار فعالیت بفهمیم این است که کمپین فقط برای دورهی زمانی نسبتاً کوتاهی پیش از توقف، فعال بوده است. از نظر امنیت فیسبوک، احتمالاً به این معناست که آنها این جعلی بودن را شناسایی کرده اند یا اینکه کسی دربارهی این تبلیغات گزارش داده است. میتواند به این معنا هم باشد که جاعل پول کافی را به جیب زده و تصمیم گرفته از خیر کمپین بگذرد و تمام زیرساختهایش را نابود کند. تأیید یکی از این احتمالات، دشوار است.
به علاوه مشاهده میکنیم که URL مقصد (که حالا مرده) این است:
http://dftrack6.com/?i0g51dkl&s1=sc_hgould_ca_ll
هیچ نسخهی پنهانی از سایت وجود نداشت، و از آنجا که وقتی من برای اولین بار در ماه دسامبر آن را دیده بودم، روی لینکها کلیک نکرده بودم، از صفحهی مقصد هیچ نسخهی کپی در اندیس Hunchly خودم نداشتم. از اینرو هیچ مدرکی در اختیار نداریم که ثابت کند با یک صفحهی فرود جعلی طرفیم، اما اگر دامین dftrack6.com را دقیقتر بررسی کنید، خواهید دید که بهنظر مشکوک میرسد.
با این وجود نکتهی اصلی در اینجا ثابت شد: جاعلین میتوانند تبلیغاتی بسازند که به نظر برسد به سایتهای قانونی ارجاع میدهند، و سپس دهها هزار کلیک به صفحات خود را موجب شوند. در این مورد ظاهراً فیسبوک در خواب غفلت است، و متأسفانه حس میکنم به همین خاطر به طور کلی کاربران و مصرف کنندگان فیسبوک قربانی میشوند.
این کار چقدر میتواند دشوار باشد؟
حالا وقتش بود که همهی اینها را امتحان کنم. خب، از تبلیغات و هدف محلی استفاده خواهم کرد. از کد پستی و سن خودم استفاده کرده و آن را طوری تنظیم کردم که تبلیغات فقط برای افرادی اجرا شوند که هم به صفحهی AutomatingOSINT.com من و هم به صفحهی فیسبوک Hunchly متصل میشوند.
میخواهم یک لحظه از زاویه دید یک جاعل به این هدفگذاری فکر کنید. ترسناک نیست؟
تبلیغ خودم برای صفحهی Hunchly را تنظیم و راهاندازی کردم، و URL مقصد را https://www.hunch.ly گذاشتم اما کاری کردم که www.cnn.com نمایش داده شود. مثل این:
البته که این کار از زاویه دید تبلیغات شبکهای، عملی دیوانهوار است. اگر در Google AdWords آن را امتحان کنید، درجا از حساب کاربری خود بیرون انداخته میشوید. هیچ نشانهای در تبلیغ من نبود که به کاربر بگوید به www.hunch.ly فرستاده خواهد شد. هر کاربر عادی بهسادگی www.cnn.com را خواهد دید و تصور خواهد کرد که به آدرسی مورد اعتماد میرود. واقعاً چند کاربر فیسبوک، هربار که به سمت یک لینک میروند، پایین پنجرهی مرورگر خود را چک میکنند؟ خیلی زیاد نیستند.
از موضوع دور شدم.
همه چیزش شیک و تروتمیز است، اما البته که باید من این تبلیغ را از فرآیند تأیید فیسبوک عبور دهم. مطمئناً آنها باید این واقعیت را بفهمند که URL هدف حتی نزدیک به آنچه نمایش داده شده نیست. مطمئناً باید بدانند که این، چقدر برای مصرفکننده یا کاربر متوسط فیسبوک، بد خواهد بود.
با یک صدای هشدار قوی، تبلیغ ما تأیید میشود و میتوانیم پیشنمایش شگفتانگیزی را ببینیم، که با نمایش URL متعلق به cnn.com تکمیل میشود.
به محض اینکه تبلیغ شروع به کار کرد، درجا حذفش کردم. مطمئنم که اگر کسی از فیسبوک این مقاله را بخواند، و تا اینجا دوام آورده باشد، حساب کاربری تبلیغاتی من فوراً تعلیق خواهد شد.
نتیجهگیری
مدتهاست در جهان امنیت، به این سمت سوق داده شدهایم که اطمینان یابیم محصولات «بهطور پیشفرض ایمنتر» شدهاند. این یعنی مهم نیست که دانش کاربران چقدر اندک باشد، آنها از همان روز اول به بهترین شکل ممکن، محافظت میشوند. آنها آگاهند که راههایی برای جعل در شبکههای تبلیغاتی وجود دارد، در بسیاری از موارد این کار نیاز به ترفندهای متعدد یا سطح نسبتاً بالایی از مهارت دارد. Google AdWords، هنگامی که پایِ گذاشتن یک تبلیغ جدید در میان باشد بسیار مراقب و هوشیار است (بروید امتحان کنید) تا مطمئن شود شما هیچ کار مشکوکی انجام نمیدهید. با این وجود AdWords نیز یک سیستم بینقص نیست، مثل هر مسئلهی امنیتی، هدف اصلی این است که موانع امنیتی آنقدر بالا رود که تنها ماهرترین جاعلین بتوانند سیستم را بازی دهند.
فیسبوک یک چک کردن ساده کم دارد که باعث بهخطر افتادن کاربران میشود. بحث ما دربارهی افزایش یا تنظیم یک الگوریتم ضدّ جعلِ مشکل و پیچیده نیست. درواقع کد موردنظر ما چیزی شبیه این است:
if (display_domain == landing_page_domain)
{
approve_ad = true;
}else{
approve_ad = false;
}
حالا کاری که مایلم انجام دهید این است که حساب کاربری فیسبوک خودتان را ازنظر وجود تبلیغات اسپانسری چک کنید. آیا آنها به همان دامینی اشاره میکنند که ادعا میکنند؟
اگر نه، یافتههایتان را برای من ازطریق ایمیل ارسال کنید، خوشحال میشوم که شروع به جمعآوری برخی آمار یا پژوهشهای جانبی کنم تا ببینم این مشکل واقعاً چقدر شایع است.
یک نظر