مقالات ترجمه شده

طعمه گذاشتن و سوییچ کردن: نارسایی تبلیغات فیس‌بوک – یک پژوهش از OSINT

نمونه پژوهشی از اوسینت من باب نارسایی تبلیغات فیس بوک !

این داستان با سیدنی کراسبی آغاز می‌­شود. یک بازیکن حرفه­‌ای هاکی و شمایلی کانادایی. نه می­‌توانم تأیید کنم و نه انکار که مثل بچه­‌ها شیفته­‌ی سالن هاکی نمایشگاه مشاهیر «گل طلایی» شده بودم (هرگز آن لحظه را فراموش نخواهم کرد). پس شگفتی مرا تصور کنید وقتی که مشغول انجام یک تحقیق بودم و ناگهان با این تبلیغ، حواسم پرت شد:

راز کثیف کراسبی! Ctvnews.ca سیدنی کراسبیِ سوپراستار رازی را افشا می‌کند که می‌تواند او را از حضور در لیگ بازدارد.

می‌­توانم تصور کنم که نگاهتان را با غیظ برمی‌گردانید. به نظر کمی جعلی می‌­رسد، این­طور نیست؟ مشکل این است که به آدرس/دامینِ این تبلیغ نگاه کردم و ctvnews.ca  را دیدم که سازمان خبری مشهوری در کاناداست. البته که این مسئله باعث شد فکر کنم حتماً اتفاقی برای سید افتاده است. پس کلیک کردم. بله. قطعاً این کار را کردم.

چیز عجیبی در مورد انکار غضب‌آلود سیدنی کراسبی درمورد HGH (هورمون رشد مردانه) وجود دارد

می­بینید که این تیتر بیشتر به­‌طرز وحشتناکی شبیه ESPN است، و اصلاً مثل CTV News نیست. نه فقط این، بلکه دامین espn.l1dh.com دقیقاً به من اطمینان داد که در سایت  ESPN فرود آمده‌­ام نه CTV News. با رفتن به پایین صفحه، تبلیغات مکمل‌­های بدن­سازی را به اجبار می­‌بینیم.

تبلیغ مکمل‌های بدنسازی

پس واضح است که این ESPN است و سیدِ طفلکی، این مکمل‌­ها را تأیید نمی‌­کند. در پایین صفحه «تأیید اجتماعی» افرادی را می‌­بینید که این محصول را پیشنهاد داده‌­اند. بیایید به‌‌­سرعت یک جستجوی تصویر معکوس انجام دهیم. در این مورد چارلز بارُت (Charles Barrott) هدف جستجوی ماست:

تصویر چارلز بارت که جستجو کردیم

این کار جستجوی گوگل برای تصویر دقیق را معکوس خواهد کرد. آهان، ببینید، معلوم شد که این فرد، فیلم‌سازی به نام سم موییرهد (Sam Muirhead) است.

جستجوی معکوس تصویر چالرز بارت

بسیارخوب. پس می‌­توانیم همین‌­جا توقف کنیم. واضح است کسی فهمیده که چگونه سیستم فیس­‌بوک را برای راه‌­اندازی تبلیغات بازی دهد که به نظر می­‌رسد به جایی (ctvnews.ca) ختم می‌­شوند ولی درنهایت به جایی کاملاً متفاوت برسند. نه ­تنها آن‌ها این کار را انجام می­‌دهند، بلکه به دفعات از نام­‌های علائم تجاری و اطلاعات غلط، برای فروش محصولات استفاده می­‌کنند. این نقض تعدادی از سیاست‌­های تبلیغاتی فیس­بوک است. حدس می­‌زنم اگر برای یک امتحان مجانی/ free trial ثبت نام کنید، ماهی یک بار برای یک عمر، هشدار خواهید گرفت. یا حتی از این هم بدتر.

اینجا دارند چه غلطی می­‌کنند؟

در اینجا از خودم می‌­پرسم این حقه­‌بازها چقدر از این طعمه استفاده می‌­کنند و این تکنیک را اجرا می‌­کنند. ممکن است فقط همین یک حقه­‌باز موفق شده باشد فیس­‌بوک را فریب دهد و من آنقدر خوش‌­شانس بوده­‌ام که او را بگیرم؟ به سراغ اندیس Hunchly خودم رفتم. Hunchly به شما اجازه می­‌دهد یک جستجوی متن کامل (fulltext search) در همه‌­ی صفحات گرفته‌­شده­‌ای راه بیاندازید که در زمان روشن بودن آن، این صفحات را دیده­‌اید. در تمام تبلیغات فیس­بوک، همیشه در کدهای HTML واژه­‌ی کلیدی “Sponsored” به چشم می‌­خورد، درنتیجه جستجویی مثل این:

 url:facebook.com* sponsored

برای تمام URLهای facebook.com که شامل واژه­‌ی کلیدی “Sponsored” می‌­شوند، جستجوی متن کاملی را انجام خواهد داد. همان­طور که انتظار دارید، این کار انبوهی از بازدیدها را فرامی‌­خواند (من صفحاتی حدود 5k در اندیس خودم دارم)، چراکه صفحات فیس­بوک تبلیغات اسپانسری را در خود دارند. سعی کردم شکارم را در صفحات آرشیوی شروع کنم و صفحه­‌ای پیدا کردم که طی پژوهشی در 11 سپتامبر 2015 دیده بودم، تقریباً 6 ماه قبل.

ویژگی یکی از صفحات فیس‌بوک
ویژگی یکی از صفحات فیس‌بوک

صفحه را در Hunchly دیدم و تبلیغی را که فقط براساس کپی تبلیغ، مشکوک بود. دامین نمایش داده شده برای btmontreal.ca یعنی یک سایت قانونی خبری است. داشت بوهایی به مشامم می­‌رسید.

یکی از لینک‌های مشکوک

از آن‌جا که Hunchly یک کپی زنده از کلّ صفحه دارد، تمامی لینک­‌ها در آن حفظ می‌­شوند. ماوس را روی تبلیغ بردم تا ببینم کلیک کردنم مرا واقعاً به کجا خواهد برد و دیدم که URL نمایش داده شده در پایین صفحه­‌ی کروم، با btmontreal.ca مطابقت ندارد. ما به موفقیت دیگری رسیدیم. حالا آتش را می­بینم(یعنی حالا می­فهمم منبع بویی که حس می­کردم کجاست). به­ جای کلیک روی این لینک، راست کلیک کرده و آن را در یک ویرایشگر متن کپی می‌­کنم.

لینک تبلیغ در فیس‌بوک

این یک لکه ننگ بزرگ است و اگر به همه­‌ی آن %’s های کوچک نگاه کنید، خواهید دید که URL کدگذاری شده است. می­‌توانید به سادگی یک کدشکن URL آن­لاین پیدا کنید که URL خود را در آن بچسبانید. اولین بیتی که در آن می‌­بینید، این است:

https://www.facebook.com/a.php?u=http://goo.gl/UssPDm&

اولین بیت، هندلر/ دستگذارِ تبلیغ فیس­بوک است، و قسمتی که پررنگ نوشته شده URL مقصد است که پس از کلیک کردن وارد آن می‌­شوید. من از اولین “&” آن را بریدم تا فقط URL کوتاه شده­‌ی گوگل را داشته باشیم. این ما را به بخش بعدی پژوهشمان می‌­برد.

تحلیل URLهای کوتاه‌شده‌ی گوگل

کوتاه‌­ساز URL گوگل مثل هر سرویس کوتا­کننده­‌ای نظیر bit.ly کار می‌­کند. شما URL بزرگی را در آن وارد می‌­کنید و او URL کوچکی را تحویل می­‌دهد. بخش باحالِ کوتاه­‌ساز URL گوگل این است که آن‌ها، برای شما تجزیه و تحلیلی فراهم می‌­کنند تا بتوانید ببینید که یک URL کوتاه‌­شده، چگونه و چندبار مورد دسترسی قرار گرفته است.[توجه کنید این سرویس دیگر فعال نیست. اما امکان مشاهده‌ی اطلاعات لینک‌ها تا چندماه دیگر فراهم است.]

چگونه این تجزیه­ و تحلیل‌­های شگفت­‌انگیز را پیدا می‌­کنید؟

به‌­سادگی .info  را به انتهای URL کوتاه­‌شده­ی گوگل اضافه می­‌کنید و به صفحه‌­ای برده خواهید شد که داده­‌ی موردنظر را داراست:

http://goo.gl/UssPDm.info

نمونه اطلاعات لینک کوتاه شده در گوگل

پس می­‌توانیم ببینیم که 26812 کلیک ازطریق این URL انجام شده و اگر در نمودار دایره‌­ای دقیق­‌تر شوید، خواهید دید که تعلق داشتن 11246 مورد از آنها به فیس‌­بوک تأیید شده است. این تعداد کلیک بسیار زیاد است.  کلیک­‌های ناشناس می­‌توانند ناشی از استفاده از مرورگرهایی باشند که از سربرگ Referer HTTP عبور نمی‌­کنند، اما نمی‌­توانم این را قطعی بگویم. آن‌چه می­‌توانیم از نمودار فعالیت بفهمیم این است که کمپین فقط برای دوره­‌ی زمانی نسبتاً کوتاهی پیش از توقف، فعال بوده است. از نظر امنیت فیس­‌بوک، احتمالاً به این معناست که آن‌ها این جعلی بودن را شناسایی کرده اند یا این‌که کسی درباره‌­ی این تبلیغات گزارش داده است. می‌تواند به این معنا هم باشد که جاعل پول کافی را به جیب زده و تصمیم گرفته از خیر کمپین بگذرد و تمام زیرساخت‌­هایش را نابود کند. تأیید یکی از این احتمالات، دشوار است.

به ­علاوه مشاهده می­‌کنیم که URL مقصد (که حالا مرده) این است:

http://dftrack6.com/?i0g51dkl&s1=sc_hgould_ca_ll

هیچ نسخه‌­ی پنهانی از سایت وجود نداشت، و از آن‌جا که وقتی من برای اولین بار در ماه دسامبر آن را دیده بودم، روی لینک­‌ها کلیک نکرده بودم، از صفحه­‌ی مقصد هیچ نسخه‌­ی کپی در اندیس Hunchly  خودم نداشتم. از این‌­رو هیچ مدرکی در اختیار نداریم که ثابت کند با یک صفحه­‌ی فرود جعلی طرفیم، اما اگر دامین dftrack6.com  را دقیق‌­تر بررسی کنید، خواهید دید که به­‌نظر مشکوک می­‌رسد.

با این­ وجود نکته‌­ی اصلی در اینجا ثابت شد: جاعلین می­‌توانند تبلیغاتی بسازند که به ­نظر برسد به سایت­‌های قانونی ارجاع می‌­دهند، و سپس ده­‌ها هزار کلیک به صفحات خود را موجب شوند. در این مورد ظاهراً فیس­بوک در خواب غفلت است، و متأسفانه حس می‌کنم به همین خاطر به ­طور کلی کاربران و مصرف ­کنندگان فیس­‌بوک قربانی می­‌شوند.

این کار چقدر می‌­تواند دشوار باشد؟

حالا وقتش بود که همه­‌ی این‌ها را امتحان کنم. خب، از تبلیغات و هدف محلی استفاده خواهم کرد. از کد پستی و سن خودم استفاده کرده و آن را طوری تنظیم کردم که تبلیغات فقط برای افرادی اجرا شوند که هم به صفحه‌­ی AutomatingOSINT.com من و هم به صفحه­‌ی فیس­‌بوک Hunchly  متصل می‌­شوند.

می­‌خواهم یک لحظه از زاویه دید یک جاعل به این هدف‌­گذاری فکر کنید. ترسناک نیست؟

تبلیغ خودم برای صفحه­‌ی Hunchly را تنظیم و راه‌­اندازی کردم، و URL مقصد را https://www.hunch.ly  گذاشتم اما کاری کردم که www.cnn.com نمایش داده شود. مثل این:

لینک تقلبی ساخته شده
لینک تقلبی ساخته شده

البته که این کار از زاویه دید تبلیغات شبکه‌­ای، عملی دیوانه­‌وار است. اگر در Google AdWords آن را امتحان کنید، درجا از حساب کاربری خود بیرون انداخته می­‌شوید. هیچ نشانه‌­ای در تبلیغ من نبود که به کاربر بگوید به www.hunch.ly فرستاده خواهد شد. هر کاربر عادی به‌­سادگی www.cnn.com را خواهد دید و تصور خواهد کرد که به آدرسی مورد اعتماد می‌­رود. واقعاً چند کاربر فیس‌­بوک، هربار که به ­سمت یک لینک می‌روند، پایین پنجره­‌ی مرورگر خود را چک می­‌کنند؟ خیلی زیاد نیستند.

از موضوع دور شدم.

همه ­چیزش شیک و تروتمیز است، اما البته که باید من این تبلیغ را از فرآیند تأیید فیس­بوک عبور دهم. مطمئناً آن‌ها باید این واقعیت را بفهمند که URL هدف حتی نزدیک به آنچه نمایش داده شده نیست. مطمئناً باید بدانند که این، چقدر برای مصرف­‌کننده یا کاربر متوسط فیس‌­بوک، بد خواهد بود.

اطلاعات تبلیغات در فیس‌بوک
اطلاعات تبلیغات در فیس‌بوک

با یک صدای هشدار قوی، تبلیغ ما تأیید می­‌شود و می‌­توانیم پیش­‌نمایش شگفت­‌انگیزی را ببینیم، که با نمایش URL متعلق به cnn.com تکمیل می‌­شود.

پیشنمایش تبلیغ تقلبی ساخته شده
پیشنمایش تبلیغ تقلبی ساخته شده

به ­محض اینکه تبلیغ شروع به کار کرد، درجا حذفش کردم. مطمئنم که اگر کسی از فیس‌بوک این مقاله را بخواند، و تا اینجا دوام آورده باشد، حساب کاربری تبلیغاتی من فوراً تعلیق خواهد شد.

نتیجه‌­گیری

مدت‌­هاست در جهان امنیت، به این سمت سوق داده ­‌شده‌­ایم که اطمینان یابیم محصولات «به‌­طور پیش‌­فرض ایمن‌­تر» شده‌­اند. این یعنی مهم نیست که دانش کاربران چقدر اندک باشد، آن‌ها از همان روز اول به بهترین شکل ممکن، محافظت می­‌شوند. آن‌ها آگاهند که راه­‌هایی برای جعل در شبکه­‌های تبلیغاتی وجود دارد، در بسیاری از موارد این کار نیاز به ترفندهای متعدد یا سطح نسبتاً بالایی از مهارت دارد. Google AdWords، هنگامی که پایِ گذاشتن یک تبلیغ جدید در میان باشد بسیار مراقب و هوشیار است (بروید امتحان کنید) تا مطمئن شود شما هیچ کار مشکوکی انجام نمی­‌دهید. با این وجود  AdWords نیز یک سیستم بی­‌نقص نیست، مثل هر مسئله­‌ی امنیتی، هدف اصلی این است که موانع امنیتی آن‌قدر بالا رود که تنها ماهرترین جاعلین بتوانند سیستم را بازی دهند.

فیس­‌بوک یک چک کردن ساده کم دارد که باعث به­‌خطر افتادن کاربران می‌­شود. بحث ما درباره‌­ی افزایش یا تنظیم یک الگوریتم ضدّ جعلِ مشکل و پیچیده نیست. درواقع کد موردنظر ما چیزی شبیه این است:

if (display_domain == landing_page_domain)

{

approve_ad = true;

}else{

approve_ad = false;

}

حالا کاری که مایلم انجام دهید این است که حساب کاربری فیس‌بوک خودتان را ازنظر وجود تبلیغات اسپانسری چک کنید. آیا آن‌ها به همان دامینی اشاره می­‌کنند که ادعا می‌کنند؟

اگر نه، یافته‌­هایتان را برای من ازطریق ایمیل ارسال کنید، خوشحال می‌­شوم که شروع به جمع‌­آوری برخی آمار یا پژوهش­‌های جانبی کنم تا ببینم این مشکل واقعاً چقدر شایع است.

اوسینت دات‌آی‌آر

OSINT.ir یک رسانه تخصصی در حوزه «اوسینت و کارآگاهی در وب» است که فعالیت خود را از سال ۱۳۹۷ با سه محور «ایجاد آشنایی عمومی با اوسینت»، «کمک به ارتقای سطح سواد دیجیتال در جامعه» و «افزایش تفکر انتقادی در مواجهه با تهدیدات سایبری و اخبار جعلی» آغاز کرده است. بدین منظور، تهیه گزارش‌های تحلیلی با هدف ارائه نگرشی مستقل و متفاوت از سایر رسانه‌ها نسبت به مسائل گوناگون، و همچنین آموزش ابزار و تکنیک‌های OSINT در دستور کار این پایگاه است.

نوشته های مشابه

یک نظر

  1. بازتاب: اوسینت چیست؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا