和 Digg 相似的共享书签网站 Reddit ,用户可对所刊登内容以“支持( up ,上)”或“否决( down ,下)”的投票方式,让最热门的连结会出现在首页面的前端或是其他显著的位置。
在伦敦 , 一位 Black_Hat SEO (黑帽搜索引擎优化攻击)黑客,展现了玩弄热门链接交换网站 Reddit 的方法,利用假账户对特定内容以人工方式提升投票支持率。
宣称自己是为一家位在伦敦的搜寻营销经纪公司服务,仅以 Esrun 为名的该名黑客,在部落格贴文中提供了影片显示他如何以半自动方式制作假账户,并利用程序代码来执行投票。他自称这个动作在 8 小时内就吸引了 4 万人浏览他设定的页面。
以下是 趋势科技 信息安全分析师所写的相关报导。
--------------------------------------------------------------------------------
作者: 趋势科技 信息安全分析师 Jonathan Leopando
被毒化的链接通常多是在搜索引擎中出现,不过社交共享书签网站如 Digg 和 Reddit 也成了网络犯罪目标。本周稍早之际,一名 Black_Hat SEO 黑帽搜索引擎优化( Search Engine Optimization ,简称 SEO )专家在博客披露,他是如何将 Reddit 的流量导向他的博客。该篇文章已被如 The Register 等媒体报导。
针对 Reddit 所发出的攻击相当的简单。精简而言,就是在该网站上设立几个新帐户,投票支持垃圾讯息散发者的贴文。散发者可将此程序自动化。唯一需要人力输入的则是解读为设立账户时需输入的 CAPTCHA 图形验证码( Completely Automated Public Turing Test To Tell Computers And Humans Apart ,简称 CAPTCHA )。
而很清楚的是,单一个人是无法就任何的内容进行此类攻击。内容必须要对 Reddit 的使用者来说是够有趣够好,以促使他们自然地投票支持。否则发动攻击者的链接很快就会被发现,被投票否定,甚至被移除。如此类的优化手法对文章有「好的开始」很有帮助,但对续后的帮助有限。更精密的攻击牵涉到利用此网站中评价极高的使用者,这些使用者的支持有较高的影响力。
此类攻击也可搭配传统 Black_Hat SEO 黑帽搜索引擎优化手法。单靠本身,从 Digg 和 Reddit 链接过去的网站或提升在 Google 的排名,但其它 SEO 搜索引擎优化手法也可提升第三者网页的排名。这可被用来做为不择手段的营销手法。
手法本身不会对使用者造成直接伤害。 Digg 或 Reddit 网站拥有者才会是受伤害者,因为他们的声誉会因为此类的攻击而受毁损。
不过这些手法也极有可能受网络犯罪份子的使用。例如 KOOBFACE 最为人熟知的就是以使用社交工程 ( Social Engineering ) 手法诱导使用者点击链接,正如许多以意见调查为手法的攻击一般。
根本而言,使用者可分享内容的任何网站,如 Digg 和 Reddit ;或任何其它社交网络网站,皆会被滥用。到目前为止,滥用的程度尚未到用以散布 恶意软件 的程度。不过既然工具和方法皆已被发展出来,未来当看到网络犯罪份子使用时也就不会是感到意外了。
本文版权为 趋势科技 所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势 -- 免费下载趋势科技杀毒软件
微博 -- 关注趋势科技期期有奖
http://t.sina.com.cn/trendcloud
开心网 -- 加入趋势科技粉丝群拿礼品
http://www.kaixin001.com/trendmicro
