和 Digg 相似的共享書簽網站 Reddit ,用戶可對所刊登內容以“支持( up ,上)”或“否決( down ,下)”的投票方式,讓最熱門的連結會出現在首頁面的前端或是其他顯著的位置。
在倫敦 , 一位 Black_Hat SEO (黑帽搜索引擎優化攻擊)黑客,展現了玩弄熱門鏈接交換網站 Reddit 的方法,利用假賬戶對特定內容以人工方式提升投票支持率。
宣稱自己是為一家位在倫敦的搜尋營銷經紀公司服務,僅以 Esrun 為名的該名黑客,在部落格貼文中提供了影片顯示他如何以半自動方式制作假賬戶,并利用程序代碼來執行投票。他自稱這個動作在 8 小時內就吸引了 4 萬人瀏覽他設定的頁面。
以下是 趨勢科技 信息安全分析師所寫的相關報導。
--------------------------------------------------------------------------------
作者: 趨勢科技 信息安全分析師 Jonathan Leopando
被毒化的鏈接通常多是在搜索引擎中出現,不過社交共享書簽網站如 Digg 和 Reddit 也成了網絡犯罪目標。本周稍早之際,一名 Black_Hat SEO 黑帽搜索引擎優化( Search Engine Optimization ,簡稱 SEO )專家在博客披露,他是如何將 Reddit 的流量導向他的博客。該篇文章已被如 The Register 等媒體報導。
針對 Reddit 所發出的攻擊相當的簡單。精簡而言,就是在該網站上設立幾個新帳戶,投票支持垃圾訊息散發者的貼文。散發者可將此程序自動化。唯一需要人力輸入的則是解讀為設立賬戶時需輸入的 CAPTCHA 圖形驗證碼( Completely Automated Public Turing Test To Tell Computers And Humans Apart ,簡稱 CAPTCHA )。
而很清楚的是,單一個人是無法就任何的內容進行此類攻擊。內容必須要對 Reddit 的使用者來說是夠有趣夠好,以促使他們自然地投票支持。否則發動攻擊者的鏈接很快就會被發現,被投票否定,甚至被移除。如此類的優化手法對文章有「好的開始」很有幫助,但對續后的幫助有限。更精密的攻擊牽涉到利用此網站中評價極高的使用者,這些使用者的支持有較高的影響力。
此類攻擊也可搭配傳統 Black_Hat SEO 黑帽搜索引擎優化手法。單靠本身,從 Digg 和 Reddit 鏈接過去的網站或提升在 Google 的排名,但其它 SEO 搜索引擎優化手法也可提升第三者網頁的排名。這可被用來做為不擇手段的營銷手法。
手法本身不會對使用者造成直接傷害。 Digg 或 Reddit 網站擁有者才會是受傷害者,因為他們的聲譽會因為此類的攻擊而受毀損。
不過這些手法也極有可能受網絡犯罪份子的使用。例如 KOOBFACE 最為人熟知的就是以使用社交工程 ( Social Engineering ) 手法誘導使用者點擊鏈接,正如許多以意見調查為手法的攻擊一般。
根本而言,使用者可分享內容的任何網站,如 Digg 和 Reddit ;或任何其它社交網絡網站,皆會被濫用。到目前為止,濫用的程度尚未到用以散布 惡意軟件 的程度。不過既然工具和方法皆已被發展出來,未來當看到網絡犯罪份子使用時也就不會是感到意外了。
本文版權為 趨勢科技 所有,對于非贏利網站或媒體轉載請注明作者以及原文鏈接。謝謝合作!
愛趨勢 -- 免費下載趨勢科技殺毒軟件
微博 -- 關注趨勢科技期期有獎
http://t.sina.com.cn/trendcloud
開心網 -- 加入趨勢科技粉絲群拿禮品
http://www.kaixin001.com/trendmicro
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
