Cập nhật ngày 1/11/2013: Đã có hỗ trợ phát hiện các trang lừa đảo cho trình duyệt Google Chrome, Apple Safari và Mozilla Firefox. Xem ở cuối bài.

Screen Shot 2013-10-29 at 8.53.37 PMHôm nay đột nhiên thấy một số lượng lớn bạn của mình trong Facebook like một bài viết ở trang CHAOBUOISANG.NET, mà lại đúng một bài mình vừa đọc cách đây ít phút… Kiểm tra lại activity trong Facebook thì phát hiện ra chính tài khoản của mình cũng đã like bài viết đó. Có vẻ có nghi vấn nên đã mở Google Chrome Inspector và kiểm tra lại nhưng không có kết quả gì. Dự đoán là có đoạn mã nào đó tự bảo vệ chống bị phát hiện nên mình đã tạo Profile mới trong Google Chrome, đăng nhập vào một tài khoản Facebook khác để thử lại. Lần này thì phát hiện ra một iframe ẩn chạy theo con trỏ chuột đúng như dự đoán:

Sau khi kiểm tra kĩ hơn thì đoạn mã sinh ra iframe này nằm trong file /js/common_load.js, ý tưởng cơ bản như sau:

  1. Tạo một thẻ div với opacity là 0 (trong suốt chứ không ẩn, để vẫn nhận được các sự kiện bấm chuột). Trong thẻ này có chứa iframe của Facebook Like Button. Cập nhật cookie “_fl19” thành “_flb”. Trang được like sẽ có hai trường hợp: nếu người xem đến từ Facebook thì sẽ cho like trang hiện tại (tạo viral), nếu người xem đến từ nguồn không xác định thì sẽ cho like một trang Facebook có tên Vietnam Pictures (mua bán likes?).
  2. Bắt sự kiện mousemove và di chuyển thẻ div ở trên để nút like luôn nằm ngay dưới con trỏ chuột. Bất cứ khi nào người xem bấm chuột sẽ dính nút like.
  3. Đặt interval mỗi 1ms thì kiểm tra xem đối tượng đang nhận focus có phải là fbframe hay không, nếu có thì sửa cookie “_fl19” thành “_fla”. Đây là một cách khá hay để biết khi nào người xem dính bẫy.
  4. Dừng hoạt động nếu cookie “_fl19” có giá trị “_fla”.
fb_like_hijack
Facebook Like Clickjacking

Đánh giá:

  1. Chiêu trò nham hiểm: Facebook Like Clickjacking.
  2. Che đậy khá khéo léo.
  3. Hiệu quả có lẽ là rất cao, không có số liệu nên không dám công bố nhưng dự đoán thì 10 người dùng Facebook vào trang này thì ít nhất có 5 bạn dính bẫy. Mình cũng bị dính 🙁

Phòng chống:
Tẩy chay không bấm vào bất cứ đường dẫn nào của CHAOBUOISANG.NET, CUCRE.VN
Tẩy chay các trang cùng hệ thống ví dụ như MUONMAU.VN (cùng số điện thoại liên hệ). Sau khi vào xem thì phát hiện ra là tại MUONMAU.VN cũng có cài đặt đoạn mã tương tự…
Tẩy chay trang Facebook Vietnam Pictures, đây là trang sẽ nhận được like nếu người xem dính bẫy. Dự đoán là chủ của trang Vietnam Pictures đã mua like từ chủ của trang CHAOBUOISANG.NET / MUONMAU.VN, việc làm này là vi phạm quy định của Facebook. Tuy nhiên đây cũng có thể là một đòn từ đối thủ của Vietnam Pictures, tung tiền ra để mua likes sau đó sẽ khiếu nại để dẹp trang Facebook này.
Không sử dụng Facebook nữa (!)
Cài công cụ hỗ trợ phát hiện (xem ở cuối bài).

Ý tưởng:

Xây dựng danh sách các trang có hành vi tương tự để đưa vào danh sách đen.
Thành lập các nhóm gửi khiếu nại để dẹp các trang này.

Đây là file HAR ghi lại các request đã được sử dụng: http://www.mediafire.com/?p83gv5he5uu3yvc

Cập nhật ngày 1/11/2013: đường dẫn tải về công cụ hỗ trợ phát hiện các trang có sử dụng phương pháp câu like này:
Dành cho trình duyệt Google Chrome: tải về từ Chrome Web Store.
Dành cho trình duyệt Apple Safari: tải về file này và mở bằng Safari.
Dành cho trình duyệt Mozilla Firefox: tải về từ Add-ons for Firefox.
Các bạn quan tâm sâu hơn hoặc muốn thông báo lỗi thì xem thêm ở github.

Nguồn: http://geek.daohoangson.com/2013/10/nghi-van-chaobuoisangnet-hay-la-nguoi.html