等等，你真的认为那是YouTube的网址吗？在Facebook上欺骗链接

在Facebook上滚动时，你如何决定应该点击或打开哪个链接/文章？

由于Facebook现在充斥着垃圾邮件、点击诱饵和虚假新闻文章，大多数用户并不是每秒钟都点击他们收到的链接。

但没错，当你感兴趣的内容来自YouTube或Instagram等合法权威网站时，打开一篇文章的可能性要高得多。

然而，如果从合法网站共享的链接让你陷入麻烦呢？
即使在脸书上共享的链接无法编辑之前，但为了阻止虚假信息和虚假新闻的传播，这家社交媒体巨头还于2017年7月取消了页面编辑链接标题、描述和缩略图的功能。

然而，事实证明，垃圾邮件发送者可以欺骗共享链接的URL，诱骗用户访问他们不期望的页面，将他们重定向到带有恶意软件或恶意内容的钓鱼或假新闻网站。

24岁的安全研究员巴拉克·塔威利发现，一个简单的技巧可以让任何人利用Facebook获取链接预览的方式来欺骗URL。

简而言之，Facebook会扫描共享链接中打开的图形元标记，以确定页面属性，特别是“ogurl”、“ogimage”和“ogtitle”，分别获取其url、缩略图和标题。

有趣的是，Tawily发现Facebook没有验证“ogurl”元标记中提到的链接是否与页面url相同，从而允许垃圾邮件发送者通过在其网站上的“ogurl”开放图形元标记中添加合法url，在Facebook上传播带有虚假url的恶意网页。

Tawily告诉黑客新闻：“在我看来，所有Facebook用户都认为Facebook显示的预览数据是可靠的，并且会点击他们感兴趣的链接，这使得他们很容易成为攻击者的目标，这些攻击者滥用这一功能来执行数种类型的攻击，包括网络钓鱼活动/广告/点击欺诈/点击付费”。

Tawily向Facebook报告了这一问题，但这家社交媒体巨头拒绝承认这是一个安全漏洞，并称Facebook使用“Linkshim”来防范此类攻击。
如果你不知道，每次点击Facebook上的链接时，一个名为“Linkshim”的系统都会根据公司自己的恶意链接黑名单检查该URL，以避免网络钓鱼和恶意网站。

这意味着，如果攻击者正在使用新域生成伪造链接，Linkshim系统很难识别其是否恶意。

虽然Linkshim还使用机器学习通过扫描内容来识别以前从未见过的恶意页面，但Tawily发现，通过基于用户代理或IP地址将非恶意内容显式提供给Facebook机器人，可以绕过保护机制。
塔威利还提供了一段演示视频，展示了袭击行动。你可以看上面的视频。

由于不打开Facebook上的共享链接就无法检查其背后的实际URL，用户除了保持警惕外，还可以采取一些措施来保护自己。