最近、オンラインストア向けの多くのサービスとモジュールが人気を集めています。これらには、コールバック、チャット、ボタンなどのさまざまなカウンターや分析が含まれます。
サイトの所有者はサイトにそれらをインストールすることを喜んでおり、「そのような」サービスへのアクセスを与え、最終的に対処しなければならない結果を疑うことはありません。
カットされたコールバックサービスの1つが公開されたストーリー。
数百の異なるサイトでモジュールのjsコードをホストするコールバックサービスの1つは、顧客の数を増やすために、サイトにアクセスするVkontakteユーザーのプロファイルを決定するというユニークな機会を追加しました。
この機会は本当に興味深いものであり、多くのオンラインストアが興味深いものになります。 私たちのクライアントも、同様の機会を作るためのリクエストで私たちに連絡し始めました。 ただし、お客様に対するすべての責任を理解しているため、すべての決定を確認します。
そして、そのようなトリッキーな機能とは何か、なぜ「本物の」大企業がそれを提供しないのかを理解することにしました。 たとえば、YandexメトリックやGoogleアナリティクスは、こうした機会が非常に重要であるためです。 そして、そのような機能を実装する機会があることは間違いありません。
まず、Vkontakteの公式api /ドキュメント、つまり、サードパーティのサイトにアクセスするユーザープロファイルを取得することで、そのような機会を見つけることができませんでした。
私たちはVkontakte社を支援して執筆し、次の応答を受け取りました。
スクリーンショットからわかるように、Vkontakte社はこのようなサービスに対して断固として反対しています。
公式の代表者の意見は否定的であることが判明し、そのような機能の追加は禁止されていることが明らかになりました。つまり、不可能です。
どのように機能し、なぜ悪いのですか?
hubrhabや他のソースにもソーシャルフィッシングに関する記事がありましたが、簡単に詳細を説明しなくても、次のように機能します。
ユーザーがサイトにアクセスすると、悪意のあるコードが非表示のレイヤーを作成し、サイトのページのクリックをエミュレートします。まるでサイトの訪問者がそれをしたかのように、スクリプトがデータを受信します。
これらは、特定のモジュールがサイト上で動作し、ユーザーに見えないウィンドウを描画し、このウィンドウ内でユーザーに代わってクリックを自然に行わせ、VKontakteプロファイルに関するデータを受信します。 したがって、ユーザーは自分がVkontakteにアクセスしたこと、クリックしたことなども知りません。 これは少なくともあなたのサイトへの訪問者にとっては正しくないことに同意します。なぜなら、あなたがさらにエミュレートできる、あなたのサイトへの訪問者の知識なしに自動的にプライベートメッセージを送信する、などです。
ユーザーにサービスを提供するためのこの機能の位置付け。
悲しいかな、コールバックサービスの所有者は、この機能がどのように機能するかについて美しく黙っていました。 彼は次のように書いた:私たちには新しい機会があります-そして、オンラインストアの所有者は詳細を知らずに彼の実際の共犯者となり、それによって彼のサイトを悪意のあるコードが実行されるプラットフォームとして提供しました。
そのような詐欺の使用は時間の問題です。 あまり時間はかからず、その結果、VKontakteはソーシャルネットワークのユーザー向けのこのコールバックサービスのページへのすべての遷移をブロックしました。 アンチウイルスは、このリソースをフィッシングとしてフィッシングリストに導入しました。これは、ユーザーの知らないうちに不正行為に関与したものです。
信頼への圧力
現在、「ダーク」コールバックの所有者は満足しており、誤解を招くウイルス対策ソフトウェアがデータベースからサイトを削除しようとしています。 顧客を気にかけない、または他の人のサイトで悪意のあるコードをホストする彼らの行動に気付かないと、信頼性が損なわれます。 彼は自分のサービスについてだけ考え、彼の悪意のあるコードが多くのサイトに存在することを忘れており、これらのサイトはウイルス対策の禁止にもなり、ビジネスを失うリスクがあります。
現時点では、サービスの所有者がモジュールから悪意のあるコードを削除し、ウイルス対策担当者に連絡したため、一部の担当者はブラックリストから削除しました。
しかし、その後はどうなりますか? そのようなインターネットサービスが、この機能がどのように機能するかについて沈黙している場合、オンラインストアの所有者が肩に負わせるリスクについて語らず、露出後の「流動性」についてオープンソースに書き続け、競争的な戦争にすべてを捨てるのであれば、そのようなサービスを信頼する価値はありますか? 結局のところ、一度行われると、彼は「顧客のサイトで隠された機会」を、それについて知らせることなく再びアクティブにすることができます。
サイトとサービスの親愛なる所有者-「疑わしいサービスを使用しないでください、そのようなトリックに陥らないでください!」
確かに、悪意のあるコードがサイトで起動された場合、すぐにブラックリストに入り、あなたのサイトに行く機会が常にあります:
または
または
気をつけて! 少なくともオフィスを持っている安定した企業と協力してください:)
よろしく
コールバックサービス:Pozvonim.com
PS:この記事はCallbackkillerの所有者に感銘を与え、彼は公式に有罪を認めました。
このサービスまたは他のサービスに新しい悪意のあるコードがすぐに表示されないことを願っています。