和Digg相似的共享書簽網(wǎng)站 Reddit，用戶可對所刊登內(nèi)容以“支持（up，上）”或“否決（down，下）”的投票方式，讓最熱門的連結(jié)會出現(xiàn)在首頁面的前端或是其他顯著的位置。

 

在倫敦,一位Black_Hat SEO（黑帽搜索引擎優(yōu)化攻擊）黑客，展現(xiàn)了玩弄熱門鏈接交換網(wǎng)站 Reddit的方法，利用假賬戶對特定內(nèi)容以人工方式提升投票支持率。

 

宣稱自己是為一家位在倫敦的搜尋營銷經(jīng)紀公司服務(wù)，僅以Esrun為名的該名黑客，在部落格貼文中提供了影片顯示他如何以半自動方式制作假賬戶，并利用程序代碼來執(zhí)行投票。他自稱這個動作在8小時內(nèi)就吸引了4萬人瀏覽他設(shè)定的頁面。

 

以下是趨勢科技信息安全分析師所寫的相關(guān)報導(dǎo)。

 

被毒化的鏈接通常多是在搜索引擎中出現(xiàn)，不過社交共享書簽網(wǎng)站如Digg和Reddit也成了網(wǎng)絡(luò)犯罪目標。本周稍早之際，一名Black_Hat SEO黑帽搜索引擎優(yōu)化（Search Engine Optimization，簡稱SEO）專家在博客披露，他是如何將Reddit的流量導(dǎo)向他的博客。該篇文章已被如The Register等媒體報導(dǎo)。

 

針對Reddit所發(fā)出的攻擊相當(dāng)?shù)暮唵巍＞�簡而言，就是在該網(wǎng)站上設(shè)立幾個新帳戶，投票支持垃圾訊息散發(fā)者的貼文。散發(fā)者可將此程序自動化。唯一需要人力輸入的則是解讀為設(shè)立賬戶時需輸入的CAPTCHA圖形驗證碼（Completely Automated Public Turing Test To Tell Computers And Humans Apart，簡稱CAPTCHA）。

 

而很清楚的是，單一個人是無法就任何的內(nèi)容進行此類攻擊。內(nèi)容必須要對 Reddit 的使用者來說是夠有趣夠好，以促使他們自然地投票支持。否則發(fā)動攻擊者的鏈接很快就會被發(fā)現(xiàn)，被投票否定，甚至被移除。如此類的優(yōu)化手法對文章有「好的開始」很有幫助，但對續(xù)后的幫助有限。更精密的攻擊牽涉到利用此網(wǎng)站中評價極高的使用者，這些使用者的支持有較高的影響力。

 

此類攻擊也可搭配傳統(tǒng)Black_Hat SEO黑帽搜索引擎優(yōu)化手法。單靠本身，從Digg和Reddit鏈接過去的網(wǎng)站或提升在Google的排名，但其它SEO搜索引擎優(yōu)化手法也可提升第三者網(wǎng)頁的排名。這可被用來做為不擇手段的營銷手法。

 

手法本身不會對使用者造成直接傷害。Digg或Reddit網(wǎng)站擁有者才會是受傷害者，因為他們的聲譽會因為此類的攻擊而受毀損。

 

不過這些手法也極有可能受網(wǎng)絡(luò)犯罪份子的使用。例如KOOBFACE 最為人熟知的就是以使用社交工程 ( Social Engineering ) 手法誘導(dǎo)使用者點擊鏈接，正如許多以意見調(diào)查為手法的攻擊一般。

根本而言，使用者可分享內(nèi)容的任何網(wǎng)站，如Digg和Reddit；或任何其它社交網(wǎng)絡(luò)網(wǎng)站，皆會被濫用。到目前為止，濫用的程度尚未到用以散布惡意軟件的程度。不過既然工具和方法皆已被發(fā)展出來，未來當(dāng)看到網(wǎng)絡(luò)犯罪份子使用時也就不會是感到意外了。

收藏0