close

फेसबुकमा अनलाइन खबरको लिङ्क, भित्र मालवेयरः तर कसरी ?

सुशिल फुयाँल

बैशाख २०, २०८० १८:३८

फेसबुकमा अनलाइन खबरको लिङ्क, भित्र मालवेयरः तर कसरी ?

केही साताअघि मोनिल अधिकारी सरले डिजिटल फरेन्सिक लेक्चरका क्रममा साइबर किल चेनसँग सम्बन्धित एउटा घटना सुनाउनु भयो । जहाँ सरले मनोज धमलाको फेसबुक पेजमा एउटा वेबसाइटको लिङ्क राखिएको, तर त्यस्तो लिङ्कमा क्लिक गर्दा भित्रै अर्कै यूआरएल खुलेको बताउनुभयो ।

मोनिल सर पनि उक्त घटना कसरी भएको होला भनेर अनुसन्धान गरिरहनु भएको थियो । सरले उक्त घटनाबारे बेलीविस्तार लगाएपछि म पनि उक्त घटनालाई अनुसन्धान गर्न प्रेरित भएँ ।

मनोज धमला अस्ट्रेलियाको सिड्नीमा बस्ने एक नेपाली सोसल मिडिया इन्फ्लुयन्सर रहेछन् । जो अहिले एमडी क्रियसन नामक डिजिटल मार्केटिङ कम्पनी सञ्चालन गर्दै आइरहेका छन् ।

चार लाख ६३ हजार बढी फलोअर रहेको उनको फेसबुक पेजमा अधिकांश मानिसहरू डिजिटल मार्केटिङको क्षेत्रमा चासो राखिरहेका हुन्छन् । मनोज धमलाको प्रोफाइल हेर्ने क्रममा हामी यो फेसबुक पोस्टमा आइपुग्यौं ।

यो पोस्ट हेर्दा सामान्य लाग्छ । जहाँ अनलाइनखबर डटकममा लेखिएको लेख शेयर गरेको देखिन्छ । तर, जब मैले माउसको क्रसर उक्त पोस्टमा लगेर क्लिक गरेँ, तब म गुगल साइटको पेजमा पुगेँ । त्यसपछि यो घटना मलाई झनै रहस्यमयी लाग्यो । 

सामान्यतः पोस्टमा जुन यूआरएल देखिएको हुन्छ, लिङ्कमा क्लिक गर्दा त्यही यूआरएल खुल्छ ।

तर, यो घटनामा बाहिर पोस्टमा एउटा लिङ्क थियो, तर क्लिक गरेपछि त्यहाँ फरक यूआरएल देखियो । फेसबुक पोस्टमा एउटा यूआरएल, तर त्यही यूआरएलको पोस्टमा क्लिक गर्दा भित्र अर्कै यूआरएल खुल्न कसरी सम्भव भयो भन्ने स्पष्ट थिएन ।

सुरुमा मलाई यो घटना ओपन ग्राफ (ओजी) म्यानुपुलेसन हो कि भन्ने लागेको थियो । यस्तोमा प्रिभ्यु इमेज एउटा हुन्छ र भित्र अर्कै फोटो हुन्छ ।

भन्नुको अर्थ फेसबुक पोस्टमा लिङ्क शेयर गर्दा जुन फोटो वा टाइटल राखिएको छ, लिङ्क खोल्दा त्यो फोटो वा शीर्षक नदेखिने अवस्थालाई 'ओजी म्यानुपुलेसन' भनिन्छ ।

तर, यहाँ त यूआरएल नै फरक राखिएको थियो । यद्यपि आशिष भण्डारी (अविसम) को सहयोगमा मैले यो घटनाबारे विस्तृत अध्ययनको प्रक्रिया अघि बढाएँ ।

घटनाको अनुसन्धान गर्न सबैभन्दा पहिले कसरी सम्भव हुन्छ भन्ने कुरा कल्पना गरेँ । र, त्यसै अनुसार योजना बनाएँ । सबैभन्दा पहिला 'Burp Suite' टुल प्रयोग गरेँ ।

याे टुलको एउटा फिचर कोल्याबोरेटर प्रयोग गरेर यसको विस्तृत खोज गर्न सकिन्थ्यो । यसबाट प्रोक्सीले अन्तर्किया गरी वेब एप्लिकेसन, एन्ड्रोइड, आईओएस, डेस्कटप एप्लिकेसनको सुरक्षा कमजोरी परीक्षण गर्न सघाउँछ ।

यस्ता परीक्षण गर्ने अनुसन्धानकर्ताले 'Burp Suite' प्रयोग गरेर कोल्याबोरेटर लिङ्क तयार पार्छन् । यो एउटा त्यस्तो विशेष यूआरएल हुन्छ, जसलाई विभिन्न इन्ड डिभाइसले बनाउने सबै किसिमका (एचटीटीपी, डीएनएस जस्ता) रिक्वेस्ट ट्रयाक गर्न प्रयोग गरिन्छ । त्यसपछि अनुसन्धानकर्ताले उक्त यूआरएल लिङ्क फेसबुकमा शेयर गर्छन् । 

फेसबुक क्रउलर्सले बाह्य लिङ्कसँग कसरी अन्तरक्रिया गर्छ भन्ने पहिचान गरिन्छ । यहाँ 'फेसबुक क्रउलर्स'ले बर्पले रेकर्ड गरेको कोलाबोरेटर लिङ्क भिजिट गर्छ । त्यसपछि फेसबुक क्रउलर्सले बनाएका रिक्वेस्टलाई विश्लेषण गरी अन्वेषकले फेसबुक क्रउलर्सले बाह्य लिङ्कसँग कसरी अन्तर्क्रिया गर्छ भन्ने पहिचान गर्छन् । जो सेक्युरिटी टेस्टिङ, रिसर्चका लागि उपयोगी हुन्छ ।

यो सबै निरीक्षण गर्दा बर्पले क्रउलर्सबाट युजर एजेन्ट सहितको डीएनएस र एटीटीपी रिक्वेस्ट प्राप्त गर्‍यो । जसलाई "facebookexternalhit" का रूपमा पहिचान गरियो ।

यति गरेपछि तल देखाइए जस्तो पीएचपी स्क्रिप्ट लेखियो । जुन लिङ्कबाट देखाउन चाहेको हो, त्यही वेबसाइटको लिङ्कमा पेस्ट गरियो ।

यो पीएचपी स्क्रिप्ट डाइभर्सनका लागि डिजाइन गरिएको थियो । त्यस्तै युजर एजेन्ट पत्ता लगाउन बर्प सुइट प्रयोग गरिएको थियो । जसलाई टेकपानाले हालसालै राखेको ब्रिच पोस्टमा रिडाइरेक्ट गरियो ।

यद्यपि सामान्य प्रयोगकर्ताका लागि सधैं उही युजर एजेन्ट भने हुँदैन । यसमा प्रयोगकर्तालाई झुक्यानमा पार्ने किसिमका लिङ्कमा रिडाइरेक्ट गरिएको हुन्छ । जसले गर्दा उक्त लिङ्क वैधानिक साइटबाट आएको जस्तो देखिन्छ ।

यहाँ मैले टेकपानाले वेबसाइटमा पोस्ट गरेको "त्रिवि अन्तर्गत बीसीए पढ्ने विद्यार्थीको संवेदनशील डेटा डार्क वेबमा लिक" समाचारको लिङ्क राखेको छु । मैले पीएचपी कोडको लोकेसन सेक्सनमा उक्त समाचारको लिङ्क राखेँ । 

झुक्यानमा पार्ने किसिमको वेबसाइट तयार भयो । टेकपानाको उक्त लिङ्कमा क्लिक गर्दा casestudy.sushilphuyal.com.np मा पुर्‍याउने बनाएँ ।

यस्तो गर्दा मैले शेयर गरेको पोस्टमा टेकपानाको वेबसाइटबाट समाचार प्रकाशन भएको जस्तो देखियो । तर, लिङ्कमा क्लिक गर्दा (casestudy.sushilphuyal.com.np) वेबसाइटको पेज खुल्यो । मनोज धमलाको घटनामा पनि दुरुस्तै यस्तै भएको हो ।

कुनै पनि लिङ्कमा क्लिक गर्नुअघि त्यसलाई ध्यानपूर्वक निरीक्षण गर्न जरुरी छ । किनभने साइबर आक्रमणकारीले यस्ता नक्कली प्रिभ्यु बनाएर प्रयोगकर्तालाई खतरनाक लिङ्कमा पुर्‍याउन सक्छन् । 

मलाई लागेसम्म यो फेसबुकको सुरक्षा कमजोरी हो । मैले यसबारे फेसबुकमा रिपोर्ट पनि गरिसकेको छु । सम्भवतः यो हप्ता रिप्लाइ आउन सक्छ । सामाजिक सञ्जाल वा भनौं इन्टरनेटमा यस्ता सुरक्षा जोखिम जति पनि देखिन सक्छन् ।

त्यसैले तपाईंहरूले कुनै पनि लिङ्क खोल्दा सतर्क भएर बस्नुपर्ने हुन्छ । यस्ता शंकास्पद लिङ्कबाट जोगिन विभिन्न सुरक्षा नीति अपनाउन आवश्यक छ ।

पीएचपी स्क्रिप्ट बुझ्नु भएन ? यो पढ्नुहोस्

यो त्यस्तो पीएचपी स्क्रिप्ट हो, जसले युजर एजेन्ट "facebookexternalhit" सहितको फेसबुक क्रउलर्सलाई रिडाइरेक्ट गरेर प्रयोगकर्तालाई जुन लिङ्कमा पठाउनु पर्ने हो, त्यही लिङ्क राख्ने अनुमति  दिन्छ ।

सामान्यतः पीएचपी स्क्रिप्ट if statement बाट सुरु हु्न्छ । जसले एचटीटीपी हेडरमा युजर एजेन्ट स्ट्रिङको टेक्स्ट "facebookexternallink" छ वा छैन भनी जाँच गर्छ । यदि छ भने, उक्त स्क्रिप्टले हेडर फङ्सन () प्रयोग गरी क्रउलरलाई “https://www.techpana.com/2023/142047" लिङ्कमा रिडाइरेक्ट गर्छ ।

तर, यदि युजर एजेन्ट स्ट्रिङमा "facebookexternalhit" छैन भने, स्क्रिप्ट else-statement मा प्रवेश गर्छ र जुन पेजमा प्रयोगकर्तालाई पुर्‍याउनु पर्ने हो त्यहाँ त्यही एचटीएमएल पेज देखाइन्छ । यहाँ फेसबुकमा कुन पोस्ट देखाउने र भित्र गएपछि कुन लिङ्क खुलाउने भन्ने कुरा तय गरिन्छ ।

समग्रमा भन्नुपर्दा यो लेख प्रयोगकर्तालाई फेसबुक क्रउलर्स रिडाइरेक्ट गरेर मानिसहरूलाई नक्कली प्रिभ्यु वा फिशिङ लिङ्कमा पार्ने सम्भावित जोखिमबाट सचेत गराउन लेखिएको हो ।

पछिल्लो अध्यावधिक: बैशाख २२, २०८० ९:११