Tag-jacking

Tag-jacking is het misbruiken van Facebook's friend-tagging functie om ongewenst materiaal te verspreiden zoals scams, spam of malware.

Mensen gebruiken Facebook's user tagging functie om ervoor te zorgen dat de geïdentificeerde gebruikers bepaalde posts te zien krijgen. Door de naam van een vriend in een bericht of opmerking te typen of een tag aan een foto toe te voegen, wordt een link gemaakt naar de account van die persoon. Afhankelijk van de beveiligingsinstellingen kan de post op de pagina van de gebruiker verschijnen.

Door misbruik te maken van permissieve beveiligingsinstellingen kan een indringer ervoor zorgen dat zijn content in de nieuwsfeeds van de gebruiker verschijnt en mogelijk ook in de nieuwsfeeds van zijn vrienden. Hier volgt een voorbeeld van een tag-jacking exploit: 

  1. De aanvaller krijgt toegang tot een geautoriseerde gebruiker, bijvoorbeeld door het hacken van een account, het maken van een nepaccount of het versturen van vriendverzoeken naar doelgebruikers. 
  2. De aanvaller maakt een post waarin hij groepen mensen tagt die Facebook-vrienden zijn en een soort clickbait gebruikt om de gebruikers te dwingen te reageren. 
  3. Wanneer een gebruiker op de post van de aanvaller klikt, zegt een pop-upvenster dat ze een bestand moeten downloaden om een video te zien. Wat echter in werkelijkheid wordt gedownload, is malware die de aanvaller toegang geeft tot de computer van de gebruiker en identiteitsdiefstal en andere misdrijven mogelijk maakt. 
  4. De aanvaller krijgt ook controle over het Facebook-account van de gebruiker en kan zich vervolgens richten op alle vrienden in zijn netwerk en zo de zwendel laten voortduren.

Het is niet mogelijk om te voorkomen dat mensen je taggen op Facebook, maar je kunt wel getagde berichten bekijken voordat ze in je nieuwsfeed verschijnen. Hoe je tagbeoordeling inschakelt: Klik op "Instellingen" in de vervolgkeuzelijst in de rechterbovenhoek van de Facebookpagina. Klik op "Tijdlijn en taggen" in de linkerkolom. Ensure that the option to review tagged posts before they appear in your timeline is enabled. 

See also: likejacking, clickjacking, likebaiting