社交網站成黑客攻擊與個人資料外洩平台
隨著 Facebook、Twitter 等社交網站與工具的普及,人與人的網上互動已因不受時空限制而越趨緊密。研究發現,社交網站 Facebook 的會員人數已突破五億人,Twitter 獨特的 140 字元微博更成為網絡使用者自由發揮的空間。根據趨勢科技的研究報告指出,社交網站因其熱門程度、高度開放性與互動性而成為人際社交新寵、行銷新工具,但同時也讓個人私隱於平台上無所遁形,成為網絡黑客攻擊主要目標。
針對不同社群平台模式,不同的攻擊方式亦應運而生:
按「讚」(Like) 即遭感染:黑客運用引人注意的貼文當誘餌,當使用者受到誘騙,對含有惡意程式的貼文按下「讚」(like) 時,貼文中隱含的惡意內容 (Script) 會自動轉貼連結於他人的塗鴉牆。典型的手法包括利用季節性的事件,名人新聞甚至是災難消息來發表吸引人的貼文。使用者一旦點擊連結,無意中也讓自己變成攻擊幫兇。近來流行的攻擊方式是讓使用者於不知情的狀況下對某些網頁按「讚」(Like),惡意內容將使用者導向偽造的 youtube 網頁,使用者點選 youtube 影片後會跳出問卷頁面,一旦使用者點選或填寫任何資訊於此頁面,含有此仿 youtube 的貼文將會自動且重複地張貼於使用者的 facebook 頁面上。
流氓應用程式:Facebook 這個開放式的平台允許任何人隨意開發應用程式。應用程式讓使用者可以玩遊戲以及增加不同類型個人資訊,增加 Facebbok 的娛樂性。當然黑客們也會利用這個機會開發流氓應用程式,發布垃圾訊息或進行網絡釣魚攻擊 (Phishing)。
聊天室攻擊:Facebook 的聊天室功能讓用戶和黑客都更容易與聯絡人建立對話作即時訊息傳播。在一些攻擊案例中,聊天訊息被黑客用於散播惡意程式和宣傳網絡釣魚應用程式 。
垃圾訊息及下載惡意程式:該類攻擊的流行程度已衍生出 Twitter 專用的黑客工具套件。黑客運用 Twitter 微博的字數限制特性,散布簡短卻引人注目的訊息,根據觀察,優惠券、招聘廣告和推薦神奇的減肥產品為最常被利用來引誘網友點選的三大主題,值得注意的是,此類訊息中通常含有惡意程式,將用戶導向特定網站,目的是竊取用戶個人資訊。
除了發送垃圾訊息外,黑客並利用 Blackhat SEO (黑帽搜尋引擎最佳化)手法,當用戶點選 Twitter 訊息內的網址後,即可能感染 FAKEAV、後門程式、會自動散發訊息給朋友的蠕蟲等。
Twitter Bot:黑客還利用 Twitter 發展出管理和控制殭屍網絡的方法。例如,黑客透過 Twitter 散播一隻名為 WORM_TWITBOT.A 的病毒,殭屍網絡的管理者可以透過 Twitter 帳號發出命令來控制被 WORM_TWITBOT.A 所感染的電腦,將受感染電腦的 IE 頁面導向另一個黑客指定的網頁,以下載其他惡意程式。
不論是利用 Facebook 或是 Twitter 進行攻擊,一旦黑客獲得使用者帳號,便很容易透過此帳號獲得更多其他用戶的資訊,資訊竊取與帳號盜用將如骨牌效應般產生。與傳統詐騙方式比較,利用社交網站資訊來獲得組織內部運作模式與機密,遠比想像中更容易。
避免黑客攻擊與個人資料外洩
1. 基本的網頁和電子郵件過濾措施
用戶必須對假冒知名社交網站名義的假訊息提高警覺。當瀏覽其他人的個人資訊或網頁時更要緊記並非所有網頁都是安全的。黑客們正潛伏在虛擬角落等待機會攻擊。
2. 上網 = 公開,透露個人資料前請三思
用戶應有「任何發布到網上的訊息都是公開的」的心理準備。使用者還應避免通過社交網站的個人訊息或聊天室分享敏感的業務資訊,因為一旦帳戶被入侵就很容易導致資料洩漏。
3. 了解社交網絡平台保安設定 使用保安連結功能
用戶需了解所使用的社交網站保安設定。例如,Facebook 允許用戶設定哪些人可以看到那類資訊,並在 Facebook 和 Twitter 開啟使用保安連結 (HTTPS) 的選項,透過加密達到多一層的保護效果。
社交網站的攻擊手法大致上不離社交工程陷阱與假冒知名社交網站發送藏有惡意連結的郵件等。用戶除應對發布個人/機密資訊於社交網站上更有警覺心外,亦可透過防毒軟件提升網絡使用的安全性。
1 Response
[…] 社交網站成黑客攻擊與個人資料外洩平台 […]