自我介紹
connielee

臺北市立陽明高中
資訊科技概論教師

search
calendar
« 元月 2020 »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
近期文章
文章分類
網站連結
文章彙整
Syndicate
Credits
LifeType IE7 XHTML CSS Firefox

« | »

【轉貼】病毒最愛在Facebook做的12件事

2009-10-28 @ 01:08 in ⓣ教材研究

以下全文引自: 網路資訊雜誌

Facebook 是當今最受歡迎的社交網站之一,可讓使用者聯絡親友、上傳照片、分享連結與影片。它是由 Mark Zuckerberg 就讀哈佛大學時所創辦。根據Wikipedia 解釋Facebook 免費社交網站的名稱取自美國某些大專院校或預備學校發給新生、新聘教授或新進職員的一本名冊,這本名冊就叫 Facebook,是新鮮人認識校園內其他成員的一項管道。目前 Facebook 有效使用者人數超過 1.75億。因此也成為病毒覬覦的對象。

以下是趨勢科技 TrendLabs 偵測到與 Facebook 相關的網路威脅,並歸納出這些利用Facebook 名義,常用的社交工程技巧:

Facebook 相關病毒 常用的社交工程技巧

1. 自 Cookie 檔案中搜尋與 facebook 相關字串
WORM_KOOBFACE.EWORM_KOOBFACE.D 會在中毒電腦上的 cookie 檔案中搜尋與 Facebook  相關的特定字串。 一旦找到,這些蠕蟲就會利用 cookie 中的登入資訊存取使用者的個人資料檔案,並且在中毒使用者的個人資料檔案中加入一些指向自己的連結,引誘使用者點選。這一系列的惡意程式雖然是在 Facebook 上首見 (也是名稱由來),但其變種與手法也曾經出現在其他社交網站,如 Friendster

2. 破解 Facebook 帳號 冒名發送「有人講你壞話」訊息
根據通報,已有遭破解的 Facebook 帳號親友收到包含惡意程式連結的垃圾訊息。這些訊息會佯稱有人在部落格上詆毀收件人的名譽。一旦點選了訊息所宣稱的部落格網址,就會下載一個趨勢科技所偵測到的 TROJ_AGENT.ASLV 檔案,此檔案會進一步下載 TROJ_DROPPER.FI 木馬程式。TROJ_DROPPER.FI 會再下載其他惡意檔案到遭感染的電腦。

3. 傀儡網路冒 FBI 之名調查 Facebook 恐怖份子
根據流傳的一項垃圾訊息指出,FBI 正在調查 Facebook 可疑的恐怖份子。使用者若點選此訊息內的連結,就會連上一個網站,此網站會叫使用者下載一篇有關這項調查的文章。而下載到的檔案其實是趨勢科技所偵測到的 TROJ_NUWAR.DDJ 木馬程式。

4. 朋友在 Facebook 留言:「你被偷拍 Po上網了」其實是 趁機蒐集電子郵件地址
一封假冒使用者聯絡人所發出的訊息,告訴收件人在某 URL 上張貼了收件人的一張照片。 使用者一旦點選了指定的 URL,就會連上一連串的網站,並且要求使用者輸入電子郵件地址。接下來,就會顯示所宣稱的照片,但照片內容其實是一隻猴子。然後網站會告訴使用者可以將這個「玩笑」再傳給其他好友。

5. 新的 Koobface 好友傳來的精彩影片連結,要觀賞先下載病毒

遭到鎖定的使用者會收到假冒的已知 Facebook 聯絡人所送來的訊息。此訊息內含一個連結指向與 YouTube 網頁長相一模一樣的網頁。 這個網頁會要求使用者必須下載 Adobe Flash Player 才能觀賞影片。

使用者若點選安裝按鈕,將重導到另一個網站去下載 setup.exe 檔案,此檔案其實是新的 Koobface 變種WORM_KOOBFACE.AZ

此網站的 IP 保守估計已經發現 300 多個提供 setup.exe 檔案的不同 IP 位址,數量預料還會繼續增加。 此蠕蟲會使用蒐集到的登入資料連線到對應的網站。 接著會搜尋中毒使用者的親友,並且將包含此蠕蟲下載連結的訊息寄給這些親朋好友。此外,此蠕蟲還會連線到好幾個伺服器來傳送並接收中毒電腦的資訊。如此,駭客就能在中毒電腦上執行一些指令。所有提供此惡意檔案的網站 IP 位址現在都已被歸類為 HTML_KOOBFACE.BA 惡意網址。根據趨勢科技工程師所做的分析發現,WORM_KOOBFACE.AZ 也會透過其他社交網站流傳。 它會優先搜尋以下網站的 cookie:

facebook.com

hi5.com

friendster.com

myyearbook.com

myspace.com

bebo.com

tagged.com

netlog.com

fubar.com

livejournal.com

6. 「新增好友」邀請函陷入陷阱的第一步,使用者會收到冒名的「新增好友」邀請函。

這封邀請函會指向一個假的登入網頁,其實這是網路釣魚者用來取得登入資料的網頁。 這項攻擊還隱藏另外一招,就是宣稱邀請函的附件檔案是「好友」的照片。 但此附件其實是一個惡意檔案。

7. 網路釣魚者冒名 Facebook 盜用帳號

這個與真正的 Facebook 登入網頁非常相似的網頁,會請使用者輸入電子郵件地址與密碼來登入自己的帳號。一旦資料輸入完畢,使用者就會被導回真正的 Facebook 網站,不讓使用者發現帳號已經被偷。

8. 某人已經把你加入好友,阿~是病毒

一封假造的訊息會告訴收件人,某某某已經將收件人加到自己的社交圈。 此訊息宣稱電子郵件當中的附件就是這位好友的照片。而隨附的 .ZIP 檔案當中並沒有所宣稱的照片,而是一個名為 picture 的執行檔,也就是我們所測到的 WORM_AUTORUN.EAT 蠕蟲。WORM_AUTORUN.EAT 可能會在中毒的系統上安裝其他惡意檔案。 而且也會將自己安裝到所有實體磁碟與可卸除式磁碟上。

9. 偷資料的到底是假 Twitter 還是 Facebook?

這項攻擊橫跨了兩個社交網站:Twitter 和 Facebook。 攻擊時先透過 Twitter 來散發連結,再透過假造的 Facebook 登入網頁竊取資料。網路犯罪者利用 Twitter 直接訊息功能的漏洞,透過訊息告訴使用者在另外一個網站上張貼了使用者的照片,並且提供連結供使用者點選。訊息所提供的連結,其網域看似與 Twitter 有所關聯。 但奇怪的是,當使用者點選此連結時,會被導向一個幾可亂真的假 Facebook 登入網頁。 在這網頁上所輸入登入資料將會遭到記錄並竊取。 為了不讓使用者發現,網路釣魚者還特別設計好像在處理送出資訊的網頁。 一旦資料送出,就會顯示錯誤訊息,並且載入真正的 Facebook 網站,就好像什麼也沒發生一樣。 惡意應用程式

10. Facebook Secret Crush 程式現出原形

• 2008 年初Facebook 上一個名為 Secret Crush 的應用程式被發現會在使用者的系統上載入廣告程式與間諜程式。此程式會載入一個淵源於 Zango 的廣告/間諜程式,這是歷史上有名且專門破解特定遊戲、數位版權管理 (DRM) 防拷影片以及軟體的廣告程式與間諜程式。 目前大約有 4% 的 Facebook 使用者已經加入了此應用程式,受影響的使用者大約一百萬人。

11.病毒幫Facebook發送 的「檢視錯誤訊息」通知

• 在 Facebook 上出現了一個意圖極端不良的應用程式,叫做 The Error Check System。此應用看似無害,但卻散播得很快、很廣,而且會在散播過程中蒐集數千筆、甚至數十萬筆個人資料。

正常來說,當 Facebook 應用程式需要存取個人資料檔案的內容時,必須先取得使用者允許。但「錯誤訊息」應用程式卻刻意不在訊息中提到存取使用者資訊與好友清單需經過使用者允許。當這個應用程式在 Facebook 上蔓延的期間,Google 搜尋網站還發生了另一個有趣的插曲。 若輸入「Error Check System」這個字串進行搜尋,搜尋結果還會指向真正的惡意程式與惡意防毒程式。顯然,這個 Facebook 應用程式的目的除了竊取個人資料檔案內容之外,還希望透過 Google 將人們導向虎視眈眈的危險連結。 這似乎也算是另一種透過搜尋引擎最佳化 (SEO) 的毒化技巧。

此應用程式會發出通知訊息給 Facebook 使用者,告訴他們「有好友在查看其個人資料檔案時遇到問題」,並且提供一個連結讓使用者「檢視錯誤訊息」。此「錯誤訊息」應用程式已更改了正常 Facebook 應用程式安裝畫面的標準內容,如下圖所示,裡面並未提到存取使用者資訊與好友清單需經過使用者允許:

一旦此惡意的應用程式被啟用,或者安裝到系統上,就可進一步取得個人資料檔案的所有內容。此應用程式最後會善意地 建議使用者或許也應該檢查一下好友的個人資料檔案看看是否有問題,這樣就能繼續散播下去。

12.病毒檢舉你違反 Facebook 使用條款

另一個 Facebook 惡意應用程式出現,Facebook 使用者再一次成為網路犯罪者的受害者。 在使用者個人資料檔案內張貼下列通知內容:

(使用者好友清單中的一個名稱) 已向 Facebook 檢舉您違反了我們的服務條款。 – 這是一項正式警告! – [請按這裡查看您為何遭到檢舉!] – 請向 Facebook 查詢事情的原委並立即遵守規範。通知內的連結會指向一個名為 f a c e b o o k – - closing down!!! 的應用程式。 這個程式一旦安裝,就會對使用者好友清單內的朋友發出同樣的垃圾訊息。 此外,還可能在過程當中蒐集個人資料。

以下說明趨勢科技 Smart Protection Network 的三項技術如何保護 Facebook 使用者避免遭到上述攻擊。

目前Smart Protection Network 主動式雲端截毒技術已經可以阻擋使用者存取上述所有的惡意網站,因此,使用者不會感染這些惡意程式。

趨勢科技網頁信譽評等已將上述所有攻擊相關連結都列為黑名單並加以攔截。 Smart Protection Network 主動式雲端截毒技術已經可以偵測所有惡意檔案,並且在發現時立即從使用者的系統移除。

例如:

hxxp:// www.facezbook.com

Hxxp://www.facebook-online.com

hxxp://twitterblogs-access-logins.com

不僅如此,SPN 甚至可在這些垃圾郵件進入使用者的收件匣之前預先加以攔截,讓感染技巧完全沒有機會施展。

» 最後,還有趨勢科技檔案信譽評等可偵測上述攻擊的所有相關惡意檔案,包括:

WORM_KOOBFACE.E

WORM_KOOBFACE.D

TROJ_AGENT.ASLV

TROJ_DROPPER.FI

TROJ_NUWAR.DDJ

WORM_AUTORUN.EAT

除了 Facebook 之外,許多社交網站皆已成為各種惡意攻擊的目標。

惡意攻擊活動鎖定 Orkut 使用者

假造的 LinkedIn 個人資料檔案窩藏惡意內容

「同學會」成了惡意程式的詭計

Friendster 上出現意圖不良的社交行為

像這樣的「朋友」

垃圾郵件散發者也來 Twitter 參一腳

假造的 Bebo 個人資料檔案也一大清早勤發垃圾訊息

網路釣魚者在 Myspace 撒下釣餌

詐騙者湧入 LinkedIn

註: Facebook背景資料

» >70% 的使用者在美國以外地區

» 全球網路流量排名從 2006 年 9 月的第 60 名竄升至 2007 年 9 月的第 7 名;目前第 5 名 (Alexa)

» 有效使用者人數超過 1 億 7 千 5 百萬 (Facebook 背景資料)

» >70% 的使用者在美國以外地區

» 全球網路流量排名從 2006 年 9 月的第 60 名竄升至 2007 年 9 月的第 7 名;目前第 5 名 (Alexa)

根據最近的統計資料顯示,使用 Facebook 的女性多於男性。

» 網站上的女性多於男性 (55.7% 比 42.2%),性別不詳者佔 2.2% (2009 Facebook 族群分析與統計報告)

» Facebook 的族群幾乎所有年齡層都是女性多於男性

» 目前女性佔了 Facebook 使用人數的 56.2%,比去年底的 54.3% 略為上升

» 一半以上的 Facebook 使用者都已離開大專院校 (Facebook 背景資料)

» 最大的族群仍集中在 18 至 24 歲的大專院校學生 (40.8%)

發表迴響
 authimage