這則報導李宗瑞影片 千名公僕上鉤,以”「李宗瑞影片,趕快下載呦!”為標題發出測試信,近千名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課,可見人性真是沒有修補程式的漏洞啊!社交工程陷阱( Social Engineering)以好奇心為餌,歷久不衰。
員工點了一封測試信,有這麼嚴重嗎?以下的影片(10分:22秒)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例,標題包含:
“看了這個文章多活 10 年”
“新年度行政機關行事曆”
如果你還影興趣可以看看駭客入侵模擬(20分:20秒)
如果你沒時間看完全文,請先花幾秒鐘,將你的滑鼠移到下面三個看似 “Google “的連結,再看看瀏覽器左下方的真實連結:
(3)click here to go to Google(按這裡去Google)
這就是一般網路釣魚常用的陷阱,如果你沒有使用可以阻擋惡意連結的防毒軟體 ,又常常管不了自己的好奇心,而點選facebook Security 通知信:你的帳號從不明位置登錄,已經被鎖定;朋友推薦的WhatsApp for Facebook版 ,不疑有他立即按滑鼠; 因為看到免費而點選的假星巴克Starbucks 網路問卷…等等,這個簡單小動作,可以降低你成為網路釣魚(Phishing)受害者的機率。
根據Dark Reading的文章 – 「Study: Phishing Messages Elude Filters, Frequently Hit Untrained Users(研究:網路釣魚(Phishing)郵件避開過濾軟體,經常命中未經訓練的使用者)」,還是有許多人被網路釣魚(Phishing)郵件給攻擊成功了。
該文章總結了在2012年7月舉行的Black Hat USA安全大會上所做的調查。有250個與會者進行了投票,69%的人表示每週都會有網路釣魚(Phishing)郵件進入到使用者的信箱。超過25%的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。
許多網路釣魚(Phishing)郵件並不難被察覺,但如果你不知道該注意什麼,那就很可能會被輕易的釣上。
簡單的說,網路釣魚(Phishing)就是想要透過電子郵件或社群媒體來獲取你個人資料的詐騙。有了你的信用卡號碼、銀行帳戶資料或社群媒體帳號資料,壞蛋們就可以偷走你的錢,並且將網繼續撒向你網路上的其他朋友。
https://www.google.com居然連到 Yahoo!?
防止網路釣魚找上你四步驟
以下是我檢查是否為網路釣魚(Phishing)的清單,以及該做和不能做的事情。有些建議來自Jason Hong(卡內基美隆資工系的助理教授)的文章 – 「The State of Phishing Attacks(關於網路釣魚)」,和微軟Security and Safety Center網站上的「How to Recognize Phishing Email Messages, Links or Phone Calls(如何識別釣魚郵件、連結或電話)」 。
1.點選連結前,先移動滑鼠檢查真實來源
大部分的網路釣魚(Phishing)訊息都希望讓人進入會收集個人資料的惡意網站。現在這些電子郵件或其他形式訊息都是用HTML格式,所以可能會讓你在不知不覺下連到惡意網站。因為每個連結都有可能出現和實際網址不符的文字。
例如,以下連結似乎都指向Google:
(3)click here to go to Google(按這裡去Google)。
上述網址只有第一個連結會將你帶到Google,另外兩個都會將你帶到Yahoo。將滑鼠箭頭停在這些連結上,你可以在左下方瀏覽器狀態列上看到他們的實際網址(通常在瀏覽器或電子郵件軟體視窗的底部)。
Facebook Security 出現網路釣魚假網站
Facebook Security 是 Facebook 的一個官方網頁,專門用來提供與使用者相關的安全資訊,但現在卻出現專門利用這個網頁名義的網路釣魚攻擊。
趨勢科技發現有個詐騙攻擊目前正在Facebook上出現。值得注意的是,這次詐騙的誘餌是利用知名手機傳訊軟體 – WhatsApp。當你看到朋友在Facebook發出使用”WhatsApp for Facebook”的訊息,千萬不要好奇也跟進點選該冒牌程式的授權要求,以免更多垃圾訊息在你和朋友間流傳。根據趨勢科技表示,這個網站最終會引導到星巴克等問卷調查網路釣魚(Phishing)(就是詐騙網頁)要求使用者輸入手機號碼,在過程中就會訂閱使用者並不需要的廣告訊息服務。這會讓使用者付出額外的費用給這些他們並沒有要求的服務。
這次詐騙攻擊就像是典型的騙局:使用者會被導到假WhatsApp Facebook頁面,並要求使用者的授權。一旦應用程式獲得所需權限,就會秀出其他看來使用WhatsApp應用程式的Facebook使用者,通常是受駭者自己的好友。
有趣的是,使用者會被導到看來是針對行動用戶所做的使用者協議網頁。這網頁會出現各種不同行動作業系統的圖示,讓它看起來更像是正常網頁。
當使用者同意並授權給這應用程式後,接著會根據受駭者的位置而將其導到不同網頁。對於位在美國、澳洲、紐西蘭、德國和英國的使用者,他們會被導到假的星巴克禮物卡網頁。而其他國家的使用者則會被導到不同的網頁:
如果你要更進一步就得完成所謂的問卷,這些問卷內容其實就是進一步騙取你訂閱手機簡訊服務。
趨勢科技主動式雲端截毒服務 Smart Protection Network可以保護使用者免受此種威脅,阻止使用者連上問卷調查詐騙網站。因為有超過九億的使用者,Facebook自然而然會成為這些詐騙攻擊的目標。想要了解更多關於如何保護自己,免受這些威脅(尤其是問卷調查詐騙)所駭的資訊,可以參考我們的常見問題集 – 針對社群網站用戶的問卷調查詐騙。
趨勢科技之前曾經報導過假Android應用程式網頁會偽裝成受歡迎的手機軟體,像是Instagram和Angry Birds Space憤怒鳥星際版/太空版。但這次的新騙局顯示它不會跟之前一樣,在Facebook上散播通往假Android應用程式的連結。
@原文出處:Scam Disguised As WhatsApp for Facebook
@延伸閱讀
Facebook詐騙不再來:PC-cillin 2012 雲端版自動掃描臉書塗鴉牆,惡意連結一目了然
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
[ 社交網站安全指南 1 ] 你忘了三年前上傳的圖片,駭客卻記得
[ 社交網站安全指南 2 ] 可在 Facebook 使用的Email 帳號黑市價碼較高
[ 社交網站安全指南 3] 不會對電話詐騙者回答的私人問題,也不要公開在社交網站(減少社交網站風險的四個方法)
【立即下載試用PC-clin 2012 雲端版 臉書地雷區 bye bye~】
◎ 免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻【按這裡下載】
@參考推文
雲端系!史上最強防毒軟體現身
看更多<PC-cillin真的不一樣>100字推文
◎ 歡迎加入趨勢科技社群網站
最近李宗瑞與女明星偷拍事件,隨著不雅照曝光,關係人忐忑不安,小編提醒大家前幾年爆發的前女主播性愛光碟偷拍事件,被病毒廣為利用,以「如果偷拍光碟出DVD版」「第二集男主角是誰?前後五分鐘!!價值700萬??」…等標題吸引網友點擊,也提醒大家跪求下載點時請不要以身試法淫照網上流傳 散布可囚兩年。在網路上搜尋相關新聞時,也要小心 Black_Hat SEO 搜尋引擎毒化 手法,2011 年四月這則新聞陸網友受不了!下載《肉蒲團》全遭駭 , 話說許多大陸網友要趁「五一假期」組團赴港、台觀賞《3D肉蒲團之極樂寶鑑》(因為大陸沒上映),擋得住電影上演卻檔不住大陸網友在網路上熱搜,不過在下載一個「完整版下載」的檔案時卻慘遭木馬程式入侵,導致電腦中毒。報導說估計約有十萬網友受到「肉蒲團的木馬程式」入侵。
◎提醒大家:不要因為好奇心,讓電腦和自己都被害/駭
*網友點閱李宗瑞不雅淫照 小心中毒
*刊登淫照 記者列被告
*李宗瑞粉絲團擅自PO照,玩笑開過頭 可能觸法
言歸正傳,這幾天的新聞讓小編想到這篇報導:攝影機遭遠端遙控 女子裸照PO上網 ,大意是說一名男大學生入侵某女子的電腦,再透過木馬程式網路遠端遙控,開啟女子電腦上的攝影機,並將該女子全裸出浴過程記錄,還入侵受害人部落格,將全裸影像上傳。其實這不是新病毒,早在2005年趨勢科技就曾發佈相關的狗仔病毒(WORM_RBOT.ASH),當時並沒有造成大流行。但隨著 Web 2.0時代來臨,這類病毒也開使用網頁來進行犯罪,而且兩岸華人都相繼傳出案例。
比如2007年中國浙江省也有一名男子利用木馬病毒,遙控一名美女在電腦架設的網路攝影機鏡頭(web cam),拍下她脫衣服的影片。這名男子食髓知味竟把影片裸照回傳給這名女子,要求她再脫一次。最後女子報警,這位半年內入侵百部電腦的男子終於被警方逮捕。在這個案例中,駭客遙控偷拍過程如下:
1.在特定網頁上植入木馬
2.受害者點選特定網頁後中毒但不自知
3. 駭客遙控受害者的網路攝影機並錄下裸照影片
由於這種利用病毒偷窺隱私的行徑,都是在背景執行,一般使用者很難察覺。再加上網路攝影機型號的不同,當病毒啟動攝影功能時,不見得會出現音效或燈號來提醒。有些筆記型電腦,內建的 WebCam 可隨時啟動,使得病毒傳播的機會大增。
網路上有幽默的網友提出忠告:「做愛前請戴保險套,前戲前請關電腦」(>”<|||| )。小編也想到的一些方法如下:
