社群媒體是一把雙面刃,享受分享樂趣的同時,也要記得保護自己,避免遭受惡意濫用社群平台的影響。如果你是企業員工,分享前更需三思,因為任何一名員工都可能成為企業級攻擊的切入點。
社群媒體已經是人們生活中不可或缺的一部分,成為我們取得資訊或與人互動的主要管道。疫情爆發更是加深了此一狀況,檢疫隔離、在家工作(Work-From-Home,WFH) 讓人們更加依賴社群平台作為與世界其他人主要聯繫的方式。這也導致了人們分享的資訊量暴增。
感謝這些社群平台帶給我們的好處,也該提醒大家如何安全地使用社群平台的建議。
在社群媒體上的發文不一定只有你的聯絡人可以看到。根據你的帳號設定,這些內容也可能被其他人,甚至所有人看到。而且不只是你自己的發文,還包括你被標記在內的留言或照片、你參加的群組或關注的興趣。
知名壽司品牌年初舉辦「愛的迴鮭,尋人啟事」,公告在活動期間,來店者只要姓名讀音與「鮭魚」相關便可獲得折扣,引起這波「鮭魚之亂」的是名字如果完全同音同字則享有整桌免費的優惠。此消息一出雖被批評沒誠意,因為「誰會真的叫鮭魚?」但事實證明,全台超過225人被「鮭化」紛紛前往戶政事務所改名。一夕之間多「X鮭魚」身分證在新聞版面中露出。
台中一名男大生,拿到「張鮭魚之夢」新的身分證後,戶政人員告知他:「你已改名三次,不能再改了」,讓他當場慌張傻眼。「人民一生可有3次改名機會,但即使之後將名字改回,改名還是會在戶籍謄本留下一輩子紀錄,之後如果找工作,需要提供戶籍謄本時,公司就會看見曾經的改名紀錄。」除了戶政事務所提醒之外,我們也要提醒大家,將身分證、駕照、身分證、信用卡等照片上傳網路會有哪些隱私風險,本文介紹七個聰明分享原則,保護個資不被貼文出賣,「鮭組駭了了」,避免逞一時PO 文分享之快「血本無鮭」。
在網路上可以輕易地搜尋到駕照,身分證,信用卡等照片,中外皆然,尤其是初次拿到駕照的朋友,總是迫不及待地拍照上傳,現在社交網站與智慧型手機大受歡迎,可以隨時拍照隨時上傳,更使得這個不經意的動作充滿個資外洩的危險性。 拿到駕照的第一天,台灣也有很多網友把它放網路昭告世人
根據報導,有人一時興起將朋友貼在臉書上的登機證截圖,上傳一個免費條碼解讀網站,結果發現不少個資在上頭;也有人把從機場垃圾桶撈出的登機證做實驗,果然獲得乘客的護照號碼和出生年月日等資料,很快就在網路上找到這名乘客的住家地址。
根據研究機構 – Pew Internet and American Life project 一項關於手機使用的研究,有82%的受訪者表示會使用手機拍照,80%用來收發簡訊。這些是目前手機最常被用到的用途,如果在一個陌生的地方而有網路連線,56%的受訪著表示會去使用。
雖然這研究的對象是18歲以上,但是青少年的趨勢跟態度也大概差不多。根據Pew研究機構,有超過75%的青少年擁有手機,其中有一半平均每個月會發送一千五百則簡訊。
社群網站的成長和全球影響力證明了我們愛跟其他人分享,大概就跟我們愛用手機的程度一樣。唯一可以超越這兩件事的,或許就是同時使用它們。
使用行動社群應用程式非常簡單,像是Facebook、Twitter、Instagram和Tumblr。我們可以馬上將所看到的事物捕捉起來,然後立即跟朋友和家人分享,這真是件了不起的功能。只要一點就有一張照片,而且還會有一大堆的觀眾。
比方說珊迪颱風在 Instagram上有大約130萬張照片被標記了關鍵字#sandy(珊迪)。這些都是被大眾所拍攝並跟全世界來分享,所以其他人可以看見發生了什麼事,如此近距離且幾乎即時。
這也是另一個證明社群媒體的有效性和可用來行善的光輝榜樣。
但相同的工具也可能被誤用,反而傷害到使用它的人。
趨勢科技的研究人員一直在追蹤目前全世界年輕人將他們的新駕照、信用卡和金融簽帳卡拍照並傳上網路給大家看的這趨勢。帳戶號碼和家庭住址都清晰可見。只要做個簡單的搜尋就可以在網路上找到一大堆,比如底下這張已經被我們馬賽克後的照片。
這些照片很可能會被有不良企圖的人看到,像是被身份竊賊、跟蹤狂和其他犯罪分子拿來做惡意用途。
我們還不能確定這是不是個很大的趨勢 – 我們當然希望不是 – 但這是個危險的行為。也是另一個例子告訴我們需要在提供青少年新技術前,要先教導他們如何安全、負責任地使用。 繼續閱讀
之前 IG 竊取帳號的手法是發出網路釣魚電子郵件要求使用者必須確認其帳號才能得到驗證徽章。目前新的手法是透過 Instagram 平台內的私訊,宣稱是由 Instagram 說明中心所寄出,指出受害人違反著作權,帳號將遭刪除,但可點選訊息中的上訴表單連結,但實際上卻會掉入網路釣魚陷阱。
去年趨勢科技發現了一些攻擊案例,專門竊取名人的 Instagram 帳號。現在,再次出現另一種手法類似的攻擊,但這次使用了新的誘餌來達到相同的目的。駭客將憑證網路釣魚電子郵件偽裝成 Instagram 發出的合法訊息,進而盜取 Instagram 帳號。
這群駭客專找一些尋常的目標下手,像是名人、新創企業業主,以及在社群媒體平台上有廣大追蹤者人數的其他實體等。我們先前曾研究過攝影師遭駭的案例,這次則是一位有超過 16,000 名追蹤者的警官受害,在此案例中我們發現了新的駭客伎倆。
這些受害者除了使用個人的社群媒體帳號,也利用 Instagram 頁面作為發揮影響力和企業經營的行銷工具。擁有龐大追蹤者人數的 Instagram 帳號,代表其擁有更高的可信度和影響力。因此這些帳號自然成為吸引攻擊者下手的目標,他們利用這些帳號進行各種惡意行為,像是勒索被害人、散佈詐騙,或甚至單純用來炫耀他們的駭客技術。
先前的手法和新手法都採用相同的策略:先竊取憑證,然後利用憑證濫用 Instagram 的帳號復原流程,進而取得帳號。
上次的攻擊行動使用電子郵件要求使用者必須確認其帳號,使用者才能得到驗證徽章。但在使用者點選「驗證帳號」按鈕後,卻會連到網路釣魚頁面,這些頁面將收集他們的電子郵件地址、憑證和出生日期。竊取到這些資訊後,攻擊者便能取得修改資訊所需的一切詳細資料,進而取得遭竊的帳號。
在新的手法中,訊息並非透過電子郵件發送,而是透過 Instagram 平台內的私訊提供。訊息宣稱是由 Instagram 說明中心所寄出,指出有人指控帳號擁有者違反著作權,因此其帳號現在有遭刪除的風險。訊息中還會提供另一個連結,偽裝成可提出上訴的表單,但實際上卻是網路釣魚連結。
繼續閱讀雙因子身份認證(2FA)早已成為使用者提升網路帳號安全一個非常簡便好用的方法。但即使這樣,雙重認證卻無法百分之百防範駭客的攻擊。事實上,網路犯罪集團正利用雙重認證通知簡訊來詐騙 Instagram 的使用者,目的是要騙取使用者的帳戶登入憑證。
[延伸閱讀:Machine learning-powered security technology can help stem the tide of credential phishing]
這起相當奸詐的網路釣魚攻擊會先發送一封電子郵件給受害者,告知其 Instagram 帳號出現非法登入活動。要受害者透過該連結至 Instagram 的網頁來確認其身分,點進去後,會導到看似IG 官網的釣魚網站,並假裝雙重認證要求輸入6 位數驗證碼。
儘管歹徒費盡心機地模仿了 Instagram 的網頁,但其網址還是透露出這是一起網路釣魚詐騙,因為該網址的頂層網域名稱為「.cf」,這是中非共和國的網域代碼, IG 正確官網網址:https://www.instagram.com。
還有另一個詐騙徵兆是該網頁並未提供透過 Facebook 登入的按鈕。但如果平常就不用 Facebook 帳號來登入 Instagram 的使用者,或許不會注意到這點。
社群媒體名人藉著真實、不造作的自我風格,開創出屬於自己的品牌和事業。然而這些名人卻很容易吸引駭客目光,成為駭客彼此競爭的犧牲品。一名擁有 15,000 名 Instagram 追隨者的女攝影師,就是這樣的一位受害者,其 Instagram 帳號被駭客盜取之後便一去不復返。
趨勢科技深入研究該事件之後發現,駭客是藉由網路釣魚(Phishing)的手法入侵這名攝影師的 Instagram 帳號。這樣的犯案手法看起來似乎沒什麼稀奇,但值得注意的是,我們發現有某個土耳其駭客集團專挑 Instagram 名人下手。他們在盜取帳號之後,反過頭來利用 IG (Instagram )的帳號復原機制,讓受害者無法藉由帳戶復原程序救回被盜的帳號。我們已看過好幾個 15,000 至 70,000 名追隨者不等的 Instagram 帳號在被盜之後救不回來。受害者包括:知名演員、歌手,以及攝影器材出租公司老闆等等。
不僅如此,駭客還會趁機進行數位勒索,當受害人試圖與駭客聯繫想取回帳號時,駭客就會向受害者勒索贖金、裸照或類似影片。當然,駭客從不兌現承諾。事實上,這些專挑社群名人帳號下手的攻擊,完全印證了我們2019資安預測報告報告所言。
我們在分析駭客的網路釣魚套件時發現,該套件的下載點無法使用 wget 下載,我們最後是透過偽造瀏覽器 User Agent 設定的方式才下載到該套件。駭客的攻擊程序首先是利用一封假冒來自 Instagram 的網路釣魚郵件。該郵件要求受害者必須驗證其帳號以取得驗證標章來放置在 Instagram 個人檔案上。請注意,Instagram 對這項驗證有一定的要求,而且須使用者主動要求驗證才會啟動這項程序。此外,Instagram 更不會透過電子郵件向使用者要求提供帳號登入憑證。
當使用者按下「Verify Account」(驗證帳號) 的按鈕時,就會被帶往一個網路釣魚網頁,該網頁會要求使用者輸入自己的生日、電子郵件和登入憑證。當我們第一次看到這個網頁時,其資料輸入欄位並無任何資料檢查機制,如果我們完全不填寫任何資料就按下送出按鈕,會再回到同樣的畫面。不過歹徒後來就加入了一些基本的資料檢查,以防止使用者送出空白表單。
此外,受害者也會被要求輸入電子郵件的登入憑證。當使用者送出資料之後,就會看到驗證完成通知,不過只有短短的四秒。這是為了讓使用者以為自己的個人檔案已通過驗證。駭客一旦取得受害者的登入憑證並進入受害者的 Instagram 個人檔案及電子郵件信箱之後,就會將一些復原帳號時所需的資訊改掉。
過一會兒,網路釣魚頁面就會再將使用者帶回 Instagram 官網,這是網路釣魚常用的一個技巧。如果受害者的瀏覽器已儲存了 cookie 並登入了 Instagram,那就會直接前往個人首頁。由於我們是在一個乾淨的環境當中測試這個網路釣魚套件,因此我們只前往到 Instagram 登入畫面。
我們仔細研究了一下受害案例以了解歹徒的犯案動機和模式。在某個遭入侵的 Instagram 個人檔案中,駭客將受害者的使用者名稱改成「natron_raze」,這可能是用來標記該帳號已經駭入。此外,與帳號連結的電子郵件地址也被改掉。一段時間之後,電子郵件就會更換一次,其用意是要讓受害者多收到幾封 Instagram 安全機制所發出的電子郵件變更確認信件。同時,駭客還會故意破壞偷來的 Instagram 個人檔案來引起被害人注意。
受害者的 Instagram 帳號一旦被盜之後,該帳號馬上就多出一些追隨者。有些追隨者是假帳號,有些是先前遭駭客集團盜取的帳號,有些則是駭客自己的帳號。但我們發現,在一段時間之後,駭客會將自己的帳號從追隨者的名單中移除,但也有一些會再出現。這有可能是因為駭客覺得自己的犯案手法可能已被監控。
在某個案例當中,我們發現駭客集團向被害人要求支付一筆贖金,或提供一些裸照或類似影片,否則被盜的帳號將一去不復返。此外,駭客還會刻意竄改受害者的個人檔案以炫耀自己駭入了該帳號,如圖 4 所示。
我們試著搜尋「Hesap Ebedi」(土耳其語,意為「帳戶永恆」) 一詞的相關資訊之後發現,某個駭客網路論壇上有人在討論該如何修改偷來的帳號才能讓原本的持有人無法救回帳號 (甚至經由 Instagram 的帳號復原程序也不行)。
我們已將我們研究發現通報給 Facebook 和 Instagram,不過截至本文撰稿為止,仍未收到相關回覆。
在前述案例當中,歹徒利用個人檔案上的藍色驗證標章來當作誘餌,吸引受害者主動提供自己的個人資料。而其電子郵件也精心仿冒了 Instagram 電子郵件的樣式以便看起來更加真實。以下是一些使用者和企業皆應該小心提防的網路釣魚徵兆:
趨勢科技產品能讓使用者和企業偵測惡意檔案及垃圾郵件,攔截相關的惡意網址以防範網路釣魚攻擊。
🔴個人用戶:
請使用趨勢科技PC-cillin 2019 雲端版
狂賀! PC-cillin 雲端版榮獲 AV-TEST 「年度最佳防護獎」 😃|
》立即免費體驗 AV-TEST 認證最棒的防毒軟體
🔴企業用戶:
請使用Smart Protection Suites 和 Worry-Free Business Security
入侵指標 (IoC):
網路釣魚攻擊相關的IP 位址:
網路釣魚攻擊相關的網址:
原文出處:How a Hacking Group is Stealing Popular Instagram Profiles 作者:Jindrich Karasek 與 Cedric Pernet (威脅研究員)
