FACEBOOK 臉書(fb) - 資安趨勢部落格

三步驟防護Facejacking:即使有人知道你的Facebook密碼，也無法登錄的必學設定

2012 年 05 月 14 日2012 年 05 月 02 日趨勢科技 TrendMicro

有時很難相信，但在許多狀況下，社群網路帳號已經成為了生活的一部分，用來散播許多敏感資訊和個人消息。社群媒體已經迅速地取代了電子郵件和即時通成為這一世代用來聯絡的首選，我們的個人生活和職場生涯可能共存在同一個地方，在某些情況下，裡面不只有我們的訊息，還有曾經年少輕薄的聊天記錄。

我到現在都還清楚記得在那一天，我發現我哥找到並讀了我的日記，他標註我每次打給我女友的那頁，這樣他就可以告訴媽媽，我花了多久時間在手機上。那是我青少年時期最深刻的記憶，因為隱私受到侵犯的憤怒，更別提我還被禁用了手機…（我還保留著那本日記，所以老哥，別想否認這件事）。

無論如何，你可以想見我還是留著那股憤怒，它讓我認為今日的社群網路不僅取代了電子郵件和即時通，在許多方面，它也取代了日記。我自己的臉書代表我完整想法和活動的記錄，比我曾經寫過的日記更加完整（我可不是Samuel Pepys。註：以散文和日記著稱的英國作家和政治家），而且我相信，有更多臉書重度使用者發表了比我更多的東西。

所以我在這裡要說的是，如何在你的Web 2.0日記上道最強的鎖，以防止被人偷窺，也防止父母會因此而祭出什麼禁令。

臉書已經內建了一些了不起的功能，甚至可以阻止持有密碼的人存取你的帳戶。而這些並不是新玩意，只是未曾得到充分利用，也未被宣傳過。如果你都是從相同的電腦或裝置來登錄，可以讓臉書認識這些機器。如此可以當有人試圖從一個無法識別的設備登錄時，就會立刻通知你（如果你正在線上）。你甚至可以讓這人需要輸入一組發送到你註冊手機的代碼。所以除非偷窺者可以直接存取你的個人電腦或行動電話，否則他們就不能facejacking你（或不太好聽的詞，fraping），如果他們真的可以存取你的電腦手機，那你的問題就不只是臉書了。

所以以下是如何做的步驟：

登錄臉書，在右上方的下拉式選單選擇「帳號設定」。
進入設定頁面後，點選左側功能列的「帳號保全」：

接著進入下列設定

1.點選「安全瀏覽」右側的編輯選項以啟動此功能，這將確保你在使用臉書時是加密的，可以防範類似Firesheep的密碼竊聽工具。

2,點選「登入通知」右側的編輯選項，選擇當有人從無法識別的裝置試圖進入你的帳號時，是否要透過電子郵件或簡訊來通知你。

繼續閱讀

答應她的臉書Facebook 交友邀請,個資被看光

2012 年 05 月 09 日2012 年 05 月 15 日趨勢科技 TrendMicro

Facebook 臉書交友邀請電郵,遭 Black Hole 漏洞攻擊做為釣餌

◎以下哪一個信件內容,你會在第一時間發現是詐騙?

這些善於利用人性弱點的網路釣魚（Phishing）信件,最近又有新的案例了。

過去一個月來，趨勢科技一直在調查幾樁大量垃圾郵件(SPAM)行動，這些垃圾郵件會讓使用者連上一些含有 Black Hole (黑洞) 漏洞攻擊程式的網站。某些調查中的垃圾郵件(SPAM)行動會使用 Facebook 和 US Airways 的名義。其他垃圾郵件行動則利用 LinkedIn 及 USPS (美國郵政) 的名義。而最近的一波行動則是冒用 CareerBuilder 的名義：

以下，趨勢科技將針對冒用 Facebook 名義的垃圾郵件來說明，但結論同樣也適用於其他行動：

冒用各大知名機構的網路釣魚（Phishing）訊息，這些網路釣魚郵件的內容幾乎與正常郵件無法區別。
這些郵件中的連結會將使用者導向多個遭到竄改的網站，這些網站會再將使用者導向其他惡意網站。整體來說，這些遭竄改的網站有數千個之譜。
使用者最後會連上含有 Black Hole 漏洞攻擊程式的網站。

現在，讓我們來看看冒用 Facebook 名義的垃圾郵件如何發動攻擊。這些垃圾郵件會偽裝成來自好友的請求，如下所示：

其連結會連上一些遭到竄改的網站。我們在此項攻擊當中已發現 2,000 多個不重複的惡意網址，分散在 374 個不同網域。平均每個遭到入侵的網域有 5 個不同的惡意網頁。

如同先前所說，這樁垃圾郵件(SPAM)行動只是我們所調查的行動之一。有明確的證據顯示，這些所有攻擊在背後都有某種程度的關聯。很多情況下，不同垃圾郵件行動所用的網址都一樣。這表示，即使他們不是同一批人，至少某些攻擊背後負責的人是重複的。

就垃圾郵件攻擊來說，上述每一攻擊行動的規模並不大。最大的是冒用 US Airways 名義的行動，根據趨勢科技產品所回報的資料，其最高數量大約只占所有垃圾郵件總量的 1% 左右。但是，由於其持續的特性，對使用者來說仍舊是一項嚴重威脅。

這些攻擊的目標是要在使用者的電腦上安裝 ZeuS 殭屍網路變種，以便竊取使用者的資料。

@原文來源:Persistent Black Hole Spam Runs Underway作者：趨勢科技 Jon Oliver (軟體架構總監)

@延伸閱讀

Jessica 想跟你做朋友，加入她吧!原來是病毒的邀請函!
18 歲富家獨生女發出Facebook 交友邀請,附帶 630 萬美金遺產20%分紅?!
病毒偽裝 Facebook 訊息通知信件
 金光閃閃的Facebook VIP 用戶粉絲專頁，可換背景和超多額外功能? 是詐騙！

Facebook 變慢了嗎？試試看這個應用程式！搜尋相關程式當心其中有詐

[ 社交網站安全指南 1 ] 你忘了三年前上傳的圖片，駭客卻記得

[ 社交網站安全指南 2 ] 可在 Facebook 使用的Email 帳號黑市價碼較高
 [ 社交網站安全指南 3] 不會對電話詐騙者回答的私人問題，也不要公開在社交網站(減少社交網站風險的四個方法)

臉書相關詐騙一覽表

◎了解更多PC-cillin 2012 雲端版防毒軟體五大功能

►『社群網路安全防護』
►『即時通訊防護』
►『網頁安全分級』
►『私密資料保全』
►『遠端檔案保險箱』
►《免費下載試用》

◎ 歡迎加入趨勢科技社群網站

< 網路危機 >隱私曝光,女生好駭怕 ”正妹行蹤通報器”APP-從 Girls Around Me再談新版Facebook隱私設定

2012 年 04 月 11 日2013 年 10 月 25 日趨勢科技 TrendMicro

除了病毒會把隱私妹的裸胸自拍 Po 上網之外,會標示所在地的應用程式也是需要特別留心的

*不知道爆紅隱私妹?請看以下插播:

由趨勢科技 Trend Micro 留言。

================================================================
編按: 本文提到的臉書隱私設定為舊版,詳情請看
防臉書帳號密碼被盜,必學Facebook隱私設定大全《 2013更新版》

作者：趨勢科技 Vic Hargrave

在去年春天，我在部落格上寫了一篇文章叫做「Facebook的隱私破洞」(中文相關文章“我的老闆比王老師還會掰”你覺得讚嗎？在Facebook 上最好低調”)，文章內我解釋了如何去看Facebook那其實有些難用的隱私設定。而自那時候到現在，Facebook已經在它的隱私控制上作出了許多該有的加強。現在要控制你在Facebook上的隱私設定已經容易得多了。而現在也比以往任何時候都更加需要去了解如何在Facebook或其他社群網路保護好線上隱私。

我剛剛看到一篇讓我背脊發涼的文章。一個每天報導Apple相關新聞的網站 – Cult of Mac報導了一個iPhone應用程式 – Girls Around Me，它會將你附近一定距離內的女生位置標示在Google地圖上。它的運作原理是利用Facebook和Foursquare的 API來提供女生打卡時的所在位置。

女生好駭怕 APP”正妹行蹤通報器”-從 Girls Around Me再談新版Facebook隱私設定 — 圖說: 應用程式Girls Around Me會將你附近一定距離內的女生位置標示在Google地圖上。它的運作原理是利用Facebook和Foursquare的 API來提供女生打卡時的所在位置。圖片來自:https://www.cultofmac.com/157925/girls-around-me-dev-we-didnt-do-anything-wrong-statement/

問題在於，很多人不知道或不想去改變他們的隱私設定預設值，預設值通常會允許將目前位置這類的資訊分享給所有人。

限制你在Facebook（還有Foursquare）上的貼文只給特定對象，最好是只給你信任的朋友，以避免被類似Girls Around Me這樣的應用程式所追踪。現在，讓我們來看看你可以利用新的Facebook隱私控制來做什麼。

從最上層開始

點選Facebook下拉式選單裡的隱私設定，會出現你最上層的隱私設定。跟之

前的版本比起來，你會發現第一個進步就是你的最上層隱私設定已經清楚地分成幾個大項：「貼文的隱私控制」、「控制你的預設隱私設定」、「你的人際關係鏈」、「動態時報與標籤」、「應用程式與網站」、「限制舊貼文的分享對象」、「封鎖用戶和應用程式」。繼續閱讀

《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

2012 年 03 月 09 日2012 年 03 月 09 日趨勢科技 TrendMicro

iPad3甫上市，立即成為駭客社交工程陷阱( Social Engineering)與垃圾郵件的誘餌！趨勢科技發現駭客以贈送iPad3為誘因，運用Facebook以及垃圾郵件等管道發送iPad3贈獎訊息給使用者，吸引使用者參與抽獎並騙取使用者手機與電子郵件等個人資料。駭客運用人性弱點，要求使用者協助張貼抽獎訊息於個人網站或Facebook頁面以增加中獎機率，讓使用者不僅個資外洩，亦成為網路犯罪者幫兇！

iPad3抽獎訊息網路蔓延 使用者小心成網路釣魚幫兇

趨勢科技發現在iPad3上市前後，ㄧ則iPad3抽獎的訊息已在Facebook上蔓延。點選此訊息後，會要求使用者輸入電子郵件地址以參加抽獎比賽；一旦輸入了電子郵件地址並按下確認後，使用者會被重新導向含有抽獎比賽內容介紹的網頁，這個網頁要求使用者張貼訊息到社群網站或是個人網站上，方能增加使用者抽中iPad3的機率。一旦執行了這些動作，使用者不但洩漏電子郵件地址，亦成為網路釣魚網頁散佈的幫兇！

趨勢科技注意到Facebook上有好幾篇貼子聲稱會提供免費的iPad 3給「幸運」的使用者。

和之前在部落格上所提到的Facebook威脅不同，這次並沒有利用點擊劫持。有些使用者可能是主動地將這消息發布到他們的社群媒體上（像是Facebook），想以推薦來增加自己的積分，好提高「贏得」這些獎品的機會。一旦使用者連上這個網站並點選該圖案，它會出現下列頁面：

圖說：Facebook上iPad3抽獎訊息蔓延，實為網路釣魚陷阱。

頁面要求使用者輸入他們的電子郵件地址來參加比賽。為了說服使用者輸入，這頁面還會顯示出只剩下了兩點。一旦輸入了電子郵件地址，使用者會被重新導向到這些網頁：

繼續閱讀

<小心保護線上隱私與不當分享後遺症>臉書上罵老闆,判公然侮辱罪! 離婚官司從臉書蒐證

2012 年 03 月 02 日2013 年 09 月 13 日趨勢科技 TrendMicro

今天中午小編看到一則新聞說:有人PO 文侮辱店長像中國來的大嬸,而被提告,事實上法國一名電話客服男子在臉書上罵「爛老闆」法國男遭判公然侮辱罪,雖然男子強調是因為前一天有同事自殺，他才會做出這種貼文。不過，法院仍指出「該言論超出合理批評範圍」，判定他觸犯「公然侮辱罪」。該男子被判罰款500歐元(約1萬9千元台幣) 。最近的案例是臉書辱客家人高中生挨告 ,如果遇到道歉不能平復的事,像這樣道歉無效！新竹客家人控告高三女就要傷腦筋了。

越來越多人會在網路上處理各種個人事務（像是網路購物和使用網路銀行）。你一定會想知道，到底有多少你的資訊可以在網路上被看到(包含你現在或未來的老闆;包含你打官司時對方的律師)。網際網路跟我們的日常生活已經結合的如此緊密，網路犯罪份子也會用更新、更有創意的方式來打破我們在網路上的隱私。

一切都跟廣告有關

因為網際網路用途的大量增加，也讓網路公司很有興趣去追蹤大家都在網路上做些什麼。好讓這些公司可以據此來行銷產品和服務，多數人也都可以在社群網站、新聞部落格、線上娛樂頻道看到。事實上，網路廣告已經是大多數網站的金錢來源。

在2010年，Google披露了他們96%的收入來自廣告（放在自身網站或使用其廣告業務的網站上）。而社群網路巨頭Facebook的全球廣告收入也預估會在2011年上升104%，來到38億美元。

因為一些廣告服務供應商（像是Google AdSense和Yahoo! Advertising Solutions）都提供客製化廣告的服務，你應該會發現服務供應商和廣告商是可以追踪你的線上活動的。廣告商會想辦法去收集資訊，比方說從你去過的網站和你填寫的線上個人資料中得知。

客製化廣告：仙丹還是毒藥？

大部分網站的廣告需求都是經由第三方廣告網路來管理。線上廣告或是廣告網路是中介廣告商和希望提供廣告的網站所有者間的橋樑，廣告網路使用集中伺服器去提供對的廣告給對的網站訪客，也會在網路上監看著使用者的活動。

廣告網路還可以讓第三方公司透過使用者的網頁瀏覽記錄來觀察他們的線上活動，進而了解他們的喜好。雖然對某些人來說，將使用者與可能引起他們興趣的網路廣告做配對不是什麼問題，但也有些人覺得這是種對隱私的侵犯。對多數賣家來說是很方便跟有用，但對於他們所監看的人來說卻是在侵犯隱私。

要在瀏覽網頁時保護個人隱私，牢記下面的秘訣：

· 定期刪除Cookie：Cookies存放了網站相關資訊，所以有可能被網路犯罪分子所竊取利用。刪除Cookie有一個缺點，就是每當你再次訪問網站時，都會要求你重新輸入帳號名稱和密碼。

· 使用隱私瀏覽：瀏覽器提供這種特殊模式好讓你的網路活動得以保密，不被窺探。選擇隱私瀏覽會使用新的瀏覽器視窗，並且會在你關閉視窗時刪除所有的歷史記錄和cookie。但是要注意的是，如果你的視窗還是開著，並不保證可以保持匿名，會讓廣告商仍然可以追踪到你。

· 使用網路廣告促進會（NAI）的選擇退出（Opt-out）工具。這個工具讓你可以選擇退出客製化廣告的目標。身為促進網路廣告自我節制的組織，網路廣告促進會（Network Advertising Initiative，NAI）讓你可以選擇不接受其成員公司的廣告行銷。因此，你可以不再被這些會量身打造廣告，但被你所封鎖的廣告公司所打擾。

社群網站過分分享的陷阱

當廣告網路需要根據你的網站偏好和使用模式來猜測你會感興趣的內容時，社群媒體已經擁有了所有的資訊，他們只需要你自己不停的提供給他們。感謝社群媒體整合了多個網站，社群網站可以很簡單的找到你的好惡。

也因此，社群媒體「採礦」快速地成為業界的標準做法，尤其是對那些保險和人力資源（HR）公司來說。比方說，他們會監看社群媒體好找到可能的詐騙案子，特別是根據報導，這些詐騙案每年會讓保險業損失大約三千萬美元。

被貼到社群網站的內容，現在也會被拿來在法庭聽證會上作為證據。像是在離婚過程中，會利用上傳到Facebook的照片來證明丈夫的不忠。

在這個案例中美國法官命令1對離婚夫妻互換Facebook密碼,法院下令，申請離婚的夫婦必須向對方提供所有社交網站的密碼，以便於雙方律師能夠登錄尋找指控證據。根據法庭的命令，夫婦雙方都被禁止修改社交網站密碼，也不能刪除任何資訊。另外，他們也被禁止用對方的帳號發佈消息，弄虛作假或抹黑對方。

這是另一個案例,法國一名電話客服男子在臉書上罵「爛老闆」法國男遭判公然侮辱罪,法院裁定他的公然侮辱罪成立。(台灣有這個PO文辱店長像「中國來的大嬸」挨告)
就職於法國西北部康城Webhelp電話客服中心的職員艾瑞克(Eric Blanchemain)，2010年11月在公司工會的臉書上寫著 “Shitty day, shitty job, shitty company, shitty bosses”(很爛的一天、爛天氣、爛工作、爛辦公室、爛老闆。)發文後，他隨即遭到公司停職5天。

繼續閱讀