從美聯社 Twitter 帳號被入侵事件,看推特為何一直被駭?

我想你們一定看過這幾個月的新聞,發生了好幾起高調的推特(Twitter)駭客事件,包括了知名品牌,如Jeep,漢堡王(Burger King),以及最近的美聯社(AP)。一般不是很懂電腦的人可能會出現下列的疑問:

  • 這些帳號為什麼及如何被駭客攻擊的?這些企業不是應該都會設定又長又複雜的密碼來保護自己的帳號嗎?
  • 如果他們不能持續維護自己的安全,我將會遇到什麼?
  • 什麼是雙因子認證?我一直聽說這會讓我更安全。

推特帳號一直會被駭的原因

推特帳號一直都有被駭事件的原因很多。可能只是簡單地因為有人為了好玩去散播謠言,也可能是惡毒的想要抹黑特定個人或公司。這可不僅僅是傷害到這公司或個人,在某些案例裡,像是美聯社的帳號被入侵,就實際地讓美國股市出現短暫的下跌。而正如你可以想像的,這樣一個短期波動可是在股市獲得巨大利益的機會。

圖說:媒體報導駭客入侵美聯社推特 美股暴跌消息(截圖來自 中時電子報)
圖說:媒體報導駭客入侵美聯社推特 美股暴跌消息(截圖來自 中時電子報)

推特被駭也凸顯出關於密碼安全一個更大的問題。你可以使用有史以來最長、最複雜的密碼,但如果你點入一個惡意連結或偽裝成推特的網站讓你輸入密碼,基本上這就已經跳過任何密碼的安全性,直接把密碼交到壞人手上。

常見的社交工程伎倆

這是今天在推特上一個令人難以想像常見的社交工程陷阱( Social Engineering)伎倆。透過從你關注的一個被駭帳號發送「私人訊息」給你,網路犯罪份子就可以駭入你的帳號。這訊息可以裝得非常簡單:「嘿!我看到你這個有趣的畫面!」然後,它會連到一個惡意網站。這種戰術在過去已經被廣泛成功地運用在電子郵件病毒上,今日轉移陣地到社群媒體上也是一樣的成功。

另一種常見用來竊取你密碼的方式,就是去入侵並不具備推特安全控管等級的網站或服務。如果你在多個服務上都使用相同的密碼,就可以利用自動化工具,很快地在多個網站和社群媒體服務上嘗試這偷來的帳號/密碼組合。

繼續閱讀

重複使用密碼是幫了網路犯罪份子大忙

作者:Christopher Budd

最近Twitter被駭的消息,其中最重要的就是攻擊者大約竊取了廿五萬個帳號內的資料。

Twitter被取走的資料是「有限度的」 – 只有「用戶名稱、電子郵件地址,   連線代碼(Session Token)加密/加料過的密碼。」他們接著說,他們已經重置了受影響帳號的密碼。所以如果你有受到影響,那應該已經接到通知(我在上週六接到通知)。

你可能會覺得奇怪:到底是發生了什麼事?你該怎麼辦?

雖然Twitter說明被偷了什麼,但如果人們看到「有限度的」,就認為並沒有什麼好擔心而不做任何動作是很危險的。這將會是個錯誤。我們看到這些被偷的資料,其實是會對你其他的帳號帶來危險的,如果你在多個網站上都使用相同的密碼。

被拿走的資料組合起來,可以讓攻擊者能夠去入侵你的其他帳號。如果你已經收到Twitter的通知並且重置了你的密碼,事情還沒有結束。你應該更進一步地去更改任何使用相同密碼的網站。最好是將每個密碼都設成不一樣,可以避免未來發生一樣的事情。

但是除了變更密碼,我會希望有其他種做法,比如密碼管理軟體。

 

重複使用密碼是幫了網路犯罪份子大忙
重複使用密碼是幫了網路犯罪份子大忙

雖然我們已經說了很多年,重複使用密碼是有風險的,但是要管理許多組密碼也是件困難的工作,這也是為什麼許多人會使用一樣的密碼。在過去,你可以重複使用密碼而不會遇上什麼太糟糕的事情。網站會好好地保護使用者帳號。

但是這過去的一年顯示出網路犯罪份子開始佔得上風,可以輕易地獲得數以百萬計的帳號資料。在過去的一年,我們看到網站像是LinkedIn、Last.fm、Formspring和Yahoo等的帳號資料被盜。每次只要發生這種情況,任何重複使用密碼的人資料都有被竊的風險。 繼續閱讀

以”你的照片”為餌的點擊劫持(clickjack)最常出現在Facebook、Twitter、Google+

Sherry在深夜裡收到一則從親密好友所傳來的Twitter私密訊息 – 「沒有看過你的這張照片呀,哈哈」,還包含一個短網址。因為這位朋友是個攝影師,也有她的照片。所以收到這訊息並不奇怪。於是她點了進去,賓果!這個常用的社交工程陷阱( Social Engineering),讓她就此中了clickjacking點擊劫持。你猜到了嗎?這假造朋友發的訊息,裡面的網站連結導到一個會偷密碼的假Twitter網站。

註:點擊劫持(clickjacking)是一種將惡意程式隱藏在看似正常的網頁中,並誘使使用者點擊的手段。比如受害人收到一封包含一段影片的電子郵件,但按下「播放」按鈕並不會真正播放影片,反而是被誘騙到另一個購物網站。

 

假的 Twitter 登錄頁面,一直出現密碼錯誤訊息,其實密碼已經被偷了

當Sherry從iPad點入這私密訊息裡的網頁連結,行動瀏覽器帶她到看來像是Twitter的登錄頁面,,即使她覺得很奇怪,為什麼照片沒有出現在Twitter應用程式瀏覽器內。正在看電視影集的她心不在焉的,試了幾次輸入帳號密碼,「假Twitter網站」都顯示密碼錯誤。她很沮喪也放棄了,就上床睡覺了。但這錯誤的嚴重性一直到幾個小時之後就浮現了。

點擊劫持的後果

Sherry睡不著,看了看手機,凌晨四點半。手機出現訊息通知,有則來自朋友的Twitter私密訊息,問說:「你傳給我的是垃圾訊息嗎?還是你真的有我好笑的圖片?」”哦,不!我做了什麼?”Sherry 知道麻煩來了,只因為她點了那個連結。

一整天裡Sherry收到數十封簡訊、Twitter推文、電子郵件和Facebook留言,告訴她有人駭入她的Twitter帳號。

因為登錄到「假Twitter」網站,而給了非法份子Twitter帳號密碼。他們就可以登錄到Sherry真正的Twitter帳號,發送一樣的垃圾訊息跟惡意連結 – 「沒有看過你的這張照片呀,哈哈」給所有關注我的人,讓這起犯罪攻擊繼續循環下去。這就是所謂的clickjacking點擊劫持。通常出現在社群媒體的動態消息、塗鴉牆和私密訊息(Facebook、Twitter、Google+等等),讓不知情的人點入會竊取密碼和資料的網站。

這結果可能很災難性,如果你的銀行帳號和社群媒體帳號使用相同密碼的話。網路犯罪份子可能會登錄到銀行帳戶,並在幾小時內偷走被害者的錢、身份認證以及盜刷信用卡。

如果你已經中了點擊劫持該怎麼辦?

  1. 如果你懷疑可能中了點擊劫持,馬上變更你的密碼。然後檢查是否有任何新應用程式有權限連到你的帳號,因為它們可能是惡意的,並且會竊取資料。(當你改變密碼時,Twitter會強迫你檢查所有有權限連到你帳號的應用程式。)
  2. 如果你有其他重要帳使用已經被竊取的密碼,要馬上全部更換,而且不要使用相同的密碼。 繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線,就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取,那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站 如 FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣,網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具,內含了一個密碼還原程式,可有效蒐集使用者的登入帳號密碼,即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料,此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼,使用的是類似「PasswordFox」的工具。

過去,趨勢科技已發現多個專門竊取資料的惡意程式,包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似,但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊,然後儲存在一個名為 {電腦名稱}.txt  的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式,PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料,這是一個專為 FireFox 瀏覽器設計的程式,叫做「PasswordFox」。

 

PASSTEAL 一旦蒐集到資料,就會執行命令列指令程式的「/sxml」選項,將竊取到的帳號密碼儲存成 .XML 檔案,然後再將它轉成 .TXT 檔案。接著,PASSTEAL 會連線至遠端 FTP 伺服器,將蒐集到的資訊上傳。

事實上,此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼,即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括:FacebookTwitterPinterestTumblrGoogleYahooMicrosoftAmazonEBayDropbox 以及各種網路銀行。 繼續閱讀

密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案

前言: 根據2012 年駭客公布重大帳密被盜事件分析出的全球最駭密碼,「password」蟬聯榜首,緊隨其後的是「123456」和「12345678」。在大陸駭客的密碼破解字典中,還列入以下幾個必備弱密碼,中國人最愛的「666666」和「888888」,還有那甜滋滋的「5201314」(我愛你一生一世),根據大陸某IT社區網站洩露的600多萬個帳號密碼為例,使用中文拼音、手機號碼,甚至經典詩句縮寫作為密碼的中國用戶不在少數。

趨勢科技曾多次提到密碼管理的文章,還記的下圖提到2012年【LinkedIn被盜帳號的前30大常用密碼】與 2011 年的最駭密碼排行嗎?根據最新的統計 2012 年最駭密碼, 「password」蟬聯榜首,緊隨其後的是「123456」和「12345678」。現在PE_MUSTAN.A病毒會鎖定這些強度不足密碼的電腦,進行刪除檔案的破壞。

最駭密碼排行

2012年【LinkedIn被盜帳號的前30大常用密碼】 (F 開頭髒話和 ILOVEOU 都不是好主意) 646 萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上,許多人都直接用單字當密碼,而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了
小編提醒:1.跟傻瓜密碼拒絕往來 2.不同網站用不同密碼

 

如果帳號符合特定些使用者名稱(administrator/admin/user/test)和 246 組密碼的組合 (完整清單請參閱威脅百科內容),該惡意程式就會取得存取權限並感染電腦上的檔案。這些密碼包含以下各類(以下僅列舉部分)

鍵盤方向順位組合:
!@#$
!@#$%
!@#$%^
!@#$%^&*
!@#$%^&*()
!@#123
!@#123456
123!@#
123456!@#
 
數字組合
0
00000000
007
1
100200
110
111
11111111
111222
112233
11223344
1234567890
2012
 
數字和鍵盤順位
1234qwer
123asd
123qaz456wsx
123qwe
 
abc 系列
abc
abc123
abcd
abcd1234
 
admin 系列
adm1n
Admin
admin!@#
admin!@#123
admin123
adminadmin
admini
administrator
alpha
asdf
 
單字系列
baseball
batman
computer
database
dragon
foobar
football
home
hunter
 
上帝系列
god
godblessyou
 
英文名字系列
jennifer
jordan
patrick
 
 
password 系列
ihavenopass
mypass
mypass123
mypassword
oapassword
P@ssW0rd
pa$$0rd
pass
pass0rd
pass123
pass123456
pass123word456
passpass
passwd
password
password1
pw123
pwd
 
 
Windows 系列
win
windows
windows2000
windows2003
windowsxp
xp
 
我愛你系列
Love
iloveyou
iwantu
 
xx系列
xxx
xxxx
xxxxx
xxxxxx
xxxxxxxx
 

2012 年 7 月現身的 PE_MUSTAN.A 會在安全性較弱的網路上散播,而且已知會攻擊密碼強度不足的目標系統。它的源頭可追溯至 WORM_MORTO.SM,後者在一年前非常流行。儘管這種透過暴力破解方式橫行網路的手法已不算新穎,但 PE_MUSTAN 的出現證明了一些應該安全的網路依然存在著重大弱點。

如同所有的檔案感染程式一樣,這個新的變種同樣也會快速感染同一台機器上的眾多檔案。它會感染所有的 .EXE 檔案,除了下列資料夾內的檔案之外:

  • Common Files
  • Internet Explorer
  • Messenger
  • Microsoft
  • Movie Maker
  • Outlook
  • qq
  • RECYCLER
  • System Volume Information
  • windows
  • winnt

根據上列清單,MUSTAN 似乎想避免感染任何可能造成當機的檔案 (因為會引起注意),所以 Microsoft 的應用程式、即時通訊程式都因而「免於」遭到感染。

此外,PE_MUSTAN.A 也會嘗試透過網路 (確切來說是「遠端桌面協定」,簡稱 RDP) 來散播,進而存取其他系統。如果使用者符合某些使用者名稱和密碼的組合 (完整清單請參閱威脅百科內容),該惡意程式就會取得存取權限並感染電腦上的檔案。這樣的行為很類似 WORM_MORTO。

一旦進入受感染的系統,它就會將所有可能的磁碟都列為下一個目標,如:本機硬碟、可卸除式磁碟、網路共用磁碟以及遠端桌面協定 (RDP) 的預設共用磁碟 (就像 WORM_MORTO 一樣)。RDP 共用磁碟並非預設會建立的。只有當使用者執行一些額外的設定步驟,指定要透過 RDP 共用磁碟時才會建立。

此惡意程式有趣的一點是,它會利用 DNS 來與自己的幕後操縱 (C&C) 伺服器溝通。它會使用 DNS 的文字內容來取得 C&C 伺服器傳來的指令,如下所示:

在前例當中,它收到的是一串編碼過字串,解開後是用來下載其他惡意檔案以執行的連結。駭客可輕鬆利用這些檔案來竊取已感染系統上的資料,或者植入後門程式,讓遠端駭客自由進出。 繼續閱讀