社群(交)網路 - 資安趨勢部落格

< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題

2016 年 05 月 24 日2016 年 05 月 25 日趨勢科技 TrendMicro

作者：趨勢科技技術長CTO Raimund Genes

報導指出2012年的LinkedIn資料外洩事件和原本的認知有很大的差距：並非如當時所說的是650萬筆紀錄遭竊，事實上，有1.67億使用者受到影響。其中有1.17億筆的資料包含使用者的電子郵件地址和密碼。

直到這些大量的外洩資料在黑暗網路社群上進行販賣，才讓所有人意識到這變得更加嚴重的問題。LinkedIn發表一篇文章確認了此外洩資料的真實性，並且要求受影響的使用者重設密碼。

我也是受影響的人之一，所以我研究了一下。如果我選擇Raimund_Genes作為密碼，系統會出現綠色並且說是可行的密碼。當我嘗試使用Linkedin_Raimund，它也會被標示為強密碼。但這些都不是我所認為的強密碼。你發生了受人注目的資料外洩事件，應該要利用這個機會來重新教育使用者來使用強密碼。

顯示或取得我的瀏覽器、作業系統和位置資訊可能也並非是個好主意：

除了「可笑」的密碼等級外，還有一些其他值得關注的地方。目前還不清楚為何會誤判資料外洩的規模大小，是什麼導致大家認為這起2012年的事件比真正的規模要小的多。LinkedIn的使用者有權知道發生了什麼事 – LinkedIn知道什麼，他們什麼時候知道的？到底有多少使用者受到影響，有哪些資料處在危險中？繼續閱讀

愛發文打卡者請注意! 一天8篇發文,就能推測出你住家和辦公室位置

2016 年 05 月 19 日2016 年 05 月 20 日趨勢科技 TrendMicro

現代人喜歡發文打卡，在家要發，搭公車要發，外出用餐要發,旅遊更要發，但你知道這樣的舉動會暴露行蹤嗎？據英國《每日郵報》報導，美國麻省理工學院和英國牛津大學專家指出，每天8則發文，即便是沒有任何技術和相關知識，也可以精確的指出發文者的工作地點甚至住家位置。研究報告指出， 65%測試者可以大致知道使用者住家位置，而70%能推算出工作位置，甚至能有85%的能夠精準掌握其公司所在地。

周末愉快~小提醒:打卡不要將別人拖下水▼請看:安全打卡 8 要點▼blog.trendmicro.com.tw/?p=2950

Posted by 趨勢科技 Trend Micro

網友發表一篇要跟愛打卡的老婆離婚了引起很多迴響,作者說:” 我工作請假是說家裡有事情,也沒告訴同事說要出國,連爸媽我都沒說…”一周後回國卻發現 “我的電視、音響，家裡所有值錢的東西都被搬光了, 我心裡有碎掉的聲音…..”,這是個血淋淋的真實案例.

以下兩則跟打卡有關的新聞報導,不禁讓小編要再度提醒大家安全「打卡」重要性了。

【案例一】:臉書打卡慶生女通緝犯躲16年破功,一名判刑遭通緝的沈姓女子，逃匿十六年，追訴時效再過十四天將消滅，但她月初過生日時在臉書上打卡，台南市玉井警方因此掌握到她行蹤，將她逮捕到案。

【案例二】:這則新聞小開臉書打卡洩蹤,綁匪按表擬擄人計畫報導說男子得知某小開常使用臉書紀錄個人資料，整理其臉書訊息以了解其作息及擬定擄人計畫，將他擄走後勒贖500萬元。

“打卡”時不要再將朋友拖下水-安全「打卡」8 要點

早上起來發現天氣很好,不想上班時你會麼辦呢?打電話跟老闆說”今天生病,不能去上班,要請病假”,可是萬一你像文中這位老兄,請病假去狂歡,卻因為一張 facebook 上的照片被開除了,可就麻煩大了。網路上有數十種地理社交 App 程式，如：Foursquare、Twitter、Instagram、Yelp!、Trip Advisor、Facebook 等等，都能讓您搜尋當地商店相關的祕訣和評論，並且到這些地方打卡。但我們要呼籲審慎挑選你分享個人位置的對象和方式非常重要，尤其對單身女性。繼續閱讀

“誰在看你的社群網站個人檔案? “詐騙應用程式變身再出擊，再次成為熱門app

2016 年 04 月 22 日2016 年 04 月 21 日趨勢科技 TrendMicro

InstaAgent換名為InstaCare，再次成為熱門下載應用程式

在去年年底，一個名為InstaAgent的應用程式愚弄了數千名iOS和Android使用著，給出它們Instagram的帳號憑證好來知道誰在看自己的個人檔案。但其實這應用程式所真正做的是將這些登錄憑證發送到一個未知伺服器，劫持使用者帳號來任意發表圖片。InstaAgent經過了精心的設計（至少在社交工程（social engineering ）的角度上），在Apple App Store下架前達到近五十萬的下載次數。

現在看起來，它的開發者進行了第二次的嘗試，有著一切相同的元素，只是用了不同的名稱：InstaCare。這個應用程式做跟InstaAgent一樣的事情，它會竊取使用者資料並劫持帳號 – 而且再一次地，它達到一樣的成功。據導，InstaCare甚至在某些國家進入Apple App Store下載排名榜的最高點。在本文撰寫時，該應用程式似乎已經被下架，但想想其可下載期間所達到的使用者數量，它的確成功了。

InstaAgent，InstaCare以及類似的騙人應用程式證明社群媒體本身仍是有效的社交工程（social engineering ）誘餌。並不能完全怪罪使用者希望知道誰看了自己的個人檔案，到Apple App Store和Google Play上搜尋類似的關鍵字就會發現這是個歹徒聚寶盆，有許多其他應用程式也宣稱有類似功能。

應該要再重申一次，到目前為止，沒有合法而安全的應用程式可以讓社群媒體使用者知道誰看了其社群媒體帳號。除了LinkedIn的個人檔案檢視通知外，社群媒體網站和應用程式既不提供也不支援這種服務。

繼續閱讀

Facebook 臉書等社群隱私設定-善用趨勢科技PC-cillin的網路隱私偵測( 第一部)

2016 年 03 月 22 日2016 年 03 月 24 日趨勢科技 TrendMicro

許多社群網路使用者並不知道自己的身份資料可能會因為隱私設定過於寬鬆而受到損害。比方說，在Facebook上，你可以決定誰能夠看到你的東西（你的貼文、你被標註在內的照片/貼文等）；誰可以與你聯絡（朋友、朋友的朋友或是每個人）；和誰可以搜尋你（使用你所提供的電子郵件地址或電話號碼、或是讓Facebook以外的搜尋引擎連結你的個人資料等）。Twitter、Google+和LinkedIn上也有類似的設定。

隱私設定也出現在新的瀏覽器上，像是微軟Internet Explorer，Google Chrome和Mozilla Firefox。選項像是封鎖網路詐騙相關網站，是否在瀏覽網路時發送「禁止追蹤」請求，或是否將網路密碼儲存在瀏覽器中（這點趨勢科技並不建議）。

如果有種簡單的方法可以檢查這些設定豈不是很好嗎？取得最佳設定建議，輕鬆地加以變更，不需要去深入檢查社群網路或瀏覽器的每個選項。

趨勢科技PC-cillin雲端版可以做到這點。趨勢科技PC-cillin雲端版的網路隱私偵測可以透過趨勢科技工具列與Facebook、Twitter、Google+和LinkedIn；以及微軟Internet Explorer、Google Chrome和Mozilla Firefox合作，可以輕鬆地就變更隱私設定。這個功能在趨勢科技PC-cillin中是預設開啟。你只需要確保瀏覽器內啟用趨勢科技工具列就可以加以使用。

啟用趨勢科技工具列：

先準備好想檢查隱私設定的社群網站使用者名稱和密碼，因為會需要登入。此外，在底下的範例中，會用Internet Explorer瀏覽器來檢查Facebook隱私設定（其他社群網路也是類似的作法），首先說明如何在三種瀏覽器中啟用趨勢科技工具列。
一旦你安裝了趨勢科技PC-cillin，打開你偏好的瀏覽器，在右上角選擇工具 > 管理附加元件 > 工具列和延伸（Internet Explorer），設定 > 擴充功能（Chrome），設定 > 附加元件 > 擴充套件（Firefox），並且選擇關於趨勢科技的設定。

圖1、工具 > 管理附加元件 > 工具列和延伸模組– Internet Explorer

繼續閱讀

PC-cillin 如何防範社群網站上的惡意連結?

2016 年 03 月 15 日2016 年 03 月 16 日趨勢科技 TrendMicro

另外最多人上當的莫過於假冒臉書發出的各類警告訊息,如:臉書網路釣魚,假「安全檢查」,真騙信用卡帳號,”冒臉書訊息通知,重登入遭盜刷!! ” “12 小時內不驗證帳號,將被永久停權”各類冒用臉書官方發送的警告訊息頻傳,它們都有一個共同特色-“限時驗證帳號”,從1小時到 24 小時不等,請參考最多人誤點的 FB 詐騙公告

我們很容易忘記，只要一個不小心在社群網站上點了某個惡意連結，就可能帶來一連串的厄運：不是個人資料遭到竊取，就是電腦受到感染。還有當心把.com手殘打成.om，被誤導到惡意網站,，目前這些仿冒網域名稱包括netflix.om、youtube.om、linkedin.om、yahoo.om、gmail.om等等。延伸閱讀:看似拼錯的網域名稱竟可賣100英鎊！(含facebook google paypal 等假網址一覽表)

那麼，您該如何才能輕鬆地和親朋好友分享生活中的點滴，又能防止自己誤觸惡意連結呢？