本部落格介紹過國內名人粉專被盜事件,包含:
粉專遭盜事件頻傳 要求驗證臉書帳戶民眾要注意 !
假冒臉書官方訊息,粉絲團頻傳「被消失」,如何預防?
根據趨勢科技調查其實不止台灣,印度、澳洲、加拿大和菲律賓都傳出相關事件,幕後黑手盜取帳號後,會在一天之內被發現前變更帳號名稱和假冒粉專發出官方訊息,甚至盜刷該帳號的廣告收費專用信用卡資料。
駭客偷人氣粉專帳密用來做什麼?
出售該粉專或接管粉專,建立另一個山寨 FB 官方釣魚帳號
自今年六月以來,趨勢科技發現有知名的Facebook粉絲專頁被盜的數量在增加。我們分析此狀況後發現有假Facebook官方帳號在粉絲專頁上貼出附有連結的通知聲稱其遭受駭客入侵。假帳號還會竊取所有者或管理員的帳密以出售該粉絲專頁、變更詳細資訊和名稱或冒用該粉絲專頁來建立另一個釣魚帳號。
根據觀察,目標的選擇似乎是依據粉絲數量,而最新研究發現平均每天有三個帳號被盜。分析顯示這些網路犯罪分子的目標是來自台灣、印度、澳洲、加拿大和菲律賓的臉書帳號和粉絲專頁。我們已將此狀況回報給Facebook,他們表示已經採取措施來保護被標記的帳號。
約120-180 個山寨 facebook 官方帳號
以羅馬字母魚目混珠,如 Fəcebook 的 ”a” 被替換成” ə”
趨勢科技發現有大約 120 到 180 個假Facebook官方帳號使用相同名稱及看似正式的大頭貼照。不過名稱內包含了非ASCII字元,而這些非ASCII字元會在線上轉換成羅馬字母,如ə、ı和ɾ:
- Prıvacy PoIicy
- Fecebook and PrIvacy
- Fəcebook System Corporation
- Fəcebook Term Of Services Register Center Team
- Fəcebook Sociəl Reconfirm Center Invitation
- Fəcebook Servıce Corporation 01
- Reconfirm Your Accounts
- Re-confiɾm Facəbook
這些假帳號會在受害者的粉絲專頁上貼出警告訊息,聲稱這些網頁被其他使用者回報給平台。貼文中還包括透過外部連結來驗證這些帳號的說明。
按下確認按鈕會將使用者導向一則假Facebook通知以及網路釣魚登入頁面。最明顯的可疑跡象是所有的偽造頁面都一直有出現文法錯誤。
一旦受害者用自己的名稱密碼登入,網路犯罪分子就會接管該帳號,並將其用成另一個Facebook”官方”帳號。除了會變更大頭貼照和帳號名稱來讓帳號看起來更具可信度外,網路犯罪份子還會將個人網址設成相同的名稱。
按照Facebook的政策,即使帳號名稱相同,使用者名稱也必須是唯一的。因此,網路犯罪份子為了確保使用者名稱和帳號名稱完全相同,他們會用相似關鍵字來重新排列被盜的帳號文字。不過這些駭客可能會面臨一個越來越嚴重的問題:由因為被盜帳號數量的增加,所以可用於重新排列文字和選擇的使用者名稱選項越來越少。
我們還看到有些被盜帳號用”帳號名 唯一ID”格式作為使用者名稱,裡面的唯一ID是Facebook在建立帳號時所分配。利用這種格式,相同的帳號名稱可以在其他被盜帳號重複使用。
有些粉絲專頁已經被網路犯罪分子賣掉
合法帳號所有者在看到駭客所發出的假貼文散播後一兩天就會發現自己的帳號被盜。帳號所有者能夠變更密碼來阻止帳號繼續被惡意使用、刪除假訊息及變更個人大頭貼照。但名稱被更改的帳號所有者會發現很難回復成原始名稱,因為這需要Facebook進行人工審核並遵循特定程序進行。這個過程需要花費相當長的時間,結果造成越來越多受害者會直接建立一組新的Facebook帳號,而非等待審查結果。
重新設定密碼注意事項
有些人會為了方便記住帳號密碼而將多個平台的帳戶設定一樣的帳號密碼,但駭客可能也會利用這點嘗試將取得的帳號登入其他平台,因此拿回帳號後應該馬上重新設定“所有”使用同一組帳號密碼的平台,以免駭客再次登入。
我們持續監視此波活動後發現這是個日益嚴重的問題,因為這些粉絲專頁和假內容會被粉絲持續地瀏覽和查看。而且也如其他國家的網路報導那樣,有越來越多知名人士受到影響。根據這些報告,有些名人成為了目標且無法取回自己的帳號,更糟的是有些粉絲專頁已經被網路犯罪分子賣掉。
telegra.ph/notify-是貼文常用的釣魚網域
根據釣魚登入頁面所用的外部連結,我們利用平台搜尋功能使用關鍵字telegra.ph/notify-07-22。telegra.ph/notify-是貼文常用的釣魚網域,網址的剩餘部分是貼出警告的日期。從搜尋結果裡選擇其中一則貼文,可以看出是誰發出了該通知。
[延伸閱讀:帳密釣魚攻擊的浪潮]
四個方法找出可疑帳號
對於商業、社群、個人、品牌和產品/服務粉絲專頁,有四個使用者和帳號所有者可以判斷帳號是否可疑的地方:
- 使用者名稱:合法使用者名與帳號名稱幾乎相同。假帳號的使用者名稱和帳號名稱可能彼此之間沒有關係。
- 關於:這裡可能會提供帳號所有者的基本資料。但被盜帳號可能會出現可疑內容,能夠輕易地和網路公開資訊進行比對。
3.粉絲專頁資訊透明度:這裡會顯示對粉絲專頁作過的編輯,如粉絲專頁建立時間和原始註冊的名稱。
4.帳號相片:在帳號裡找到的相片也可以看出活動記錄。被盜帳號通常只會上傳一張Facebook圖示讓駭客用來變更帳號的大頭貼照。
此外,合法的Facebook官方帳號在名稱旁會有認證徽章,表示該帳號真的屬於Facebook。
每天都有Facebook 帳號被盜,追踪來源和目標對象可能會變得更加困難
活躍的Facebook使用者及管理員會立即發現自己帳號發生異常之處,例如改名或動態時報上出現假內容。所以這波活動的幕後黑手必須迅速行動,在一天之內被發現前變更帳號名稱和發出內容。
此外,因為現在人與人之間必須保持距離,所以使用者和商業品牌可能會更加依賴社群媒體平台來保持聯繫。而受影響受害者在收到 Facebook 警告通知後,可以想像一開始會先驚慌失措,然後才能檢查警告內的可疑訊號。除了會取得個人資訊外,駭客還可能會檢查使用者的個人訊息來取得敏感資訊。比如盜刷該帳號的廣告收費專用信用卡資料,假冒官方發布訊息,這些都會對業務造成不良影響。
另外,駭客也很容易將這些社交工程套路應用在其他社群媒體平台上。每天都會有新帳號被盜;因此要追踪來源和目標對象可能會變得更加困難。變更有影響力的粉絲專頁帳號名稱後,網路犯罪分子可以立即取得大量粉絲,這代表有大量受眾可以散播內容。光是這粉絲數量就可以用於許多惡意目的(如散佈假新聞)。趨勢科技繼續追蹤這些事件,以確保這些事件不會被用作其他可能惡意威脅的載體。
懷疑自己帳號被盜,怎麼辦?
懷疑自己帳號被盜的Facebook使用者,可以連到此連結 (https://facebook.com/hacked)來取得如何修復的步驟流程和資源。
使用者可以牢記下列最佳實作和建議,保護自己免於這些威脅:
- 如果你的粉絲專頁被舉報,FB審查員會審查貼文/內容/頁面是否違反社群標準。如果他們決定要聯繫對方,會非公開地保密進行,因此互動不會貼到動態時報上。
- 因為企業粉絲專頁可能有敏感的財務資訊,社群媒體平台對企業粉絲專頁的詢問和請求會更快地回應。如果你的企業粉絲專頁受到這些威脅影響,請立即回報並要求 FB反應。
- FB 不會將外部網域連結用於內部流程和通知。一旦訊息或貼文內包含外部連結,請立即舉報該頁面。
- 如果社群媒體有提供,請為帳號啟用雙因子身份認證(2FA)。
進入臉書「設定」→ 左邊欄位選取「帳號和安全登入」→ 「雙重驗證」→ 點入「使用雙重驗證」→ 設定你想要的驗證方式 - 安裝並啟用能夠偵測和封鎖惡意網站的多層次保護系統。個人用戶請使用趨勢科技PC-cillin,這樣不只是釣魚網站,只要是有危險的網頁或攻擊他都會先幫你擋掉喔!
6.踢掉可疑管理員:粉專內可能有被駭客加入的管理員,應該馬上將對方停權,如果是原先有其他管理員帳號被盜尚未拿回,最好也先將此帳號停權,等到他的帳號救回時再恢復權限喔!這個步驟是為了防止駭客利用管理員的權限繼續控制粉絲專頁。
趨勢科技解決方案
由趨勢科技 XGen™ 防護技術所驅動的趨勢科技Web Security Advanced為你提供前瞻性的網頁威脅防護、網址過濾和應用程式控制以及企業級功能。趨勢科技端點解決方案(如 Smart Protection Suite和趨勢科技 Worry-Free Business Security )可以偵測並封鎖惡意軟體,及其連接的惡意網域。
入侵指標(IoC)
- *hxxps[:]//www.facebook.com/awetaiwan/
- *hxxps[:]//www.facebook.com/WK.Carbon.Exhaust/
- hxxps[:]//telegra.ph/notify-07-22
* 因為無法恢復帳號名稱而被所有者放棄的被盜帳號。
@原文出處:Influential Facebook Brand Pages Stolen via Credential Phishing 作者:Alice Wu