fb - 資安趨勢部落格

網路正妹想跟我當 fb 好友,該不該接受呢?三步驟從大頭貼揪出臉書假帳號!從三則網路照騙故事,學反詐騙

2021 年 09 月 01 日2021 年 09 月 02 日趨勢科技TrendMicro

你曾經收過美女或帥哥的交友邀請嗎?你有想過「她」可能是「他」假扮的嗎?

是美人計也是社交工程陷阱
假美女教練 FB 帳號,騙到國防承包商員工個資 — 是美人計也是社交工程陷阱

想跟你做朋友的是真人還是假帳號?從三則網路照騙故事,學反詐騙

案例一: 假美女教練 FB 帳號,騙到國防承包商員工個資

駭客集團瞄準了外國政府的國防承包商員工進行攻擊,建立一個假裝是美女有氧舞蹈教練的 FB 帳號,並與攻擊目標的員工私訊。⁣
⁣
取得信任後的8個月,這名「教練」假稱要進行疫情期間的飲食調查，將內帶有惡意程式的調查檔案以電子郵件寄給受害者。⁣

假美女教練就是這樣突破心防:

1.創立美女教練社群網站帳號,並挑選目標攻擊對象
2.分享健康資訊,突破心防
3.透過 OneDrive 網路資料夾,共享性感影片,降低心理防備
4.佈局8個月後,假稱進行疫情期間飲食調查,信件附檔含竊個資程式。

⁣

案例二: 政商機密被照「騙」駭客的秘密武器- 美人計⁣ ⁣

⁣ 中東企業遭駭客攻擊，原來駭客是男職員的女性臉書網友,用假身分來騙取公司機密。⁣ 這名29歲棕髮美女 Mia Ash ,臉書上的感情狀態是「一言難盡」,自稱住英國倫敦，熱愛攝影。在臉書上專跟在能源、科技、航太等企業資深員工「交朋友」。⁣ ⁣ 打情罵俏一段時日後,以幫忙填問卷為由,將電腦病毒植入對方公司電腦竊取公司機密。⁣ ⁣ 後來發現該大頭貼是盜用羅馬尼亞美女部落客的照片,目的是騙取政商機密，該組織過去曾以相同手法攻擊多個國家。⁣

⁣ 案例三:荒謬的臉書愛情故事⁣ ⁣

大學足球明星與史丹佛大學女孩相戀,女友過世後才被發現是一場盜用照片的惡作劇!!⁣ ⁣ 2012年美國聖馬大學後衛足球隊員Manti Te’o在網路上愛上一個名叫 Lennay 的女孩。但他從未在「真實世界」裡見過她，就把她當成了自己的女朋友。 2012年九月，就讀史丹福大學女友 Lennay因為白血病「走」了。⁣ ⁣ 這激勵了Manti在賽季中帶領大學球隊「愛爾蘭戰士」打出好成績，他還在之後的電視訪談中提到他的「過世女友」,後經媒體踢爆女友是假的。 ⁣ ⁣ 原來他也是這場騙局的受害者，因為所謂的”女友”根本未曾謀面,只是網路上的情侶關係,而”女友”是一個盜用高中女同學照片當 FB 大頭貼的男人。⁣

⁣

想跟你做朋友的是真人還是假帳號 ? ⁣

當你k收到不認識的正妹或帥哥的 facebook 好友邀請呢?有的時候我們無法確定這些好友邀請是不是居心叵測的詐騙集團，教您一招簡單的過濾技巧,如果您不想發生像這樣的慘劇:大頭貼看起明明就是我朋友,竟是詐騙份子 ! ，快來學習如何揭穿從網路抓圖片當大頭貼意圖欺騙您的假帳號~

Step1.將您想要測試的帳號大頭貼(如果是頭像的話)先截圖或下載下來

Step2.利用google以圖找圖的功能來找尋有關此大頭的資訊，如果這張圖片在網路上有資訊，這樣就能夠知道對方是不是從網路抓照片開假帳號了

(想要了解如何用google以圖找圖的功能請參考《使用Google以圖找圖，快速又有效的方法》)

Step3.再比對網路找到的圖片資訊(如果有的話)和此人的個人首頁資訊，如此就大概能夠知道這個人的身分是否真實囉~

(小提醒:這種方法只能限定於判斷對方是不是從網路抓圖開假帳號，最近很流行詐騙集團利用您朋友的圖像作為頭貼要欺騙您加入好友，在確認好友邀請的時候要多加留意喔!)

(小補充:現在臉書利用臉部辨識的技術將推出了一個新功能，只要有其他人上傳一張您的照片並設為公開，臉書就會跳出通知提醒您，若您的照片真不幸被盜用，您就可以快速的反應過來呢!)

》延伸閱讀: 如何防止照片被盜用?

PC-cillin 完整防詐攻略：保護資料/偵測威脅/防範侵入，識破各種詐騙手法，全面防護更安心。不只防毒，更防詐騙！不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

粉專遭盜事件頻傳要求驗證臉書帳戶民眾要注意 !

2020 年 06 月 03 日2020 年 06 月 03 日趨勢科技 TrendMicro

【2020年6月3日，台北訊】近期名人粉絲專頁遭駭頻傳，受害人數眾多，其中包含知名圍棋美少女黑嘉嘉也差點受騙。全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 發現有不肖分子企圖偽裝成 Facebook官方通知，不僅在Facebook開設幾可亂真的「Prıvacy Policy」粉絲專頁，甚至利用英文字母「i」和「ı」等微小差異，企圖混淆視聽、騙取粉絲團的帳密資訊。

趨勢科技發現駭客正偽冒官方訊息企圖騙取大量名人網紅臉書帳密

駭客正透過大量設立偽冒的官方粉絲專頁，企圖騙取臉書帳密。知名圍棋美少女黑嘉嘉也曾收過要求驗證帳戶的通知，黑嘉嘉指出當時看到訊息時，有先將不明網址傳送給防詐達人檢查，發現該網址為不安全連結，才沒有上當被騙。

根據趨勢科技研究團隊發現，駭客正透過大量設立偽冒的官方粉絲專頁，在其頁面上tag許多不同名人網紅的Facebook粉絲專頁，其中有個假冒官方粉絲專頁甚至已tag超過700位名人網紅，企圖騙取他們的臉書帳密。

這些被tag的名人網紅，會收到Facebook通知訊息或是E-mail信件的通知，宣稱「你的粉絲專頁已被其他人舉報，為了防止這種情況，我們需要驗證你的帳號」，並提供連結要求用戶遵循指示以驗證Facebook帳號。用戶被誤導點擊連結網址時，會引導至一個Telegram網頁，同時要求用戶點擊並進行帳戶驗證，點擊後便即刻被引導至假冒的Facebook登入頁面，要求用戶登入以驗證帳戶，一旦上當，駭客將會接收用戶的Facebook帳密資訊，獲得粉絲專頁的管理權限。

【圖說一】駭客企圖偽裝Facebook官方通知，利用英文字母「i」和「」等微小差異，開設假的「Prvacy Policy」粉絲專頁。

繼續閱讀

情人伴侶經常為自己挖的四個資安漏洞

2020 年 02 月 13 日2020 年 02 月 15 日趨勢科技 TrendMicro

臉書只是跟好友聊天抒發的平台?一個離婚官司案件,法官下令雙方將臉書 ( Facebook )密碼交給對方律師,進行相關蒐證。
共享帳號密碼是給予對方承諾的最佳方式 ? 56% 的情侶都這麼認為, 但真實案例告訴我們,這後果有多慘烈。
跟對方共用電腦很一般嗎?她竟讓自己的臉書密碼被換掉,還被上傳裸照!
拍下私密影像前,是否有被公開的心理準備?

丙對兩說：「你家什麼時候多了一個人，結婚了？」結婚,似乎是愛情故事最美的結局,但如同這句網路流傳的金句所言:「愛的力量大到可以使人忘記一切，卻又小到連一粒嫉妒的沙石也不能容納。」
於是戀人阿,請從現在開始熟記以下的四個戀愛資安守則,避免犯下以下列舉的錯誤,並謹記: 人,才是最大的資安漏洞。

1. 社群網站過度分享

被貼到社群網站的內容，現在也會被拿來在法庭聽證會上作為證據。像是在離婚過程中，會利用上傳到 Facebook 的照片來證明丈夫的不忠。

在這個案例中美國法官命令1對離婚夫妻互換Facebook密碼,法院下令，申請離婚的夫婦必須向對方提供所有社交網站的密碼，以便於雙方律師能夠登錄尋找指控證據。根據法庭的命令，夫婦雙方都被禁止修改社交網站密碼，也不能刪除任何資訊。另外，他們也被禁止用對方的帳號發佈消息，弄虛作假或抹黑對方。

繼續閱讀

駭客如何利用員工的社群網站、電子郵件入侵公司?-維護職場網路安全四要點

2018 年 11 月 02 日2019 年 06 月 24 日趨勢科技 TrendMicro

「1,863萬台幣贖金 ,另加 3,105萬元購買新電腦和硬體!」這是發生在美國佛羅里達州里維拉灘市（Riviera Beach）一名警察部門的員工，不小心點開「有毒郵件」，導致市政府電腦被癱瘓了3周後的代價。(相關報導)

一間新竹科技公司，為何因為一時沒看出「xxx@ximhan.net」與「xxx@xlmhan.net」兩帳號差異，竟損失近2千餘萬元?
臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」還是攻擊跳板?
如果員工上班時瀏覽網站不小心點入了惡意廣告,對企業組織有何風險?
網路資安情勢瞬息萬變,只針對新進員工進行網路資安訓練夠嗎?

企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。以下從四個面向: 「社群網站」、「電子郵件」、「網頁瀏覽」及「員工教育訓練」提供一些指南：

企業資安不是 IT 部門的專屬責任,每一位員工都是把關者

臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」?駭客眼中夢寐以求的攻擊跳板有哪些特質?

為何員工在社群網站發言,會影響企業安全? 駭客如何利用假身分掩護,加入某公司員工的社群帳號,進而引發一場資料外洩事件?請看以下影片:

這位仁兄幾乎接受所有的交友邀請,他很自豪的認為高人氣的社群人脈,可以讓他迅速飛黃騰達,他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位社群網站”好友”,實際上多數為陌生人,知道他的作息與工作點滴,你身邊也有這類型的同事嗎?為何這種人會成為攻擊者夢想中的目標?他和所屬的公司,最終付出什麼代價?

企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。本文從四個面向:「電子郵件」、「網頁瀏覽」、「員工教育訓練」及「社群網站」提供一些指南：

1.電子郵件安全

電子郵件至今仍是企業及員工所面臨的最大一項威脅管道。電子郵件是今日企業溝通的最主要工具。因此一再成為歹徒的犯案工具。對企業來說，最困難的一項工作就是今日社交工程陷阱越來越高明，因此讓員工很難察覺有詐。員工可採取以下幾個作法來加強防範：

檢查電子郵件來源網域。很多時候，歹徒會利用看起來跟某機構長得很像的網域名稱。因此，您要仔細查看一下發信地址。

《延伸閱讀》新竹一間科技公司，一時眼花, i 跟 l 分不清,損失新台幣2千餘萬元!
➔ BEC變臉詐騙,一封郵件騙走一棟房子一點都不誇張。
➔ 看似拼錯的網域名稱竟可賣100英鎊！(含facebook google paypal 等假網址一覽表)
如果信件當中含有網站連結，請將滑鼠移到連結上停一下，看看其顯示的網址是否與電子郵件的來源相同。例如，發信的公司網域名稱與網址所顯示的網域可能不同。|
➔ 「前往我的賣場」竟連結到網路釣魚網站?! 網址明明是 Google 官網,居然連到 Yahoo!?…五招防個資外洩
仔細觀察訊息內容，如果它一直在催促您盡快開啟某個附件檔案或點選某個連結，那很可能有詐。
先將附件檔案另存新檔，然後掃瞄看看是否為惡意檔案，切勿貿然直接從電子郵件內開啟附件檔案。

2.網頁瀏覽

網站是許多員工和企業遭到駭客入侵的第二大途徑。許多歹徒都會利用一些熱門網站或網頁內的廣告來感染使用者。網路釣魚(Phishing)網頁在今日非常流行，因為網路犯罪集團很希望能竊取使用者在一些熱門網站的登入憑證。使用者可以採取以下幾個作法來加強防範：

若您突然看到畫面上彈出一個以前不曾見過的登入畫面，請務必小心，並且切勿直接登入。請改用原本已加入書籤的頁面來登入該網站。
小心網站上的廣告，因為許多歹徒都是利用惡意廣告來感染使用者。
確認您的系統或企業機構已架設網站過濾功能來封鎖一些惡意的網站和網頁。
盡可能使用書籤來前往某個網站，或者直接在網址列輸入網址，避免直接點選電子郵件或訊息當中隨附的連結。

3.員工教育訓練

許多企業機構在投入了一些資源來進行員工網路資安訓練之後，都確實改善了資安的情況。像這樣的教育訓練務必持之以恆，不論是針對新進員工或老員工，因為網路資安情勢瞬息萬變。

定期舉辦網路釣魚模擬計畫:您可以定期提供一些有關威脅如何運作的影片，或是透過一些網路釣魚模擬計畫來定期檢測員工是否會點選您刻意製作的網路釣魚郵件隨附的連結。
員工專屬疑似電子郵件回報信箱:除此之外，企業還可以成立一個專門的電子郵件信箱讓員工將可疑的電子郵件轉寄給 IT 部門。但請注意，企業務必迅速作出回應，這樣才能讓使用者知道如果真的遇到惡意郵件，他們確實會收到通知。
不要有僥倖心態:所有員工都應謹記，不論任何時候，他們都有可能遭到攻擊。許多員工或許會認為自己不可能成為攻擊目標。不過，網路犯罪集團絕不會輕言放棄，如果他們一直無法讓某個員工上當，那麼他們就會另尋其他目標，直到有人掉入他們社交工程陷阱為止。企業機構，尤其是小型企業，更須謹記這點，因為，他們總有一天會成為攻擊目標，只是時間早晚而已。

駭客和網路犯罪集團隨時都在攻擊全球各地的企業機構和員工，換句話說，企業機構內的每一個人都要嚴加戒備，隨時注意自己的網路活動，以確保自身安全。當然趨勢科技也知道我們可以做得更多，因此我們隨時都在投資新的技術來保護客戶，防範威脅入侵客戶，因為，建立一個安全的數位資訊交換世界是我們的使命。

4.社群網站

別讓你的個人檔案像一本可以自由翻閱的書,免得駭客可以看到任何所需資訊,加以利用謀取利益!

本文一開頭的影片男主角 Dave是攻擊者夢想中的目標,因為他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位陌生人知道,你身邊有沒有這種人呢？
我們都使用社群網路,但如果你不謹慎小心,就很容易洩漏這麼多資料,Dave可能覺得有趣,分享自己所做的一切,但是對心懷不軌的人,這正是大好機會,利用你過度分享的資訊。在你察覺之前,滲透掌握你的一舉一動,即使你分享資訊沒有損失,最終仍可能為此付出代價。
影片中的駭客寫電子郵件給Dave的上司,提出非常有趣的提案,在假試算表嵌入惡意程式碼,只要幾秒鐘就能完成,你可能認為這種事情,只發生在電影中,但事實上大部分攻擊,都使用社交工程,建立可信藉口欺騙受害者,從事不明智的行為,只是一時判斷不當,圖謀不軌的人就能取得他所要的存取權限。

有計畫的犯罪份子會仔細瀏覽網路,搜尋更多系統及資料,這不是短期的駭客行為,他們會長期取得機密資料,銷售給地下犯罪組織,可能是信用卡資料庫或公司全力投入的專案。

請記住以下四點: