密碼被盜 - 資安趨勢部落格

如何保護你的多個網路帳號

2013 年 08 月 02 日2014 年 10 月 13 日趨勢科技 TrendMicro

你會在網路上擁有多個帳號，不管你是一般的網路玩家，社群網路專家還是精通技術的網站站長。趨勢科技做過一項研究，結果發現每個使用者平均會有至少十個網路帳號。這其實並不令人驚訝，因為網路提供許多的便利服務，像是電子郵件、網路購物、網路銀行，以及其它更多服務。

但是有著十個或以上的帳號，使用者要如何確保每個帳號都是安全的？隨著越來越多基於網頁的服務出現，這些使用者要如何管理自己的帳號安全？

這份電子指南會幫助使用者了解如何維護多個網路帳號，不管到底有多少個。

我為什麼要關心？

如果有什麼是網友所必須關心的，那就是個人資料會交到錯的人手上的風險。這裡提到了一些個人所可能會遭受的風險：

身份竊盜。網路犯罪份子可能將你的身份資料用在自己的交易上。這可能會造成非預期的產品或服務費用。身份竊盜非常普遍，每三秒鐘就發生一次。此外，根據我們的最新研究，每三個人就有一個人認識身份竊盜的受害者。

財務竊取。網路犯罪分子會滲透並搾乾受害者的銀行帳戶。僅僅在二〇一〇年，美國就有超過810萬個成年人遭受電子竊盜，損失超過370億美元。
真實世界內的竊盜。你的線上資訊也會讓現實住家面臨竊盜的風險。網路犯罪份子可以利用網路資訊所帶來的脈絡線索，來判斷你和你的家人是否不在家。一項研究顯示，有80%的劫匪會檢查受害者的社群網路帳號來規劃劫案。^註¹
信譽受損。當其他人進入你的網路帳號時，可能會導致不好的後果。他們會發送惡意郵件給你的聯絡人，或在你的社群網路上張貼不適當的內容。而且其他連結的帳號也很有可能會一起淪陷。

我要如何保護我的網路帳號？

幸運的是，你的帳號在建立之初就開始就受到保護，這要歸功於那不起眼的密碼。就跟數位世界的鑰匙一樣，密碼從早期的電腦世界就開始保護著使用者。由於他們是由使用者所建立，所以本該萬無一失。^註2

繼續閱讀

防止Facebook 臉書帳號被盜,亂加朋友進入購物情色社團(內附檢舉信箱與取回帳號網址)

2013 年 03 月 26 日2014 年 03 月 25 日趨勢科技 TrendMicro

警政署 165 反詐騙專線年初指出，短短半個月就有高達 30 件加入facebook 臉書社團被騙的報案；兩名女大生揪團網拍撿便宜，團購被騙了60餘萬元。最近更有人帳號被盜後亂加社團,甚至慘遭「盜刷買A片」。

<退出可疑社團,請這麼做>

現在就立即檢查自己有沒有被加入了一些購物或情色或其他未被告知的社團,立刻選擇退出!!
1.到臉書右上方點選”首頁”
2.滑鼠移到左側”社團”,點選”更多”,展開所有你自願或非自願加入的社團
3.把滑鼠移到你不想加入的社團名稱旁的小鉛筆,選擇”退出社團”

《三步驟,避免Facejacking》即使有人知道你的Facebook密碼，也無法登錄的必學設定

登錄臉書，在右上方的下拉式選單選擇「帳號設定」。進入設定頁面後，點選左側功能列的「帳號保安」接著進入下列設定
Step1.點選「安全瀏覽」右側的編輯選項以啟動此功能
*這將確保你在使用臉書時是加密的，可以防範類似Firesheep的密碼竊聽工具。

Step2,點選「登入通知」右側的編輯選項，選擇當有人從無法識別的裝置試圖進入你的帳號時，是否要透過電子郵件或簡訊來通知你。

Step3.點選「登入許可」右側的編輯選項。
啟動之後會有一個安全代碼發送到你的手機上。之後即使有人知道你的密碼，如果沒有安全代碼仍然不能登錄

繼續閱讀

以”你的照片”為餌的點擊劫持（clickjack）最常出現在Facebook、Twitter、Google+

2013 年 02 月 22 日2014 年 07 月 18 日 Trend Labs 趨勢科技全球技術支援與研發中心

Sherry在深夜裡收到一則從親密好友所傳來的Twitter私密訊息 – 「有沒有看過你的這張照片呀，哈哈」，還包含一個短網址。因為這位朋友是個攝影師，也有她的照片。所以收到這訊息並不奇怪。於是她點了進去,賓果!這個常用的社交工程陷阱( Social Engineering),讓她就此中了clickjacking點擊劫持。你猜到了嗎?這假造朋友發的訊息，裡面的網站連結導到一個會偷密碼的假Twitter網站。

註:點擊劫持（clickjacking）是一種將惡意程式隱藏在看似正常的網頁中,並誘使使用者點擊的手段。比如受害人收到一封包含一段影片的電子郵件，但按下「播放」按鈕並不會真正播放影片，反而是被誘騙到另一個購物網站。

假的 Twitter 登錄頁面,一直出現密碼錯誤訊息,其實密碼已經被偷了

當Sherry從iPad點入這私密訊息裡的網頁連結，行動瀏覽器帶她到看來像是Twitter的登錄頁面,，即使她覺得很奇怪，為什麼照片沒有出現在Twitter應用程式瀏覽器內。正在看電視影集的她心不在焉的，試了幾次輸入帳號密碼，「假Twitter網站」都顯示密碼錯誤。她很沮喪也放棄了，就上床睡覺了。但這錯誤的嚴重性一直到幾個小時之後就浮現了。

點擊劫持的後果

Sherry睡不著，看了看手機，凌晨四點半。手機出現訊息通知，有則來自朋友的Twitter私密訊息，問說：「你傳給我的是垃圾訊息嗎?還是你真的有我好笑的圖片？」”哦，不！我做了什麼？”Sherry 知道麻煩來了,只因為她點了那個連結。

一整天裡Sherry收到數十封簡訊、Twitter推文、電子郵件和Facebook留言，告訴她有人駭入她的Twitter帳號。

因為登錄到「假Twitter」網站，而給了非法份子Twitter帳號密碼。他們就可以登錄到Sherry真正的Twitter帳號，發送一樣的垃圾訊息跟惡意連結 – 「有沒有看過你的這張照片呀，哈哈」給所有關注我的人，讓這起犯罪攻擊繼續循環下去。這就是所謂的clickjacking點擊劫持。通常出現在社群媒體的動態消息、塗鴉牆和私密訊息（Facebook、Twitter、Google+等等），讓不知情的人點入會竊取密碼和資料的網站。

這結果可能很災難性，如果你的銀行帳號和社群媒體帳號使用相同密碼的話。網路犯罪份子可能會登錄到銀行帳戶，並在幾小時內偷走被害者的錢、身份認證以及盜刷信用卡。

如果你已經中了點擊劫持該怎麼辦?

如果你懷疑可能中了點擊劫持，馬上變更你的密碼。然後檢查是否有任何新應用程式有權限連到你的帳號，因為它們可能是惡意的，並且會竊取資料。（當你改變密碼時，Twitter會強迫你檢查所有有權限連到你帳號的應用程式。）
如果你有其他重要帳號使用已經被竊取的密碼，要馬上全部更換，而且不要使用相同的密碼。繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

2012 年 11 月 20 日2012 年 11 月 15 日趨勢科技 TrendMicro

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線，就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取，那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站如 Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣，網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具，內含了一個密碼還原程式，可有效蒐集使用者的登入帳號密碼，即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料，此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼，使用的是類似「PasswordFox」的工具。

過去，趨勢科技已發現多個專門竊取資料的惡意程式，包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似，但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊，然後儲存在一個名為 {電腦名稱}.txt 的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式，PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料，這是一個專為 FireFox 瀏覽器設計的程式，叫做「PasswordFox」。

PASSTEAL 一旦蒐集到資料，就會執行命令列指令程式的「/sxml」選項，將竊取到的帳號密碼儲存成 .XML 檔案，然後再將它轉成 .TXT 檔案。接著，PASSTEAL 會連線至遠端 FTP 伺服器，將蒐集到的資訊上傳。

事實上，此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括：Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行。繼續閱讀