Google+ - 資安趨勢部落格

Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用

2017 年 05 月 05 日2022 年 09 月 17 日趨勢科技 TrendMicro

近日爆發大規模假冒 Google Docs 邀請的釣魚信件，受害者會收到來自熟人的 Gmail 郵件，要求開放權限給「Google Docs」應用程式，一旦授權，歹徒不僅能讀取 Gmail信件，還能利用其名義發釣魚信給通訊錄中的每一個聯絡人，因此這個不肖程式短期內廣為擴散。無獨有偶,最新勒索病毒 Mole, 也利用 Google Doc 散播!

新型態網路釣魚,與激進駭客組織 Pawn Storm “偽裝 Gmail 的安全通知”手法雷同

這個冒牌的 Google Docs 應用程式有別於一般的網路釣魚攻擊，不會騙取使用者的帳號密碼，而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證，簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。

若您最近若收到看似正常的 Google Docs 文件連結，小心成為最新一波精密網路釣魚攻擊的受害者。在這波網路釣魚詐騙當中，歹徒假冒的 Google Docs ，因此較一般傳統網路釣魚（Phishing）更容易讓人失去戒心。

首先，歹徒會假借分享文件的名義，冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結，頁面上會列出使用者所擁有的全部帳號。接著，該網頁會請使用者選擇一個帳號，並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而，一旦使用者授權給該應用程式，該程式就能存取其電子郵件信箱和通訊錄，不僅能讀取信件，還能利用其名義發信。接著，該程式會讀取受害者的通訊錄，然後再用同樣的手法，發信給通訊錄中的每一個聯絡人。藉由這種複製方法，這個不肖程式短期內就能散布得非常廣。

冒牌的 Google Docs 應用程式，不會騙取帳號密碼，而是利用 OAuth機制登入使用者的帳號

這個冒牌的 Google Docs 應用程式有別於真正的網路釣魚攻擊，不會騙取使用者的帳號密碼，而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證，簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制，此機制的好處是使用者不須提供自己的帳號密碼，而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
儘管 OAuth 既方便又應用廣泛，但卻也可能讓使用者暴露於風險。駭客可只需設法通過服務供應商的背景審查，就能讓自己的應用程式通過驗證，成為可以合法使用 OAuth 機制的應用程式。接著駭客就能利用進階社交工程（social engineering ）詐騙來騙取使用者的 OAuth 認證碼。由於某些網路服務供應商只會要求第三方應用程式提供電子郵件地址和網站網址就能使用 OAuth。因此，像 Pawn Storm 這樣經驗豐富的駭客團體才能利用 OAuth 來從事網路釣魚詐騙。比如偽裝成來自 Gmail 的安全通知，要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式 (如下圖)………>>看完整報導

Google 在 Twitter 帳號上發表聲明

Google 是從Reddit 討論串聽到這項風聲，並隨即在一小時內將這個不肖應用程式下架。此外也在其官方 Twitter 帳號上發表以下聲明 (如圖)：繼續閱讀

PC-cillin 如何防範社群網站上的惡意連結?

2016 年 03 月 15 日2016 年 03 月 16 日趨勢科技 TrendMicro

另外最多人上當的莫過於假冒臉書發出的各類警告訊息,如:臉書網路釣魚,假「安全檢查」,真騙信用卡帳號,”冒臉書訊息通知,重登入遭盜刷!! ” “12 小時內不驗證帳號,將被永久停權”各類冒用臉書官方發送的警告訊息頻傳,它們都有一個共同特色-“限時驗證帳號”,從1小時到 24 小時不等,請參考最多人誤點的 FB 詐騙公告

我們很容易忘記，只要一個不小心在社群網站上點了某個惡意連結，就可能帶來一連串的厄運：不是個人資料遭到竊取，就是電腦受到感染。還有當心把.com手殘打成.om，被誤導到惡意網站,，目前這些仿冒網域名稱包括netflix.om、youtube.om、linkedin.om、yahoo.om、gmail.om等等。延伸閱讀:看似拼錯的網域名稱竟可賣100英鎊！(含facebook google paypal 等假網址一覽表)

那麼，您該如何才能輕鬆地和親朋好友分享生活中的點滴，又能防止自己誤觸惡意連結呢？

趨勢科技PC-cillin雲端版在安裝的時候就會自動開啟社群網路防護功能來保護您，其實，這就是當您在搜尋網站時保護您的「趨勢科技工具列」網站威脅防護功能。有了社群網路防護功能，當您在瀏覽一些熱門的社群網站，如，就能獲得安全保障。

請依照下列步驟來查看或開啟趨勢科技PC-cillin雲端版的社群網路防護功能：

1.點兩下您桌面上的趨勢科技PC-cillin雲端版捷徑來開啟趨勢科技 PC-cillin 主畫面。

2.點一下主畫面中的隱私安全選項。接下來在「隱私安全」畫面上，您會看到網路隱私偵測、社群網路防護和私密資料保全。

PC-cillin雲端版：隱私安全 > 社群網路防護。 — 圖 2：隱私安全 > 社群網路防護。

繼續閱讀

你想知道誰在看你的社群媒體個人檔案嗎？InstaAgent 證明了社群媒體檢視詐騙仍然有效

2015 年 11 月 20 日2016 年 04 月 21 日趨勢科技 TrendMicro

你想知道誰在看你的社群媒體個人檔案嗎？

很多人都想，這也是為什麼許多社群媒體資料最後都會被駭。

最近的報導指出 Apple 和 Google 將一款熱門應用程式從應用程式商店下架，因為發現其實際上是惡意的。iOS上的「Who’s Viewed Your Profile – InstaAgent（誰在看你的個人檔案）」和Google Play上的「Who View Me – InstaAgent（誰在看我）」是號稱會秀出誰在看使用者Instagram帳號的追蹤應用程式，它們因為被發現會竊取個人憑證並送到遠端伺服器而被下架。

貧果

德國研發人員David Layer-Reiss將此發現放到Twitter上並說：「誰在看你的個人檔案 #Instaagent會將你的Instagram使用者名稱和密碼送至未知伺服器！」被取得的資料會被用來劫持帳號並試圖在未經使用者允許下上傳圖片。

該應用程式所宣稱的功能引起使用者的興趣，在其下架前帶來近百萬次的下載量，讓它能夠高踞英國免費應用程式排行榜四天。它也在美國、加拿大和德國登上熱門下載排行榜。Layer-Reiss進一步說，「我得說Who’s Viewed Your Profile – InstaAgent（誰在看你的個人檔案）是第一個在iOS App Store被下載超過五十萬次的惡意軟體」。而 Android版本的應用程式也有至少10萬次的下載 – 這數字很驚人，因為其只有低到2.2的評等。繼續閱讀

<影片>為何 FB 臉書等社群網站隱私設定很重要?

2015 年 11 月 09 日2015 年 11 月 12 日趨勢科技 TrendMicro

Rik Ferguson 是趨勢科技資訊安全研究副總裁。他製作了一系列的網路安全影片來協助消費者保障自己的安全。在這段影片當中，他談到了社群網站隱私設定的重要性。此外，他也提供了一些技巧，教您在上網和使用社群網站時如何保護自己。

以下是該影片的一些重點：

在建立網路帳號時，切勿提供一些非必要的資訊，一般來說，必要的資訊只有電子郵件、使用者名稱及密碼。若您必須提供生日，可考慮使用無意義的日期，如 1904 年 1 月 1 日。因為您的真實生日經常會與一些重要的身分識別碼連結，例如您的駕照、身分證或護照。
切勿使用公司電子郵件，此外，可考慮每個社群網站都使用不同的電子郵件地址。確保自己的貼文不會被搜尋引擎建立索引，每個社群網站在這方面的作法不一。
小心你在社群網站上張貼的內容，雖然你愛貼什麼都沒人管你，但不代表你貼什麼都沒關係。
若需要社群網站隱私設定上的協助，趨勢科技PC-cillin雲端版可幫你掃瞄 Facebook、Google+、Twitter 及 LinkedIn 等社群網站的隱私權設定。

原文出處:Your Social Media Privacy Settings Matter作者：Richard Medugno

【推薦】PC-cillin 雲端版榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮》

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

四個臉書等社群網站的惡意誘騙手法

2015 年 06 月 29 日2015 年 06 月 29 日趨勢科技 TrendMicro

當你使用心愛的社群媒體網站時，你對隱私和安全性有多關心？如果你必須作出選擇，你會先考慮哪一個？對一般網民來說，可能永遠不會想到這些問題。然而，因為資料外洩事件、身分竊賊及服務供應商分享個人資料等增加，這些事情都會影響到我們未來如何連結這個世界的方式。

這也是為什麼趨勢科技最近委託Ponemon Institute進行一項關於美國消費者對於隱私和安全性心態的深入研究。整體結果顯示出網路使用者對這方面的無力感以及他們對個人資料會如何在現代社群媒體數位世界被使用的缺乏了解。

社群的危險

我們的生活有越來越多部分在網路上。社群媒體將我們聚集在一起，豐富了我們的個人生活和商業關係，甚至讓我們更加有效率。但不論電腦使用者去哪裡，惡意份子也會跟著到那邊。網路犯罪分子紛紛湧向社群網站，看到了像竊取個人資料、散播惡意軟體作為未來攻擊之用和欺騙無辜使用者等機會。

這裡列出一些社群媒體使用者今日會面臨到的惡意誘騙手法：

Facebook按讚劫持（Likejacking）：利用有趣的文章（通常跟時事相關）來誘騙使用者點入惡意網站或釣魚連結。
《推薦閱讀》以”你的照片”為餌的點擊劫持（clickjack）最常出現在Facebook、Twitter、Google+《點擊劫持（clickjacking）》攻擊想更換Facebook情人節專屬布景嗎?小心上網被監視
惡意應用程式：可能經由Facebook導致垃圾郵件，網路釣魚（Phishing）或惡意軟體
《推薦閱讀》假的亞當‧李維 (Adam Levine) 「盲選」影片在 Facebook 散播廣告程式
Facebook聊天攻擊：透過來路不明的連結散播惡意軟體和提供網路釣魚（Phishing）應用程式《推薦閱讀》臉書網路釣魚,假「安全檢查」,真騙信用卡帳號
垃圾推文和惡意Twitter連結：造成對微網誌使用者的重大威脅
《推薦閱讀》大頭貼看起明明就是我朋友,竟是詐騙份子 ! Facebook 好友的笑臉背後…

這也是為什麼趨勢科技PC-cillin雲端版內建社群媒體安全功能,掃描和攔截惡意連結，監控隱私設定好讓使用者知道他們是否在網路上過度共享等。

隱私檔案

但除了有這些陷阱之外，使用者真的會擔心自己在社群媒體上的隱私嗎？嗯，根據Ponemon Institute的研究顯示，「對隱私敏感」的使用者從五年前的55%增加到今天的61%。這些是認為隱私很重要，但即使遭遇重大網路事件也很少會改變自己上網行為的使用者。相較之下，「以隱私為中心」的使用者數量（那些會在令人擔憂事件發生後改變行為的使用者）在這段期間從22%下降到14%。

這代表了什麼？越來越多使用者不是感到無力阻止隱私被侵犯，就是不了解這裡面所涉及的問題。

安全與隱私

這說法和研究的另一部分相符合 – 詢問使用者對於他們社群媒體上隱私和安全的感受。Ponemon發現有68%的人對社群媒體安全有顧慮，而只有46%的人對隱私有顧慮。這統計數據跟萬物聯網（IoE ,Internet of Everything）相較起來更為明顯，有75%聲稱他們對物聯網有安全顧慮，而有44%的人有隱私顧慮。

顯然地，使用者對於其資料安全有重度的關注。這可能是因為資料外洩事件層出不窮的關係，讓他們接收到越來越多的新聞報導。然而，雖然大多數消費者確實認為隱私非常重要，他們不會因為有疑慮而去改變他們的行為（如停止使用社群媒體）。

正如報告所正確地指出，「當人們可以擁有安全而沒有隱私時，他們不能只有隱私而沒有安全」。

這帶來了一些對美國社群媒體使用者內心的有趣見解，是讓這產業該好好注意的見解。我們都應該從這結果中獲得些什麼 – 完善社群媒體安全，更好地教育使用者關於線上隱私並確保我們可以更加的控制我們的個人資料。

想對這份研究報告有更多的了解，請到這裡下載「網路安全的隱私和安全：美國消費者研究」。

＠原文出處：How Much Do We Value Security and Privacy on Social Media? 作者：Jon Clay

趨勢科技PC-cillin雲端版，獨家社群隱私安全，輕鬆檢查您在Facebook、Google+、Twitter及Linkedin上的隱私設定問題，避免您在社群網站上的一舉一動被看光光!，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體,即刻免費下載