資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

【數據】臉書好友多=人氣夯?! 當心變懶又變胖,還有帳密被盜風險

2012 年 11 月 22 日2014 年 10 月 07 日趨勢科技 TrendMicro

美國一項心理研究結果稱，臉書（Facebook）朋友愈常將自己標籤在相片中，或是時時更新動態者，就愈有自戀特質。美國另一項研究指出，臉書（Facebook）使用者加入好友愈多時，變懶又變胖的機率將提高。

一項由美國哥倫比亞大學和匹茲堡大學調查結果顯示，臉書好友愈多者變懶又變胖的機率將提高。因為當臉書朋友愈來愈多時，容易產生「自我感覺良好」的狀態,相對減低自我控制，內心常因太過快樂和放鬆，不自覺卯起來狂吃、狂睡，反倒讓自己變胖、懶惰。

套句官方臉書說的: Cakes are like facebook . 想到蛋糕就想到與親友分享的歡樂時光,想到親友團就想到臉書也能讓親友隔空歡聚分享。但小心若是吃太多蛋糕，顯然對身材不是一件好事言下之意，使用Facebook也應該適可而止才是,這也挺呼應上述的調查報告。XD

由 Facebook 貼文。

如果你想要用臉書好友證明自己的人氣,還得當心你的個人資料可能淪為犯罪份子破解帳號密碼的手段。

社交網站相關數據: Facebook使用者,非人類多達8,309萬筆

Facebook假帳號占 8.7%，貓狗、非人類多達8,309萬筆,其中專門發佈垃圾訊息，約有1,430萬個垃圾帳號。
Facebook使用者平均擁有226名好友，有16名是他們不認識的人
電視用了十三年來達到全球五千萬使用者的數字，但Facebook不到一年的時間就達到了二億的數字。
如果Facebook是一個國家，它會是世界第三大國，僅次於印度和中國
平均每個Twitter使用者有126名關注者，但只有大約35％是真人。

現在許多網站都會有的密碼回覆問題,有些網站要求你從預設的問題中選一個，例如“寵物的名字是什麼？”不幸的是，這樣的資訊很可能會在社群網站如 facebook上找到。

最常在臉書分享的個人資料排行
最常在臉書分享的個人資料排行依序是生日(63%),學校(61%),家庭成員(51%),家鄉(48%),最愛看的電視(44%),最愛的歌手(38%),最愛的書(33%),假期計畫(26%)和寵物名字(23%)。

許多網站都會有的密碼回覆問題,有些網站要求你從預設的問題中選一個，例如“寵物的名字是什麼？”不幸的是，這樣的資訊很可能會在社群網站如 facebook上找到。

這則新聞美駭客利用Facebook竊取郵件帳號被判刑6年 ,新聞指出歹徒鎖定在Facebook上公開郵件位址的女性，然後從這些女性張貼的訊息了解郵件帳號的安全問題與答案，再偽裝成當事人向郵件供應商取得新密碼，並進一步偷取到女性的裸照。

事實上，這個方法也曾經被用來入侵前阿拉斯加州州長 Sarah Palin的 Yahoo郵件帳號當她在2008年參加美國總統競選的時候。

比較好的做法是，建立一個緊急密碼，最好盡可能是隨機產生的，然後放在安全的地方，像是抽屜裡。然後利用這緊急密碼當作密碼回覆問題的答案。這將確保你的密碼回覆問題的“正確答案”永遠不會出現在網路上，也不能被搜索引擎找到。

我們在本部落格提過如果你選擇了別人也能回答的身分確認問題，他們就能輕易重設你的密碼。然後，要求重設密碼的人便能取得帳戶的完整存取權限— 這就是莎拉裴琳遭遇的問題。

兩種方法可以防止入侵者重設你的密碼。

方法一：你所選擇的問題，必須讓駭客無法藉由在線上搜尋你的背景資料而猜出答案，此外你還必須確定他人無法透過公開的來源取得太多關於你個人的資訊。人們現在不需花費太多功夫即可取得經常用於識別身分的資料，例如郵遞區號、就讀的高中、你的愛犬等等。有養寵物的人不曾在Facebook 提到小狗小貓名字的請喊”又”?

試想,你曾不曾在Facebook 張貼你寵物的名字?你就讀的學校是不是在你的個人檔案一目了然？

方法二：就是答非所問，你所選擇的問題填入毫不相干的答案。如果問題是「你寵物的名字？」，並不表示答案不能設定為「我是大美女」，但前提是你得記得這個密碼。

別太快接受陌生人的好友邀請，讓覬覦個人資料的網路犯罪份子有機可乘

我們有時太快去接受陌生人的好友邀請了，卻不知道這對覬覦個人資料的網路犯罪份子來說是個獲得你個人資訊的好方法。一旦你接受為好友，他們就可以發布惡意連結、或夾帶可疑連結的影片和照片到你的塗鴉牆上，這會讓你和你的真正朋友遇上真正的麻煩。

比如不小心按下駭客設的惡意連結,搞得塗鴉牆色情發文一拖拉股…到時候被朋友封鎖可就有苦難言了!

確認歷任舊情人,報馬仔同事,老闆…駭客都看不到你?

原來在臉書內定的設定,所有人都可以使用你的電子郵件和電話號碼搜尋到

不要讓隱私成為公開秘密,《PC-cillin》協助您檢查隱私設定！
✔獨家【Facebook隱私權監測】檢查您在臉書上的隱私權設定，防止個資成公開的秘密
✔PC-cillin雲端版跨平台同時支援Win、Mac及Android手機與平板

一半的臉書用戶每2-3 個月檢查隱私設定今天開始PC-cillin雲端版幫你天天做

我們曾經在這篇文章教大家做隱私設定,現在PC-cillin 雲端版的【Facebook隱私權監測】更貼心，它可以確認你的設定是否過於公開，讓你可以控制誰能看到你的個人資訊。只要一個按鈕就可以保護你的隱私。防止個資成公開的秘密

【自動協助隱私設定社交網路安全好夥伴 PC-cillin 免費試用歡迎下載】

不吐不快,好友限定,PC-cillin 雲端版【Facebook隱私權監測】幫你一指搞定

趨勢科技PC-cillin 雲端版，可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

趨勢科技SafeSyncfor Enterprise企業私有雲便利安全雙把罩受核研所青睞採用

2012 年 11 月 21 日2012 年 11 月 08 日趨勢科技 TrendMicro

趨勢科技SafeSync for Enterprise企業私有雲 便利安全雙把罩 受核研所青睞採用

隸屬於行政院原子能委員會的核能研究所(以下簡稱核研所)是政府針對原子能研究與應用設立的國家級研究機構，隨著近年來各種新興再生能源技術的發展，也不斷擴張研究領域。核研所的國家級研究資料，是眾多專家學者累積的心血結晶，更是國家未來能源發展之方向，而如何安全地保存這些資料，同時還要能夠確保資料安全且快速的在研究計畫的專家學者間分享與流通，成為核研所資訊人員的重大挑戰。

核研所綜計組副組長王培智博士表示，核研所過去檔案分享的主要管道為檔案伺服器、FTP，以及個別電子郵件。但運用這類管道會遇到的效能瓶頸為檔案過大不易傳輸與管理不易等問題。經由email附加檔案寄送電子郵件，是研究員每天再熟悉不過的流程，但卻對核研所的儲存系統帶來很大的負擔。王培智表示：「所內1,000多名使用者在一天之內會產生高達5萬封電子郵件，其中許多郵件均夾帶大型檔案。經年累月產生的資料量便得耗費不少儲存空間，每天傳輸這些夾檔郵件佔用的網路頻寬，還會排擠其他需使用網路的應用效能。所以一直希望能夠有一套安全、方便管理的檔案分享機制。」

趨勢科技SafeSync for Enterprise 企業私有雲 促進企業團隊協同合作能力 受核研所青睞

「研究了市面上相關產品，最後選擇最符合本所需求的趨勢科技SafeSync for Enterprise企業私有雲。」

王培智表示，市面上許多雲端儲存或群組儲存軟體，多半僅能提供資料的共享備份、跨裝置資料同步等功能。趨勢科技SafeSync除了這些功能之外，更俱備資料同步功能，增進核研所內協同合作的能力。

所內研究計畫主持人可以依需求自行開設專屬虛擬資料夾，並設定資料夾共享與存取權限群組，毋須資訊人員代為設定，減輕IT部門負擔。SafeSync的同步更新特質增快所內研究計畫成員間的溝通效能。資料上傳與下載都經由SafeSync自動執行，完全不影響使用者的工作流程，並解除伺服器傳送大量檔案複本造成的負擔。更重要的是，專案負責人能夠自行設定可存取資料的成員，

繼續閱讀

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

2012 年 11 月 20 日2012 年 11 月 15 日趨勢科技 TrendMicro

密碼還原程式,專門偷線上服務和應用程式帳密,即使使用安全連線 HTTPS、SSL 也無法避免

使用者總以為使用了 HTTPS 和 SSL安全連線，就可以高枕無憂。但如果資訊在傳送之前就已遭到竊取，那麼這些安全連線就沒有機會可以保護您的資料。一個新型的密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站如 Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行也無法倖免。

由於資訊已成為一種新興貨幣，網路犯罪者時時刻刻都在思考如何竊取使用者的寶貴資料。而 PASSTEAL 正是歹徒最新的資料竊取工具，內含了一個密碼還原程式，可有效蒐集使用者的登入帳號密碼，即使是採用安全連線的網站也無法倖免。根據我們所分析到的資料，此惡意程式有某些變種是專門竊取 Google Chrome 和 Internet Explorer 當中所儲存的帳號密碼，使用的是類似「PasswordFox」的工具。

過去，趨勢科技已發現多個專門竊取資料的惡意程式，包括專門蒐集影像檔案並且上傳至遠端 FTP 伺服器的 TSPY_PIXSTEAL.A。PASSTEAL 有某些行為與 PIXSSTEAL 類似，但它竊取資訊的方式很不相同。

TSPY_PASSTEAL.A 專門蒐集儲存在瀏覽器內的資訊

趨勢科技偵測到 TSPY_PASSTEAL.A 會擷取多種不同線上服務和應用程式的帳號登入資訊，然後儲存在一個名為 {電腦名稱}.txt 的文字檔內。

有別於大多數透過鍵盤側錄來蒐集資料的惡意程式，PASSTEAL 使用的是密碼還原程式來擷取瀏覽器內所儲存的密碼。在趨勢科技所分析到的樣本當中有一些壓縮過的資料，這是一個專為 FireFox 瀏覽器設計的程式，叫做「PasswordFox」。

PASSTEAL 一旦蒐集到資料，就會執行命令列指令程式的「/sxml」選項，將竊取到的帳號密碼儲存成 .XML 檔案，然後再將它轉成 .TXT 檔案。接著，PASSTEAL 會連線至遠端 FTP 伺服器，將蒐集到的資訊上傳。

事實上，此密碼還原工具可讓 PASSTEAL 擷取瀏覽器儲存的所有網站密碼，即使是使用安全連線 (SSL 或 HTTPS) 的網站也無法倖免。使用這類連線的網站包括：Facebook、Twitter、Pinterest、Tumblr、Google、Yahoo、Microsoft、Amazon、EBay、Dropbox 以及各種網路銀行。繼續閱讀

Skype出現帳號大漏洞！連小孩都能駭入帳號

2012 年 11 月 19 日2012 年 11 月 15 日趨勢科技 TrendMicro

作者：趨勢科技資深分析師Rik Ferguson

一個Skype嚴重的漏洞已經浮上水面了。這個漏洞讓你只要在知道對方電子郵件地址的情況下，就可以取得任何使用者的Skype帳號。

對於這問題的概念驗證文章大約在三個月前被貼到俄羅斯的論壇上。原本的作者在昨天又再貼到另一個網站上。作者還指出，這漏洞已經被廣泛的濫用了，影響到許多他聯絡人列表上的使用者。

基本上，整個過程非常的容易，就算是最沒經驗的電腦使用者也可以做到。需要作的只是用別人的電子郵件地址註冊一個新的Skype帳號，一旦完成這個步驟，密碼重設程序的一個漏洞就可以讓攻擊者利用線上密碼重設網頁來取得受害者的帳號。這會將受害者鎖在他們的Skype帳號之外，讓攻擊者可以接受並回應所有發給受害者的訊息。我測試了這個漏洞，整個過程只需要花幾分鐘的時間。

這問題已經回報給微軟（去年收購了Skype），在深入調查這漏洞的同時，他們先移除線上密碼重設網頁以作為預防措施。

在重設密碼網頁被禁用前，唯一可以保護自己的作法，就是註冊一個完全獨立而不為人知的電子郵件地址給Skype帳號使用。不過這作法有點不切實際，而且理論上這樣做會讓你更容易被攻擊，因為你不太可能定期調查很少用到的收件夾。

這個故事讓我們學到什麼？即使你只是發信給別人，這資訊也可以用來對付你，盡力維護隱私總是不會錯的。

＠原文出處：Skype vulnerability makes hijack child’s play.

趨勢科技建議使用者應選取具有主動偵測並封鎖惡意程式與網頁的資訊防護軟體，如：趨勢科技PC-cillin 2013 雲端版


PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載

◎即刻加入趨勢科技社群網站,精彩不漏網

“Facèboðk警告BLOCKING FACEBOOK，即時確認！”帳號24小時內即將被鎖?是網路釣魚詐騙!

2012 年 11 月 16 日2012 年 11 月 15 日趨勢科技 TrendMicro

趨勢科技近來發現駭客假借Facebook名義，發送內含網路釣魚（Phishing）連結的假警告信件給Facebook的使用者，通知使用者其帳號已經遭檢舉為垃圾郵件(SPAM)帳號，需立即點選email內的連結進行帳號安全性確認，否則帳號將可能遭永久停用。使用者一旦點選該網址後，將被導至假Facebook安全檢測系統(Security System)，要求使用者輸入臉書帳號與密碼，以及提供信用卡相關資訊，導致個資外洩。

運用Facebook等知名社交平台名義發動的相關攻擊層出不窮，趨勢科技近來發現，駭客假借Facebook的名義發送假警告信件，通知email收件者其臉書帳戶已經被舉報為垃圾帳戶，需於24小時內點選信件中所附的網頁連結進行帳號確認，否則帳號將被永久停用。該信件引起使用者注意，並已於知名網路與BBS論壇上造成討論。

信件內容樣本之一:

Facèboðk警告BLOCKING FACEBOOK，即時確認！ 親愛的 : 用户帐户

Facebook要求用戶確認各自的帳戶作為證據的真實性的帳戶。這是因為許多人使用假身份和假資料圖片在他們的帳戶。 違反我們的使用條款，可 阻塞導致臨時帳戶或帳戶 永久封閉。 請確認您的帳戶，在下面的地址： hxxp://apps.facebook.com/security_account_tw/ 為保障您的帳戶 在24小時內立即確認你的 Facebook 帳戶。如果你不確認，系統會自動關閉您的帳戶永久的假設是真實的 Facebook 的跡象。 感謝您的幫助，以改善我們的服務 Facebook™ 安全 Facebook ©2012版權所有網絡 使用條款。隱私權政策 bv保留所有權利█║▌│█│║▌║│█║▌│█│

電話：（650.543.4800）傳真：（650.543.4801）

趨勢科技資安專家偵測發現，一旦點選該網址後，使用者將被導向特定網頁，該網頁貌似Facebook的安全檢測系統，要求使用者輸入用於註冊的Facebook的email帳號、密碼以及生日等個人資料。輸入該網頁所要求的訊息後，使用者將被導至另一個網頁，並被要求提供信用卡等相關資訊。初步判定該網頁應該是駭客用於騙取使用者臉書帳號密碼以及信用卡資訊的假網頁。

“Facèboðk警告BLOCKING FACEBOOK，即時確認！”帳號24小時內即將被鎖?是網路釣魚詐騙! — 旦點選該網址後，使用者將被導向特定網頁，該網頁貌似Facebook的安全檢測系統，要求使用者輸入用於註冊的Facebook的email帳號、密碼以及生日等個人資料。

繼續閱讀