粉絲團
隨著 Facebook 、 Twitter 等社群網站與工具的普及,人與人的網路互動不受時空限制越趨緊密。根據研究調查,社群網站 Facebook 的會員人數已突破五億人, Twitter 獨特的 140 字元微網誌型態,更成為網路使用者自由發揮的空間。根據趨勢科技 (東京證券交易市場股票代碼: 4704 )的研究報告指出,社群網站熱門程度、高度開放性與互動性成為人際社交新寵、行銷新工具,但同時也讓個人隱私於平台上無所遁形,成為網路駭客攻擊主要目標。
針對不同社群平台模式,駭客應運而生不同的攻擊方式:
Facebook :
按「讚」( Like )卽遭感染:
駭客運用引人注意的貼文當誘餌,當使用者受到誘騙,對含有惡意程式的貼文按下「讚」( like )時,貼文中隱含的惡意腳本( Script )會自動轉貼連結於他人的塗鴉牆。典型的手法包括利用季節性的事件,名人的新聞甚至是災難消息發表吸引人的貼文。使用者一旦點擊連結,無意中也讓自己變成攻擊幫兇。近來流行的攻擊方式是讓使用者於不知情的狀況下對某些網頁按「讚」( Like ),惡意腳本將使用者導向仿造的 youtube 網頁,使用者點選 youtube 影片後會跳出問卷頁面,一旦使用者點選或填寫任何資訊於此頁面,含有此仿 youtube 的貼文將會自動且重複地張貼於使用者的 facebook 頁面上。
流氓應用程式:
Facebook 這個開放式的平台允許任何人於其上開發應用程式。應用程式讓使用者可以玩遊戲以及增加不同類型個人資訊,增加 Facebbok 的娛樂性。當然駭客們也會利用這個機會開發流氓應用程式,發佈垃圾訊息或進行網路釣魚攻擊( Phishing )。
聊天室攻擊:
Facebook 的聊天室功能讓使用者和駭客都更容易與聯絡人建立對話做即時訊息傳播。之前的攻擊案例中,聊天訊息被駭客用於散播惡意軟體和宣傳網路釣魚應用程式 。
Twitter 微網誌平台
垃圾訊息 &下載惡意軟體:
此類攻擊的流行程度甚至已有 Twitter 專用的駭客工具套件。運用 Twitter 微網誌的字數限制特性,散布短卻引人注意的訊息,根據趨勢科技觀察,免費券、徵人廣告和推薦神奇的減肥產品為最常被利用來引誘網友點選的前三大主題,值得注意的是,此類訊息中通常含有惡意程式,將使用者導向特定網站,目的是為了竊取使者個人資訊。
除了發送垃圾訊息外,駭客並利用 Blackhat SEO (黑帽搜尋引擎最佳化)的手法,使用者點選含於 Twitter 訊息內的網址後,卽可能感染 FAKEAV 、後門程式、會自動散發訊息給朋友的蠕蟲等。
Twitter Bot :
駭客們還利用 Twitter 發展出管理和控制殭屍網絡的方法。舉例來說,駭客透過 Twitter 散播一隻名為 WORM_TWITBOT.A 的病毒,殭屍網路的管理者可以透過 Twitter 帳號下命令來加以控制被 WORM_TWITBOT.A 所感染的電腦,將受感染電腦的 IE 首面導至另一個駭客指定的網頁,以下載其他的惡意程式。
不論是利用 Facebook 或是 Twitter 進行攻擊,一旦駭客獲得使用者帳號,更容易透過此帳號獲得更多其他使用者的資訊,資訊竊取與帳號盜用將如骨牌效應般產生,相較之下,利用社群網站資訊來獲得組織內部運作模式與機密,遠比想像中更容易。
