作者：Maydalene Salvador（趨勢科技 垃圾訊息防治研究工程師）

TrendLabs趨勢科技 網路內容安全分析人員最近收到據稱來自hi5的垃圾訊息。hi5是一個“全球年輕人碰面玩樂的地點”的網站，宣稱每月有超過5千萬的訪客，並將成為世界第三大社交網站。

圖1、hi5垃圾郵件樣本

假造的電子郵件訊息要求使用者將寄件人加入到朋友清單中，就如同任何一般的社交網站邀請。不過這封電子郵件怪異之處在於，首先它會要求收件人下載及展開據說是邀請內容的附件。

  看到沒，這個金光閃閃的facebook logo，感覺很像信用卡的 X 金級用戶一樣，很有虛榮感。最近有人收到好友邀請加入Facebook Gold Account嗎？ 

這個新服務看似有許多額外功能，比如：

-             影像交談

-             團體交談

-             檢視個人檔案

-             布景主題（Beta版）

-             沒有廣告！

還用顯眼的標題催促你：*趁現在免費立即升級*

數分鐘前，我注意到一位朋友在她的Facebook臉書個人檔案上張貼了以下的狀態：

Facebook臉書狀態

我直覺事有蹊蹺，所以決定一探究竟。

就你的Facebook臉書來說是沒有什麼好擔憂的，這看來並非是真正的惡意app應用程式，事實上在Yahoo雅虎的回答中討論串中，說明“Un named App”(無名應用程式)”就和你Facebook臉書個人檔案頁面中的訊息顯示按鍵沒有什麼兩樣。

但是要小心的是隨著這個傳聞而來的真正風險。罪犯們接收到Facebook臉書使用者的關切（或許謠言也就是這些罪犯散發的？），也開始毒化Black_Hat SEO Google的搜尋結果。

Google搜尋結果

社交網站的另一種攻擊的路徑是利用網站的程式錯誤。網頁是由人撰寫的，人會犯錯，而所犯的錯可能破壞網頁的安全防護方式。這已多次發生在知名的社交網站，未來也會再發生。在這類的事件中，所有的使用者皆身處險境。未經審慎考慮的防護選擇，無力的管理或劣質的程式撰寫幫助了攻擊者搜集資料，為不計其數之使用者佈下大型攻擊的局勢。

在Facebook上曾發生過的防護瑕疵，讓任何人皆可突破防護設定進入任何使用者的基本資料中[4]。這次的攻擊是在Facebook持續忽視使用者警告的數天後被一般使用者揭發出來的。這個利用防護弱點所進行的案例並不需要高知識就能完成。

Twitter曾遭“跨網站程式撰寫（cross-site scripting）”攻擊。在這些案例中，攻擊者可以變更任何接近攻擊者帳號的使用者的Twitter狀態列。這表示這些惡棍可以讓推文成為不良聯結，讓在Twitter上的跟隨者暴露在遭感染的風險中[5]。

MySpace則是在2007年被一式JavaScript攻擊，這個JavaScript會將自己及“Samy is my hero（Samy是我的英雄）”這段文字複製到觀看者的個人檔案中。防護的瑕疵是這次攻擊的原因，這個瑕疵造成使用者運作其它指令，如將網頁重導至惡意網站中。幸虧發現這個瑕疵並製作出這個破壞程式的年青小夥子只是想要在自己的檔案中增加更多的朋友而已[6]。

駭客如何潛入我的社交網路？

社交網站不但可與個人和專業人員聯絡互動，首先還可先尋得這些人。網站的用意在於讓人們互相聯絡或恢復聯絡。而無賴罪犯們輕而易舉地就可以使用任何一種手法來製作出大型的聯絡網路，例如：

•           製作假的名人個人檔案，允許他人將此假造個人檔案加入聯絡人名單中。
•           複製其他人的個人檔案然後重新邀請所有的朋友加入。
•           製作個人檔案，將自己加到中型的團體或社區，然後邀請該團體（大學，學校等）的部份成員。然後再加入另一個團體如法泡製。
•           製作一式女性的個人檔案，張貼一張“她的”誘人照片，讓他人將此個人檔案加入他們的名單中。很多人會利用社交網站在線上尋找他們的另一半，而這些網站也有特定的功能可協助此目的。

攻擊者可使用許多策略來攻破信任的圈子進入人們的聯絡人名單中。很多社交網路的使用者並不瞭解他們的聯絡人名單實際上就是一個互信團體，而將一個不認識的人加入這個小團體中，等於就是將朋友們的資料向不能受信任的第三者公開，即使對方是名人也是一樣。

有些網站並未設立隱私管控，不然就是所使用的隱私管控未能防護所有使用者的資料。即使這些網站具備了綜合功能的隱私管控，使用者通常沒有義務去篩選可閱讀自己資料的人，且通常會因為現有的管控功能太複雜或太花時間處理而不去使用。不管是因為懶惰或欠缺知識，許多使用者乾脆不去搞懂這些功能。這表示不論是因為網站的設計或是使用者興趣缺缺，個人資料因此毫無必要地被曝露在陌生人前，搜尋引擎及廣大的線上世界內。

駭客潛入往的社交網路，做了哪些非法勾當？ 

那麼攻擊者是要如何運用社交網站龐大的聯絡網路？

作者：趨勢科技資深威脅研究人員David Sancho

 社交網站是設計用來做為人類互動的網站。它們讓使用者互相認識，與其他使用者保持聯絡，分享經驗，感情與意見。這些網站皆是依據一個共同的基礎而設立的，即根據互信的元素來建構聯絡網路。使用者接著為朋友們製作內容，並取得朋友們製作的內容。內容涵括了如節慶家庭照片，趣味的聯結，最新的新聞，意見，評論及現況的狀態更新。

當其中一到多個聯絡人破壞的這個互信的小圈子時就產生了潛在的不詭和惡意活動。當這樣的情形發生時會產生很多不良的結果，如

   你的聯絡人帳戶遭入侵被受其他人使用。

   你將某個你以為認識的人加入網路中，而事實上你並不認識這個人。

   你將某個你以為可以相信的人加入網路中，而事實上這個人並不能被相信。

   未使用足夠的隱私管控造成你的資料和你無意與他們分享的人做分享。

本系列文章將概括是使用社交網路最常見的攻擊，並建議降低風險的方法。報告的目的不在阻止你使用，而是讓你能更安全地去運用社交網路。

社交網路蘊含了豐富的個人資料。人們在其中分享了他們的生日，電子郵件帳號，住家地址，家庭關係與照片。這些資料本身或許沒有什麼價值，但會清楚地提供關於一個人的一切，讓攻擊者取得進行如信用卡詐欺或身份竊盜等攻擊所需要的資訊。任何以真人為受害者對象的攻擊皆會因此類額外資訊的取得而更加有效。

除此之外，地下論壇也販賣個人資料。你的資料會被收藏儲存在網路中某個陰暗的角落，等著罪犯們付費收購。罪犯可利用這些資料來取得出生證明、護照及其它文件來捏造出真實身份。有些國家這部份的管控比其他國家鬆散，但整體而言，身份盜竊已是常態發生的事件了。

犯罪份子們感到興趣的資料包括電子郵件帳號位址，實體地址（住家或通訊地址），生日和有關組織：

l          電子郵件帳號會被輸入至資料庫中，以便日後運用在垃圾郵件的散發。從社交網路處取得的電子郵件帳號會被更進一步的分類，如人種，年齡，國別或其它可做為篩選標準的資料以增進攻擊的衝擊度，使售出價格比一般電子郵件帳號更高。電子郵件帳號對魚叉型釣魚攻擊尤其有價值，常被用來做為發送郵件的寄件者。魚叉型釣魚攻擊是一種目標集中的釣魚攻擊，因此使用“好友”名單會增加惡意郵件的可信度從而為罪犯提高成功機率。

l          實體地址通常會在社交網站上分享，這些同樣也會被累積到郵寄資料庫中，以與上述相似的手法做為廣告用途使用。

l          TrendLabs研究人員曾報導，個人資料的售價範圍從每筆銀行帳戶憑證叫價美金50元到每百萬筆電子郵件帳號只要美金8元不等。 後者這個金額有可能更高，只要這些郵件是來自社交網站的最新郵件帳號[1] 。

趨勢科技公佈年度威脅報告。今年我們的年度報告聚焦在未來的威脅情勢。

虛擬化，雲端運算，及網際網路基礎建設的變革將會擴大網路犯罪的範圍。

隨著企業內雲端運算技術及虛擬化的受歡迎，我們預期網路犯罪份子將會尋找新的方法來增加獲利率。在2009年初，企業目睹了Danger/Sidekick不幸的雲端伺服事件，該事件曝露出極易受網路犯罪份子濫用的雲端運算的風險。Trend Micro趨勢科技 的專家們相信，網路犯罪份子們不是會嘗試去利用和雲端的連結，就是會去攻擊資料中心和雲端本身。

正在改變中的網際網路的基礎建設，為網路犯罪開啟了更多的良機。

國際網路工程研究團隊（Internet Engineering Task Force）所設計的新世代協定，網際網路協定第6版（Internet Protocol v. 6，簡稱IPv6），目前正在進行替代現行已使用20年的第4版（Ipv4）的實驗階段。當使用者開始探索Ipv6之際，網路犯罪份子也同樣在探索之中，我們預期在明年將會看到Ipv6概念實現的元素開始成形。

網域名稱更加國際化，而區域最高層級網域名top- level domains（俄文，中文及阿拉伯文字體）將會讓釣魚攻擊以相似名稱開展新的攻擊機會。趨勢科技 預言這將會造成信譽的問題與濫用，對安全防護公司造成挑戰。

社交媒體和社交網路將受網路犯罪份子利用來侵入使用者的“信任圈”。

社交媒體是偷盜個人資料的熟成利益。被付諸信賴的使用者公開張貼出來的個人檔案網頁的品質和數量，再加上互動線索，給了網路犯罪份子足夠的材料來進行身份盜竊及社交工程攻擊。這個情況將會於2010年更加惡化，讓高知名度個人蒙受線上身份盜用或銀行帳戶被盜的傷害。

全球性的爆發將會滅跡而改為區域性爆發，集中焦點的攻擊將會增加。

威脅情勢已然改變，我們不再看到如Slammer或CodeRed此類的全球性爆發。被多次報導在2008年和2009年皆發生過的Conficker事件按定義來論，皆不是全球性的爆發事件，而是屬於精心策劃和架構的攻擊。由此演進，我們預期區域性及對象明確的攻擊將會增加，手法也將更加縝密。

2010年及未來的主要展望：

l          只要和金錢有關，網路犯罪份子就不會消失。

l          Windows 7因為在原始設定的安全上不如Vista，因此將會受到衝擊。

l          風險的緩衝已不再是可行的選項，就算是使用替代瀏覽器/操作系統也是一樣。

l          惡意軟體每數小時就產生變種。

l          不特定的隨意感染將成為常態問題，甚至只要進入一個網站就有可能被感染。

l          新的攻擊將隨虛擬化和雲端環境而增加。

l          殭屍網路宿主無法被阻擋，將永遠存在。

l          公司/社交網路將持續遭受資料受侵害的問題。

欲讀得完整的威脅報告，可登入：

 http://us.trendmicro.com/us/trendwatch/research-and-analysis/threat-reports/index.html.

中文報告，將稍後公布。

＠原文來源：Trend Micro趨勢科技2010威脅展望報告

Trend Micro 2010 Future Threat Report

＠延伸閱讀

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪

 Facebook Fired 顧名思義就是因 Facebook 而遭開除，這是網路俚語，代表因為 Facebook 上所發表的內容而遭到開除。

糟糕!講老闆壞話，被捉包！ 如果不確定粉絲團的真實身份，就不要在這裡講別人的壞話了。像這位女士 上網吐槽  ，卻被公司發現她在病假期間仍活躍於Facebook，公司將她開除，顯示已經有企業開始透過部落格和社群網站「觀察」員工。所以 千萬不要在Facebook講老闆壞話

 圖片來源：http://chinese.winandmac.com/humor/dont-talk-about-boss-in-facebook/

為了五斗米，大家要當心阿！將近半數的美國雇主會利用Facebook等社群網站，過濾謀職者的背景資...45%的受訪雇主表示，會利用社群網站查核應徵者的背景，去年調查時的比率只有22%。

提供兩個案例，看看微網誌或社交網站為何能讓人丟掉工作。

文末並提供其他案例連結。

案例一：

銀行實習行員家裡有急事請假，當天卻在 Facebook 張貼萬聖節派對照片

除此之外，社交網路也可能讓年輕人遭到開除。有一則故事如下：一位名叫 Kevin Colvin 的銀行實習行員 (這位老兄現在已經是家喻戶曉) 在發出電子郵件跟老闆說明因為家有急事而必須請假之後，竟然笨到在 Facebook 上張貼他在萬聖節派對上的相片，而相片的拍照時間正好是請假當天。由於像 Kevin 這樣的事件屢見不鮮，因此網路上現在流傳一個用詞叫做 Facebook Fired，意思是因為 Facebook 而遭開除。

校園徵才人員和企業雇主是否真的會上 MySpace 和 Facebook 調查一下應徵者的資料？ 趨勢科技資深分析師Rik Ferguson 說：「這是當然的。這些年輕人絲毫沒有想到他們的訊息一旦張貼之後，就完全脫離了自己的掌控。」即使他們將 Facebook 上的頁面刪除，這些頁面都已經被 Google 之類的搜尋引擎網羅，而且已經散播到網際網路的其他角落。不相信嗎？ Ferguson 說：「千萬別不信邪， 若不相信，可以到一個叫做 Tweleted.com 的網站上看看，這個網站專門讓人搜尋已經刪除的 Twitter 訊息。任何張貼在網際網路的訊息，在刪除之後都還能存活好長一段時間。」

趨勢科技 TrendLabs安全研究專家 Jonell Baltazar

安全專家眼中的「十大危害企業病毒」之一的KOOBFACE Botnet 殭屍網路/傀儡網路 最近又出現一個新的元件，可以自動執行下列流程：

• 註冊一個 Facebook 帳號
• 利用 Gmail 電子郵件地址進行已註冊 Facebook 帳號的確認與啟用
• 隨機加入一些 Facebook 群組
• 新增 Facebook 好友
• 張貼訊息到 Facebook 好友的塗鴉牆

基本上，這個新元件的行為就像一個初次使用 Facebook 來與好友聯絡的網際網路使用者。此元件註冊的所有 Facebook  帳號，都與一般正常使用者的帳號無異。帳號細節非常完整，包括：相片、生日、最愛的音樂、最愛的書籍等等。此外，每個註冊的帳號也獨一無二，甚至詳細資料也都不一樣。

KOOBFACE 透過 Internet Explorer 自動化的技巧來完成這些帳戶註冊步驟。不過，如果遇到 Internet Explorer 6 的使用者，此流程就會中斷而無法進行。此外，它還會檢查 Facebook 所設定的好友數量限制，避免超過這個額度。因此才能躲過偵查，不讓 Facebook  系統管理員發現任何警訊。

 
圖說：此元件會從其Botnet 殭屍網路/傀儡網路 可用的代理器 (proxy) 網域取得詳細的資料。

圖說：這些張貼在 Facebook 塗鴉牆上的訊息含有一個連結指向常見的假 Facebook 網頁或假 YouTube 網頁，該網頁暗藏著 KOOBFACE 載入程式。( 我看了這個影片，睡不著…又是個社交工程 ( Social Engineering ) 陷阱)

我們建議 Facebook 使用者應特別小心謹慎，並且隨時提高警覺。因為，在這麼多 Facebook 帳號當中，很可能有些就是KOOBFACE所擁有的帳號。所幸，主動式雲端截毒服務 Smart Protection Network會持續鎖定 KOOBFACE 所散發的垃圾 URL，並且加以攔截。

如需有關 Facebook 使用方面的更多秘訣，可以參考 Facebook 的安全性網頁：

• http://www.facebook.com/safety
• http://www.facebook.com/security

原文來源：New Koobface Component Imitates Facebook User

延伸閱讀：
Google 閱讀器出現冒牌貨，荼毒社交網站用戶
假Facebook 密碼更新通知信，內有”假掃瞄，真騙錢”木馬

被盜用的Facebook 帳號都用來做什麼？(實際案例)

＠ 認識趨勢科技 TrendMicro 主動式雲端截毒服務 Smart Protection Network

＠瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2010

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪