大批允許網站服務Twitter.Grader.com連結帳戶的Twitter推特使用者，皆開始傳出一式怪異且未經他們授權的推文訊息，看來像是另一個和Twitter推特服務相關的入侵攻擊事件。

受感染帳戶樣本（Twitscoop搜尋結果）

  ”分享” 在 Facebook 上分享！

本部落格(雲端運算與網路安全趨勢）曾介紹過兩則跟微網誌人氣暴增有關的社交工程 ( Social Engineering ) 手法：

•         加入Twittertrain保證 Twitter跟隨者暴增?! 當心帳號被冒用發垃圾訊息
•         Twitter人氣製造機，一天可暴增千名跟隨者？別上鉤！

最近又出現一則聲稱不花一毛錢，就可以讓你擁有上頓的粉絲，前提是指要加入會員，你會因此心動嗎？看看以下這則報導，再做決定。

Twitterbuilding.com—Stealing Your Passwords One Tweet at a Time

趨勢科技 TrendLabs 資深分析師 Robert McArdle

我在今天稍早時看到下列這則推文：

這個網站真讚！！！—http://TwitterBuilding.com
API約2小時前發送

按照該連結，我進入下面這個網頁：

           圖片文字由上往下

擴充你的Twitter跟隨者－不花一毛免費加入，現在就登入！

VIP會員可以得到成噸的每天在網上的跟隨者。

成為VIP會員

Twitter使用者名稱                                                  VIP會員：5

Twitter密碼                                                                        一般會員：6567

登入                                                                                     會員總計：6572

我同意規則                                                                         聯絡我們

幾天前 Twitter推特被宣稱是伊朗的駭客入侵 ，本文包含趨勢科技資深安全分析師Rik Ferguson接受英國的第四頻道訪談的內容。

影音專訪內容在這裡：

http://link.brightcove.com/services/player/bcpid1184614595?bctid=58082549001

Twitter (not) hacked by Iranian Cyber Army 

作者：Rik Ferguson 趨勢科技資深分析師

___________________________________________________________________________

被駭網站的橫幅

大約在格林威治時間12月18 日上午6點時，Twitter的網域名伺服服務（Domain Name Service，簡稱DNS）淪為挾持型攻擊的受害者，發動攻擊的團體自稱是“伊朗網路大軍（Iranian Cyber Army）”（我懷疑他們自己有沒看出名字跟CIA^＊*的異同處？）。Twitter網站受影響達1小時之久。 

 Facebook Fired 顧名思義就是因 Facebook 而遭開除，這是網路俚語，代表因為 Facebook 上所發表的內容而遭到開除。

糟糕!講老闆壞話，被捉包！ 如果不確定粉絲團的真實身份，就不要在這裡講別人的壞話了。像這位女士 上網吐槽  ，卻被公司發現她在病假期間仍活躍於Facebook，公司將她開除，顯示已經有企業開始透過部落格和社群網站「觀察」員工。所以 千萬不要在Facebook講老闆壞話

 圖片來源：http://chinese.winandmac.com/humor/dont-talk-about-boss-in-facebook/

為了五斗米，大家要當心阿！將近半數的美國雇主會利用Facebook等社群網站，過濾謀職者的背景資...45%的受訪雇主表示，會利用社群網站查核應徵者的背景，去年調查時的比率只有22%。

提供兩個案例，看看微網誌或社交網站為何能讓人丟掉工作。

文末並提供其他案例連結。

案例一：

銀行實習行員家裡有急事請假，當天卻在 Facebook 張貼萬聖節派對照片

除此之外，社交網路也可能讓年輕人遭到開除。有一則故事如下：一位名叫 Kevin Colvin 的銀行實習行員 (這位老兄現在已經是家喻戶曉) 在發出電子郵件跟老闆說明因為家有急事而必須請假之後，竟然笨到在 Facebook 上張貼他在萬聖節派對上的相片，而相片的拍照時間正好是請假當天。由於像 Kevin 這樣的事件屢見不鮮，因此網路上現在流傳一個用詞叫做 Facebook Fired，意思是因為 Facebook 而遭開除。

校園徵才人員和企業雇主是否真的會上 MySpace 和 Facebook 調查一下應徵者的資料？ 趨勢科技資深分析師Rik Ferguson 說：「這是當然的。這些年輕人絲毫沒有想到他們的訊息一旦張貼之後，就完全脫離了自己的掌控。」即使他們將 Facebook 上的頁面刪除，這些頁面都已經被 Google 之類的搜尋引擎網羅，而且已經散播到網際網路的其他角落。不相信嗎？ Ferguson 說：「千萬別不信邪， 若不相信，可以到一個叫做 Tweleted.com 的網站上看看，這個網站專門讓人搜尋已經刪除的 Twitter 訊息。任何張貼在網際網路的訊息，在刪除之後都還能存活好長一段時間。」

    台北市政府法規會主委葉慶元在19日舉行記者會指出，有網友投訴，10月初玩Facebook臉書「開心水族箱（MyFishbowl）」遊戲時，依系統指示輸入手機號碼，卻在近日收到新台幣300元的簡訊費用帳單。其實 Facebook網站平台提供的電腦遊戲、心理測驗等應用程式，中隱藏許多陷阱。相關新聞：臉書會變臉小心個資曝光遇詐騙

這樣的事件其實不是偶發，在國外也有傳出案例，以下以 Twitter 為例。

微網誌帳號遭入侵，通常拿來做什麼？通常是像這樣，散發垃圾訊息：好友Twitter 你買巴西紫莓減肥？，但趨勢科技最近發現的案例是會邀你一起來玩智力測驗，並讓你的手機費每月多出10美金。

被入侵的Twitter帳戶，會發出邀請函請你的粉絲團一起來做個智商測試

圖 1、藉由 Twitter 散發的智商測驗訊息

這式直接訊息基本上通常是和Twitter極為相像的個人訊息，其中包含了一個看來像是智商測試的網站連結：

圖 2、使用者點擊傳單中的URL連結後進入的登陸頁面

1.         企業必須不斷對員工進行社交網路的使用安全守則的相關教育，但企業施予行銷人員的訓練，不只是如何使用社交網路行銷的技巧，還要包含使用社交網路的安全守則。

2.          企業必須在Client 端和Cloud 端皆有佈屬安全防禦措施，呼籲使用社交網站作為行銷工具的員工，必須在發出連結之前，得先用安全工具檢查確信非惡意連結。如趨勢科技 TrendMicro 主動式雲端截毒服務 SPN( Smart Protection Network)

3.          發出訊息前先檢查三遍，務必確認沒有任何後顧之憂後再按下發送鍵。

4.          如果發佈的這個訊息只能用悄悄話或私密訊息發送，那就不要張貼。發出訊息前，要有無法確實刪除的心理準備，因為目前並沒有任何方法可以真正刪除或取消公開發表的訊息。

5.          千萬別公開個人或公司內部其他同仁的個人資訊 (電子郵件地址、電話號碼、住址等等)。因為您在社交網路的訊息不但是公開的，而且所有搜尋網站也都能搜尋得到。

6.          .當行銷人員要使用與社交網路整合的各種服務時，請務必在輸入登入資料時檢查該網頁確實為該社交網路廠商所有 (也就是瀏覽器顯示的網址確實為該廠商的網址)，避免落入網路釣魚圈套。

趨勢科技反垃圾郵件分析師 Maria Alarcon

一封來自 The Facebook Team 的信件，以標題“Facebook Password Reset Confirmation,”( Facebook 密碼確認) 大量散播中，該信件內容說明因為安全起見收件者的facebook 密碼已經更新，新的密碼在附件中。經趨勢科技測試發現裡頭有一隻木馬TROJ_BREDLAB.SMF ，一經執行會連線到某個網站下載假防毒軟體TROJ_FAKEAV.BLV，藉以進行”假掃瞄，真騙錢”詐騙，受害者不只會被騙錢買沒有掃瞄能力的完整版防毒軟體，還會被偷信用卡帳號資訊。（關於更多假防毒軟體手法，請看這裡）

假的Facebook 密碼通知信

很久沒登錄 facebook 了，朋友卻抱怨你向他們濫發垃圾訊息，這是怎麼回事？Facebook 認為以下陳述的實際攻擊案例與先前的帳戶釣魚活動相關。受害者看見自己的帳號被冒用發垃圾訊息，趕緊更改密碼，並立即上Facebook 留言撇清自己跟上述垃圾訊息關係。趨勢科技資深分析師 Rik 還在線上與號稱所謂的「真人」對談，答非所問的結果發現根本是機器人冒充的。

以下是 Rik 的精彩文章。

灌腸劑垃圾郵件經Facebook行動網路散發

Facebook Colon Cleansing spam via Mobile Web

趨勢科技資深分析師Rik Ferguson

這幾天陸續有人與我聯絡，表達了對被貼在他們Facebook帳戶中，大量散發的狀態訊息的關切。

圖片文字說明：（由上起）

在兩週內減了8磅半！上ColonRevi.com來看如何做到

一小時前從行動網路傳送來

檢視所有評論

我要檢舉，剛已變更我的密碼了，但這威脅我個人名譽！

2分鐘前

不要上ColonRevi.com這個屎爛網站，我要去舉報這家公司

2分鐘前

訊息內容是在廣告一則據稱是可以減重的URL（colonrevi.com），透過成員加入方式賺錢的方案。該則URL已因濫用而遭停用，但在攻擊進行時，該URL會將訪客重導至cleancolonclean.com，此網站販賣的是偽造的節食補助品CleanseProX。網站自己頁面底部的免責宣言是支持了我所使用的“偽造”字眼。

CleanseProX 免責宣言

圖片文字說明：

＊說明內容未受藥物食品檢驗局的審核。本產品非為診斷，醫療、治療或預防任何疾病使用。說明中的個人皆為收費表演人士，並不一定為產品使用者。CleanseProX應做為活躍之生活方式之補助品。＊僅需支付少許運送處理成本。客戶需自行負擔退貨運費。可能有其它限制事項。

Teloxys Technologies Ltd.,2009年©版權所有

趨勢科技資深安全顧問 Rik Ferguson

禁止孩子上社交網站，等於就是切斷孩子的社交生活。這樣的作法無法保護孩子，反而會讓孩子不願和父母分享心事，而且會讓小孩的行為「地下化」，反而更加危險。孩子可以輕易到別的電腦上建立免費的部落格，註冊新的帳戶，例如朋友家的電腦，甚至透過手機也能辦到。以下是趨勢科技建議父母的「孩童出入社交網站的十大安全守則」：

1. 建立適當的期望。

2. 和孩子討論如何正確使用這些服務。

教導孩子有關網路的基本安全守則，例如保護自己的隱私 (包括密碼)、千萬別和陌生人討論有關性的議題、避免與網路上認識的朋友見面、網路上發言要小心謹慎，任何網路上張貼的內容都可能對自己造成不利。  

【教導孩子有關網路的基本安全守則，例如保護自己的隱私 (包括密碼)、千萬別和陌生人討論有關性的議題、避免與網路上認識的朋友見面、網路上發言要小心謹慎，任何網路上張貼的內容都可能對自己造成不利。】

 3. 鼓勵獨立思考與文明的行為。在安全與人際關係方面，沒有任何法律或家長監護軟體能夠比孩子本身的判斷力更能有效保護孩子。根據研究顯示，在網路上對他人或陌生人不友善的孩子反而比其他人更容易成為受害者。所以，多跟孩子討論如何尊重其他網友的權益。告訴孩子，在網路上欺負或騷擾他人跟當面的行為沒有兩樣。讓孩子知道不論在網路上或網路外都必須成為良好的公民和朋友。 

4. 考慮將電腦放在隨時有人出入的場所。

隨時掌握孩子的上網時間，將電腦放在家中的公共區域。這樣比較容易讓孩子在網路上與網路外的課業、運動與社交時間達到均衡分配。記住，孩子有很多在外上網的機會，包括透過行動電話、 X-Box Live 與其他遊戲機、朋友家或圖書館的電腦等等。

 5. 讓孩子與您分享他們的個人資料檔案和部落格。

【這一點說起來容易，做起來困難，但您還是要盡量試試看，一個方法就是讓孩子與您分享他們的個人資料檔案和部落格。】

如果孩子不願意，您大可放心在網路上搜尋他們的個人資料檔案，如果他們將個人資料張貼在公共區域，這樣的作法並不算侵犯他們的隱私權。請注意，孩子可能在各種不同的社交網站上註冊了多個帳號。您可以利用搜尋引擎來搜尋您孩子的全名、電話號碼以及其他可辨識身分的個人資料。不過請記住，許多孩子會用化名或者謊報年齡，或者在名稱上稍作變化，讓父母不易發現自己的個人資料檔案。您可以根據地理位置來搜尋，如此可以縮小搜尋範圍。