【防制資料外洩週】iPad關鍵字也被駭客盯上 貓哭耗子假慈悲

在「買關鍵字廣告變主流 有商機也藏危機」中，我們提到了比較有錢的駭客可能會花錢購買關鍵字。不過其實，透過搜尋引擎最佳化(SEO, Search Engine Optimization)，也會誘導使用者進入惡意網站。

前陣子Apple iPad剛推出時引起一陣風潮，各大媒體也爭相報導，有興趣的民眾也不免上網搜尋一番，不過不趕流行則已，一關心就出事！台灣賽門鐵克資深技術顧問莊添發表示，當民眾點選搜尋結果後，即會出現警示畫面「你的電腦有安全風險」，不過這卻是假的掃毒畫面，其實只不過是網頁動畫（如圖），這個動畫會讓使用者以為掃到病毒，並且需要安裝安全軟體，不過這卻是流氓安全軟體(Rouge Security Software)，不但偽裝成安全軟體，甚至還是危險的來源，讓使用者無法「分辨是非」。


(圖片資料來源：賽門鐵克提供。)

資拓科技顧問事業處資安顧問李柏逸說，Google Wave剛推出的時候，駭客也曾利用類似的關鍵字攻擊手法，他認為搜尋引擎其實是存在許多問題的，除了購買關鍵字放惡意網頁之外，Google的Google AdWords當中若是存在惡意程式，由於可能散落在各部落格當中，更增加惡意程式被點擊到的機會。

而當我們在搜尋網站時，雖然有時Google會警告使用者，該網站可能具有惡意連結，但該警告依然base在Google本身的資料庫，面對這些不斷改變IP的惡意網站，也只能針對已知網站來警告。

莊添發建議應該提高進階的防護，像是主機入侵防禦系統(HIPS)，便可以透過特徵碼來識別出這些未知的威脅。此外，個人對於安全的警覺性，依然是最佳的安全準則之一，即使是電腦跳出alert視窗，也不要慌慌張張的隨意下載軟體來安裝。在搜尋Apple iPad的這起事件看來，他說，從技術層面來看，這些網站可能本身並無害，而是必須點進去之後下載程式，才會對使用者造成影響，也就是說，即使點進去卻不隨意下載來路不明的軟體就不會受害。

社交工程的演變攻擊，從早期附加執行檔、壓縮檔（甚至還附上密碼要你解密）到link檔，或是偽裝成文字、圖片檔等，一直不停的推陳出新，就因為技術容易被克服，但運用人性弱點卻是難防範。也因此我們更該體認到，使用者的安全警覺度，對於守住最後一哩的效用，其實是比技術、工具都來得有效且省錢！