觀點

你加入的真的是好友嗎?

2010 / 01 / 29
林志遠
你加入的真的是好友嗎?

你今天種菜了嗎?這是近幾個月最常聽到的問候語,今年網路即時互動爆發性的發燒成長,在任何時間地方只要是可以連上網路,即可以留下任意心情筆記或是感想,科技與生活結合變得非常的方便,只在上網動動手指頭即可知天下事,但是在使用科技方便之餘,想像一下也有一群駭客運用相同的平台在蒐集你我生活中的任何資訊,如同全民公敵般的劇情,任何時間任何地點只要有心,即可監控了解你生活的一切,包含個人機密隱私資料。

透過社交網路取得更多個資
現今社交網路社會網路與人即時互動是未來的趨勢,一般民眾在上網不會特別注意個人隱私資料,通常會依照網站提供的功能來填單,但在填寫資料的同時也代表著資料儲存在網站上,此時只要有心,即可透過搜尋方式找到個人隱私資料,通常什麼時間才會知道個人資料外漏?往往是已經成了社會新聞或是在網路流傳,經別人告知才知道,而傷害卻已經造成。

日常生活最會利用社交工程取得個人資料或是金錢應該就是詐騙集團了,透過電話即可以讓你自己吐露出個人機密的隱私資料,然而目前社交網路的時代不用透過電話溝通的方式,即可以在網路上找到你的個人機密資料,目前網路犯罪集團最常利用社交網路手法融入正常使用者,進而散佈網馬程式並遠端操控木馬程式,讓一般使用者電腦受駭,並延伸利用來進行地下經濟行為。
右圖3是透過平台提供的搜尋功能,可搜尋到相關好友名單,十幾年沒有見的同學一樣有機會在網路千里尋親一般,可以透過任意方式尋找以前同學或是同事是否已經加入平台上,但是加入好友名單真的是好朋友嗎?

社交網路運作方式
目前網路社群都可以透過搜尋的功能加到好友名單,並透過加入好友來取得與對方連繫的管道,但加入好友的真的是好朋友嗎?這可不一定,千萬不要別人來加入好友就一頭熱的加入,目前最流行的方法就是透過搜尋功能在網路上找尋相關個人訊息或是周遭相關資訊,結合Clickjacking攻擊手法留下惡意連結,讓使用者在不知不覺中電腦即感染木馬,輕者造成個人資料外洩,重則感染具有「視訊遙控」的木馬程式,個人機密隱私照外洩看光光。

在轉貼連結或是張貼資訊的位置可輸入任何的網址,當然駭客也可以透過此種方式散播惡意連結,而且被開啟機率會遠大於一般的連結,主要原因在於是好朋友所轉寄資料,警覺心就不會那麼高,自然而然就會直接去點擊連結來看內容。

此外,目前許多平台都已經結合IM功能或是機器人程式,可將輸入的即時訊息以msn或是其它模式立即傳至好友電腦,這將大大的增加惡意連結被點擊的風險。

駭客行銷學分析
現今駭客行為已從只是技術的展示,演進到了商業行為,目前駭客技術又以社交手法成效最佳,主要在於目前各企業或是政府單位對於網路設備都有一定程度的安全防護,要從有網路防護設備的伺服器主機取得機密資料有一定的困難,目前許多單位對於網路攻擊大部份都做了阻擋行為,但只有兩個管道是無法限制,一為使用者上網瀏覽行為與收發電子郵件行為,目前商業駭客入侵大多以這兩種管道結合社交工程手法,誘拐使用者點擊電子郵件或開啟網頁連結。

目前駭客運作模式大多是結合目前時事新聞、流行訊息或八卦消息,並透過網路搜尋的方式了解個人生活習慣、畢業學校資訊,再假冒好友張貼或寄送含有網馬連結的訊息。當我們降低警覺心而開啟連結,如果瀏覽到含有惡意連結的網站,即會下載木馬程式並自動於電腦中啟動,駭客木馬程式會偽裝成系統檔案隱藏,並進行帳號密碼側錄動作。

結論
網路如虎口,是否要在網路上填寫那麼多個人資料?可嘗試在搜尋引擎上輸入個人大名,說不定找出來的資訊會超出自己的想像。網路即時互動是未來使用上的趨勢,但安全與方便往往無法同時存在,本篇簡單介紹目前駭客技術結合社交網路延伸應用,社交平台可能在我們不知不覺中,提供心理測驗、小遊戲時,出現允許該應用程式存取視窗,當按下同意時,代表「你」同意該程式取得你網站上的個人檔案、相片、朋友以及其他相關所需資料,而個人資料往往就是在這不注意的時候外洩。

本文作者為資安顧問,擅長駭客偵防技術。