在「買關鍵字廣告變主流 有商機也藏危機」中,我們提到了比較有錢的駭客可能會花錢購買關鍵字。不過其實,透過搜尋引擎最佳化(SEO, Search Engine Optimization),也會誘導使用者進入惡意網站。
前陣子Apple iPad剛推出時引起一陣風潮,各大媒體也爭相報導,有興趣的民眾也不免上網搜尋一番,不過不趕流行則已,一關心就出事!台灣賽門鐵克資深技術顧問莊添發表示,當民眾點選搜尋結果後,即會出現警示畫面「你的電腦有安全風險」,不過這卻是假的掃毒畫面,其實只不過是網頁動畫(如圖),這個動畫會讓使用者以為掃到病毒,並且需要安裝安全軟體,不過這卻是流氓安全軟體(Rouge Security Software),不但偽裝成安全軟體,甚至還是危險的來源,讓使用者無法「分辨是非」。
(圖片資料來源:賽門鐵克提供。)
資拓科技顧問事業處資安顧問李柏逸說,Google Wave剛推出的時候,駭客也曾利用類似的關鍵字攻擊手法,他認為搜尋引擎其實是存在許多問題的,除了購買關鍵字放惡意網頁之外,Google的Google AdWords當中若是存在惡意程式,由於可能散落在各部落格當中,更增加惡意程式被點擊到的機會。
而當我們在搜尋網站時,雖然有時Google會警告使用者,該網站可能具有惡意連結,但該警告依然base在Google本身的資料庫,面對這些不斷改變IP的惡意網站,也只能針對已知網站來警告。
莊添發建議應該提高進階的防護,像是主機入侵防禦系統(HIPS),便可以透過特徵碼來識別出這些未知的威脅。此外,個人對於安全的警覺性,依然是最佳的安全準則之一,即使是電腦跳出alert視窗,也不要慌慌張張的隨意下載軟體來安裝。在搜尋Apple iPad的這起事件看來,他說,從技術層面來看,這些網站可能本身並無害,而是必須點進去之後下載程式,才會對使用者造成影響,也就是說,即使點進去卻不隨意下載來路不明的軟體就不會受害。
社交工程的演變攻擊,從早期附加執行檔、壓縮檔(甚至還附上密碼要你解密)到link檔,或是偽裝成文字、圖片檔等,一直不停的推陳出新,就因為技術容易被克服,但運用人性弱點卻是難防範。也因此我們更該體認到,使用者的安全警覺度,對於守住最後一哩的效用,其實是比技術、工具都來得有效且省錢!