2.開始手動散播「Liked」(「讚」)的留言訊息,並對應到相對之釣魚網站,當然留言訊息也在演變中:
“The Hidden Body Part The Artists at Disney Didnt Want You To See.” -> hxxp://disneyhiddenlike. blogspot.com/
“LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.” -> hxxp://girlownedbypolicelike. blogspot.com/
“This man took a picture of his face every day for 8 years!!” -> hxxp://manpictureofhimselflike. blogspot.com/
“You''ll NEVER believe what OBAMA did on TV” -> hxxp://thedatesafe. com/obama/
“The Prom Dress That Got This Girl Suspended From School.” -> hxxp://www.thedatesafe. com/promdress/
3. Facebook用戶點擊了這些留言訊息,被誘騙到釣魚網站,若再點擊了「Click here to continue」之連結,或釣魚網站之畫面連結,就會在自己 Facebook 的「塗鴉牆」上留下「新的詐騙訊息」,再透過你的社交網絡出現在好友的「動態消息」中,使其好友上當。如此周而復始,擴大事端。
目前,Facebook也持續清除這些不當的留言訊息,但是,總是被動的,只要手法持續改變,就會一直延續下去的。
網友該如何避免呢?
1.安全的瀏覽環境,FireFox+NoScript是不錯的選擇,但前提是你得學會正確使用NoScript,可以避免點閱綁架手法。
2.上網的警覺性,為何到了釣魚網站還隨便點擊裡面的連結呢?這跟電子郵件中夾帶釣魚網站的超連結,有異曲同工之妙,你能成功脫身嗎?可以清楚辨認「餌」在哪嗎?
3.清查自己Facebook上的「塗鴉牆」及「動態消息」是否有可疑的留言訊息,予以刪除,或告知好友予以刪除。
4.社交網站正處於流行的高峰期,必定會遭有心人利用,你得多加注意,並留意新的攻擊手法。
5.同樣的手法,利用「翻新的詐騙劇本」同樣可以在其他社群網站,如撲浪(Plurk)或推特(Twitter)…等進行攻擊,務必多加留意。
企業或單位的網管人員該如何因應呢?
所幸目前並未發現惡意的攻擊利用,導致企業或單位受害或遭受損失。但需持續注意攻擊手法的演變,很有可能變成夾帶「Click by Download」的社交攻擊手法。
對同仁進行資安意識宣導,使同仁了解相關手法的利用。同時,加強同仁對於釣魚網站應有的認知,除了點閱綁架手法外,還有標籤綁架(Tabnapping)之新手法。
可以考慮封鎖相關社群網站。或當出現重大威脅手法時,立即進行封鎖動作,避免企業或單位蒙受損失。
持續注意手法演變至其他社群網站之可能,如撲浪(Plurk)或推特(Twitter)…等,並預先做好因應措施,如封鎖社群網站…等。
本文作者為資安技術顧問