https://twcert2024.informationsecurity.com.tw/

觀點

Facebook 點閱綁架之攻擊分析與防範

2010 / 06 / 11
Crane
Facebook 點閱綁架之攻擊分析與防範

5月底6月初,Facebook社群網站遭受點閱綁架(Clickjacking)之攻擊手法利用,乍看之下,會以為是Facebook社群網站上的「超連結」受點閱綁架手法影響,事實上並非如此。

它是利用Facebook社群網站「Liked ()」中的超連結,讓網友連結到釣魚網站,在釣魚網站上利用點閱綁架攻擊之手法,使網友點擊(Click)之後,在自己Facebook的「塗鴉牆」上,留下「新的詐騙訊息」,再透過你的社交網絡出現在好友的「動態消息」中,使好友一一輪陷。

何謂點閱綁架呢?可以參考這裡「你不可不知的駭客新玩具--點閱綁架」。

 

來看看整個攻擊手法:

1.首先架設釣魚網站,內含點閱綁架手法,以下就是「釣餌」,有很多個,並持續增加中:

hxxp://disneyhiddenlike. blogspot.com/

hxxp://manpictureofhimselflike. blogspot.com/

hxxp://2006mindfreaklike. blogspot.com

hxxp://2006mindfreaklike2. blogspot.com

hxxp://girlownedbypolicelike. blogspot.com/

hxxp://girlownedbypolicelike2. blogspot.com/

hxxp://disneyhiddenlike. blogspot.com/

hxxp://disneyhiddenlike2. blogspot.com/

hxxp://thedatesafe. com/obama/

hxxp://www.thedatesafe. com/man

hxxp://www.thedatesafe. com/promdress/

 

第一階段(6/3日之前)的釣魚畫面只有一個,顯示「Click here to continue」;第二階段(6/3日之後)的釣魚畫面,就很豐富了,畫面請參考這裡

2.開始手動散播「Liked(「讚」)的留言訊息,並對應到相對之釣魚網站,當然留言訊息也在演變中:

The Hidden Body Part The Artists at Disney Didnt Want You To See.” -> hxxp://disneyhiddenlike. blogspot.com/

 

LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.” -> hxxp://girlownedbypolicelike. blogspot.com/

 

This man took a picture of his face every day for 8 years!!” -> hxxp://manpictureofhimselflike. blogspot.com/

 

You''ll NEVER believe what OBAMA did on TV” -> hxxp://thedatesafe. com/obama/

 

The Prom Dress That Got This Girl Suspended From School.” -> hxxp://www.thedatesafe. com/promdress/

 

3. Facebook用戶點擊了這些留言訊息,被誘騙到釣魚網站,若再點擊了「Click here to continue」之連結,或釣魚網站之畫面連結,就會在自己 Facebook 的「塗鴉牆」上留下「新的詐騙訊息」,再透過你的社交網絡出現在好友的「動態消息」中,使其好友上當。如此周而復始,擴大事端。

 

目前,Facebook也持續清除這些不當的留言訊息,但是,總是被動的,只要手法持續改變,就會一直延續下去的。

 

網友該如何避免呢?

1.安全的瀏覽環境,FireFox+NoScript是不錯的選擇,但前提是你得學會正確使用NoScript,可以避免點閱綁架手法。

2.上網的警覺性,為何到了釣魚網站還隨便點擊裡面的連結呢?這跟電子郵件中夾帶釣魚網站的超連結,有異曲同工之妙,你能成功脫身嗎?可以清楚辨認「餌」在哪嗎?

3.清查自己Facebook上的「塗鴉牆」及「動態消息」是否有可疑的留言訊息,予以刪除,或告知好友予以刪除。

4.社交網站正處於流行的高峰期,必定會遭有心人利用,你得多加注意,並留意新的攻擊手法。

5.同樣的手法,利用「翻新的詐騙劇本」同樣可以在其他社群網站,如撲浪(Plurk)或推特(Twitter)…等進行攻擊,務必多加留意。

 

企業或單位的網管人員該如何因應呢?

所幸目前並未發現惡意的攻擊利用,導致企業或單位受害或遭受損失。但需持續注意攻擊手法的演變,很有可能變成夾帶「Click by Download」的社交攻擊手法。

對同仁進行資安意識宣導,使同仁了解相關手法的利用。同時,加強同仁對於釣魚網站應有的認知,除了點閱綁架手法外,還有標籤綁架(Tabnapping)之新手法。

可以考慮封鎖相關社群網站。或當出現重大威脅手法時,立即進行封鎖動作,避免企業或單位蒙受損失。

持續注意手法演變至其他社群網站之可能,如撲浪(Plurk)或推特(Twitter)…等,並預先做好因應措施,如封鎖社群網站等。

 

本文作者為資安技術顧問