2012年11月15日 星期四

Facebook 帳密攻防戰:破解、釣魚、木馬三大技法實戰,防盜自保教學


Facebook 帳密攻防戰:破解、釣魚、木馬三大技法實戰,防盜自保教學

Facebook 是目前最熱門的社群平台,親朋好友大多都有臉書帳號彼此交流,但近來卻很常聽到有朋友的帳號被盜,究竟駭客是透過什麼方式盜走密碼的呢?透過幾個常見的盜帳號方式,實際測試是不是真的有機會能危害臉書安全,也會對於預防密碼被盜提出一些預防的方式,也希望每一位的臉書帳號都天天安全喔!

快速瀏覽:
駭客盜帳號密法大公開:
破解工具
釣魚網頁
木馬後門
防盜自保之道

在本文章中測試的駭客工具,均有一定危險性或破壞力,因此僅以客觀驗證的角度來探討這些軟體是否能幫助使用者盜取他人帳號,絕不鼓勵從事類似行為。亦不提供相關軟體下載,也請如果確實有使用上的需要,請勿以自身或他人的電腦為目標,以免造成電腦無法預料的問題。

駭客盜帳號密法大公開

在電影中,神乎奇技的駭客在文字模式的電腦畫面前,飛快的敲打著鍵盤,這或許是一般人對於盜帳密這個行為的印象,不過雖然可以努力的測試系統漏洞而攻破,但畢竟花費的時間很久,因此其實很多盜帳密的情況是會搭配一些破解工具來輔助,加速破解的速度,在本文中我們介紹3種主要的盜帳號方式,並以實測來試試看盜得帳號的成功率,讓讀者更明其中的運作原理。

破解工具

在Google上面用關鍵字來搜尋,常常會找到很多「號稱」能破解臉書密碼的工具軟體,究竟這些軟體有沒有效用呢?當然要來實測一下囉!當然功能類似的軟體十分多,筆者也僅能挑選其中一款做測試,但這些工具大部分都是幌子,僅僅為了騙你的錢。想想看臉書好歹也是知名大網站,怎麼可能幾秒鐘內密碼就全曝光呢?

破解成功率:

Step 1

我們連上號稱能破解臉書密碼的「LearnToHack(http://learntohack.co.uk)」網站來試試,由於這個網站採的是會員制,因此已經先註冊會員了,再到首頁右上方按一下〔LOGIN〕登入。登入完成以後,可以看到在頁面中間會出現你的帳戶資訊,在上方欄位中輸入你要破解的臉書帳號所用的Email地址,然後按一下〔Hack Now〕。



Step 2

接下來會跳出一個有4個空白欄位的頁面,都填好以後再按一下〔Hacking Facebook〕。還沒結束呢!這時候網站會要求你按一下最下方的〔Security Button〕,然後在上方「Security Code」欄位中輸入剛剛跳出的對話盒中出現的五位數字,輸入完成以後按一下〔Hacking Facebook〕按鈕吧!



Step 3

終於開始破解了!等到進度跑完以後會跳出一串密碼。咦?這應該不是臉書可用的密碼吧!不管了,先按一下「Copy to Clipboard」複製下來吧!接下來還要再破解一次,按一下〔Start Decrypting〕。將剛剛複製下來的字串貼到中央欄位中,然後按一下〔Decrypt〕。



Step 4

沒多久,網頁上顯示「Password has been successfully hacked!」訊息,先別高興的太早,接下來看看會發生什麼事。果然在破解完成以後就開始跟你要錢了,當然是不要這麼快把錢給他啊!



Step 5

找到一個免費解密MD5字串的網站「http://www.hash-cracker.com」,把剛剛從網頁上複製下來的文字貼上以後搜尋,卻無法找到任何密碼。小編也接連試了好幾個類似性質的MD5破解網站,都無法成功破解密碼,幾乎可以斷定LearntoHack網站給的字串根本不是MD5編碼過的。



Step 6

此外,為了驗證推測是否屬實,也去找了一些關於「learntohack.co.uk」的評論,發現有網友付了錢以後,對方卻從來都沒聯絡,因此所謂「線上破解臉書密碼」的網站,很可能是騙局一場,不但沒破解到對方密碼,還白白損失金錢呢!




釣魚網頁

比起利用工具來破解Facebook密碼,釣魚網頁根本是懶人的好幫手,雖然現在大家都有普遍的危機意識,看到從外部連結上的臉書登入頁面,會去注意看看網址對不對,但是那怕是只要一個人中了釣魚頁面的陷阱,就正中駭客的下懷了,尤其是有的釣魚頁面做的很逼真,真是不可不預防啊!

破解成功率:

Step 1

在很多國外網站,甚至還有釣魚網頁的教學,小編按照網路上的教學自己來架一個,試試看釣魚網頁是不是真的有效。



Step 2

依樣畫葫蘆,在「000webhost.com」這個支援PHP的免費網頁空間中註冊一個帳號,並將釣魚頁面檔案上傳到網頁空間測試。



Step 3

雖然網站中示範的釣魚網頁是英文介面,但如果經過變造修改,的確很像真實的臉書登入頁面。



Step 4

輸入臉書帳密以後,卻被傳到不相干的網頁,這是釣魚網頁的特徵,有的網頁則會刻意顯示錯誤訊息,讓你以為是伺服器故障而登入不進去,殊不知臉書帳密早已被記錄在後台了。



Step 5

打開特定的網頁以後,可以看到以「email=帳號 pass=密碼」格式儲存的臉書帳密,因此以釣魚網頁來騙取帳密的方式是行得通的,不過要如何讓對方毫無遲疑的點下駭客所設的陷阱,就又是一門學問了。




木馬後門

除了釣魚以外,還有一個由來已久的盜帳號方式,就是在你的電腦中植入木馬或後門,以側錄的方式,將密碼記錄下來,其實這種破解方式在技巧上可以說是沒有什麼難度,不過要如何利用人心將你想植入對方電腦的木馬程式、按鍵側錄器下載回來,卻沒這麼簡單。

破解成功率:

Step 1

我們利用按鍵側錄器軟體來製作一個遠端執行檔,它的功用就是待在對方電腦中當間諜,時時記錄下任何電腦操作,然後定時回報給駭客,就能從中獲得密碼囉!



Step 2

側錄器可怕的地方在於,當它在執行時,可以完全不在系統內現身,因此除非是電腦功力很強的玩家,否則很多人都完全不知道已經被記錄下一舉一動了。



Step 3

在小編測試的這款側錄軟體中,還能在開機時就自動載入,達到目的的一定日期後,也能自我銷毀不留痕跡,簡直是像特務電影中的神器啊!



Step 4

側錄器的設定項目中,可以每隔一段時間,將側錄結果以Email或上傳到FTP、網路芳鄰的方式傳送到駭客手上。



Step 5

側錄器可以偽裝成任何執行檔,也能更改圖示,當然在真正執行時是看起來不會有任何反應的(有的製作軟體還能修改錯誤訊息,看起更逼真,就像下載到壞檔無法執行一樣),不知不覺你的隱私跟臉書帳密就洩底囉!



Step 6

實際操作了一段時間來測試是否能記錄到臉書帳密的輸入,發現確實可以偷偷地抄下了許多在操作電腦時輸入的文字,即使不一定是臉書的登入密碼,也可以透過在使用過程中所記錄的字串來推測使用者大概的密碼為何。





防盜自保之道

雖然說盜帳號的方法萬變不離其宗,總是用暴力破解或是木馬程式來取得對方帳號,但是我們也不可能呆呆的都不防範,任憑駭客予取予求,因此小編列出了六大項確保帳號安全的自保之道,不過其實不好奇、不貪心才能真正減少被盜的機會,因為駭客總是利用人性的弱點才能得逞不是嗎?

不亂點選看似可疑的對話連結

關於這點應該是基本常識了吧!很多時候常常是一個人被盜帳號,周遭朋友都遭殃,原因是駭客透過已經盜得的帳號來行騙時,受害者的朋友常常不疑有他就點選含有惡意程式碼的連結,也許就連到釣魚頁面或是被植入木馬了,還好通常這種被盜的臉書帳號在傳訊息給朋友時,都是非常公式化的對話內容,不是要請你幫個忙買遊戲點數,或是用手機幫他收個簡訊……等,時常留意最新版的對話內容,多少可以幫你分辨上線的朋友真偽,因為臉書帳號也被盜的話事小,真正大條的是個人資訊外流的風險!

不在公開電腦登入臉書

很多地方都會有公用電腦讓你可以上網,例如網咖、電腦賣場或是機場等公共場所,就曾經在連鎖的火鍋店看到也有擺設電腦讓你上網,這些電腦平時使用的人數眾多,又缺乏管理,難免會有「不乾淨」的情況XD,不過跟好兄弟可一點關係都沒有,而是大眾使用的電腦最有可能被安裝進一堆雜七雜八的軟體,其中可能有我們所介紹的木馬軟體或按鍵側錄器,因此千萬不要一看到有一台能上網的電腦就興奮,在公開場所更該小心不要隨意透露你的臉書帳密。

老生常談的時常掃毒

電腦要裝防毒軟體這件事,絕對是老生常談,不過日益嚴重的盜帳號、偷密碼情況之下,就算已經天天說都說爛了,還是要提醒你一定要安裝防毒防木馬軟體,並時常更新病毒碼進行全電腦掃毒。因為就算你的電腦十分乾淨,從來不執行來路不明的執行檔,也難保在上網時不被內嵌惡意程式碼的廣告網頁植入蠕蟲或木馬。現在能傳播惡意軟體的管道太多了,一定要時時小心防範,才能全面堵死任何個資及臉書密碼被盜的機會。

不在它人手機或是二手手機中登入臉書

智慧型手機超熱門!不論是iPhone或是Android手機都可以利用臉書App來登入發送訊息,不過很多人會忽略了手機的安全性,千萬不要在不是自己的手機上登入臉書,以免增加被盜的機會。如果購買二手手機,也請在開始使用前先將所有資料重置,還原到最乾淨的初始值,之前也發生過有網友一買到二手手機就很高興的登入臉書試玩,卻發現帳號被盜,因為很可能原本這隻手機就感染了手機木馬或是前一位使用者故意放的。在手機遺失時也儘速修改臉書帳密,防堵有人拾獲你的手機後直接登入臉書帳戶更改密碼。智慧型手機很方便,不過因為功能愈來愈強大,更應該小心注意安全。

自訂臉書安全性設定

可不要光只是在看臉書上的轉貼圖片及聊天喔!在某幾期的《密技偷偷報》中提到過臉書的一些內建安全性設定,經過適當的更改後,是可以加強臉書的安全性喔!此外現在有很多臉書上的應用程式,例如心理測驗及遊戲等,都是需要先同意一些關於隱私權的存取權限,也要斟酌一下這些應用軟體是不是真的實用,以及如果按下〔同意〕存取的話可能會帶來的影響,小心為上才能避免。

不要想破解他人臉書帳號

最後也是本文中的用意,很多網友可能為了想追查男女朋友的行蹤、或是因為好奇而從事一些不法的破解行為,不過畢竟破解技巧高超的「真駭客」佔極少數,許多人都會利用一些外掛或是現成的破解工具來得到對方的帳密,殊不知其實這些號稱「破解工具」的軟體本身就是木馬或惡意軟體!有的駭客會利用人心好奇的一面來吸引受害者下載他們所製作的工具,在執行以後還沒盜到別人帳密以前,已經將自己電腦的門戶大開,任駭客予取予求。因此如果能保持著健康的心態不去駭人臉書帳號,相對的就不容易被包著糖衣的惡意軟體誘惑,自然能減少自己被盜臉書帳號的機會。


轉載自《T客邦》