2014年5月1日 星期四

駭客假冒Facebook Chat 認證騙取用戶資料

駭客假冒Facebook Chat 認證騙取用戶資料

駭客假借Facebook Chat官方團隊名義向用戶發出驗證通知,要求在特定的時間內完成帳號驗證,用戶依照指示之後會複製Javascript程式碼到瀏覽器主控台,使駭客藉以竊取用戶Facebook帳號資料及好友名單。


趨勢科技警告,出現新的Facebook用戶資料攻擊行為,攻擊者假借Facebook Chat團隊向用戶發出認證通知信,要求用戶在一定時限內完成認證,以盜取用戶個資。

近日趨勢科技發現,駭客以Facebook Chat團隊名義向Facebook用戶發出認證通知,要求用戶在指定的時限內完成帳號驗證,否則將終止Facebook Chat服務,用戶依照該通知指示操作之後個人資料即被竊取,駭客甚至鎖定用戶Facebook好友進行下一波攻擊。趨勢科技資深技術顧問簡勝財表示,在這類攻擊中,駭客會盜取使用者帳號、好友名單,再依名單進行另一波攻擊。事實上,並沒有Facebook Chat服務及團隊,Facebook的即時通訊服務為Facebook Messenger。

假造的驗證通知會指示Facebook用戶先連接一個網址,再依指示(會依瀏覽器而不同)複製一段程式碼,接著使用者被導向一個短網址被要求按下特定功能鍵(Chrome瀏覽器為F12),依指示進入主控台頁籤,將Javascript程式碼複製到網址列按下確認鍵,最後駭客便竊取使用者帳號,同時取得好友名單,為下一波攻擊作準備。

Facebook說明,這等於是變相讓用戶自己進行XSS攻擊,用戶在瀏覽器主控台貼上程式碼後,就已將用戶的帳號資料提供給程式碼,程式碼可在其他用戶的塗鴉牆散佈相同的詐騙內容,或是透過訂閱攻擊者控制的專頁作更進一步的攻擊行為。為避免用戶遭到這類惡意攻擊,已關閉某些瀏覽器的主控台功能,用戶需要時必需手動開啟這項功能。

隨著Facebook的盛行,各種鎖定Facebook的惡意攻擊層出不窮,且有越來越多的現象。先前曾有惡意攻擊以「失踨馬航找到了」的」假造影片騙取用戶資料,去年也有假的Facebook行動網頁以釣魚手法騙取用戶信用卡資料,還有Facebook安全檢查釣魚網頁盜取資料。

趨勢科技建議,為防止受騙,使用者最好安裝具有Facebook防護功能的安全軟體,並對陌生的訊息提高警覺,最好經常檢查發送的連結,同時慎選加入的聯絡人,附低曝露在惡意攻擊的風險。

轉載自《iThome》