作者:Crane -06/11/2010
5月底6月初,Facebook社群網站遭受點閱綁架(Clickjacking)之攻擊手法利用,乍看之下,會以為是Facebook社群網站上的「超連結」受點閱綁架手法影響,事實上並非如此。
它是利用Facebook社群網站「Liked (讚)」中的超連結,讓網友連結到釣魚網站,在釣魚網站上利用點閱綁架攻擊之手法,使網友點擊(Click)之後,在自己Facebook的「塗鴉牆」上,留下「新的詐騙訊息」,再透過你的社交網絡出現在好友的「動態消息」中,使好友一一淪陷。
來看看整個攻擊手法:
1.首先架設釣魚網站,內含點閱綁架手法,以下就是「釣餌」,有很多個,並持續增加中:
hxxp://disneyhiddenlike. blogspot.com/
hxxp://manpictureofhimselflike. blogspot.com/
hxxp://2006mindfreaklike. blogspot.com
hxxp://2006mindfreaklike2. blogspot.com
hxxp://girlownedbypolicelike. blogspot.com/
hxxp://girlownedbypolicelike2. blogspot.com/
hxxp://disneyhiddenlike. blogspot.com/
hxxp://disneyhiddenlike2. blogspot.com/
hxxp://thedatesafe. com/obama/
hxxp://www.thedatesafe. com/man
hxxp://www.thedatesafe. com/promdress/
第一階段(6/3日之前)的釣魚畫面只有一個,顯示「Click here to continue」;第二階段(6/3日之後)的釣魚畫面,就很豐富了,畫面請參考這裡。
2.開始手動散播「Liked」(「讚」)的留言訊息,並對應到相對之釣魚網站,當然留言訊息也在演變中:
“The Hidden Body Part The Artists at Disney Didnt Want You To See.” -> hxxp://disneyhiddenlike. blogspot.com/
“LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.” -> hxxp://girlownedbypolicelike. blogspot.com/
“This man took a picture of his face every day for 8 years!!” -> hxxp://manpictureofhimselflike. blogspot.com/
“You''ll NEVER believe what OBAMA did on TV” -> hxxp://thedatesafe. com/obama/
“The Prom Dress That Got This Girl Suspended From School.” -> hxxp://www.thedatesafe. com/promdress/
3. Facebook用戶點擊了這些留言訊息,被誘騙到釣魚網站,若再點擊了「Click here to continue」之連結,或釣魚網站之畫面連結,就會在自己 Facebook 的「塗鴉牆」上留下「新的詐騙訊息」,再透過你的社交網絡出現在好友的「動態消息」中,使其好友上當。如此周而復始,擴大事端。
目前,Facebook也持續清除這些不當的留言訊息,但是,總是被動的,只要手法持續改變,就會一直延續下去的。
網友該如何避免呢?
1.安全的瀏覽環境,FireFox+NoScript是不錯的選擇,但前提是你得學會正確使用NoScript,可以避免點閱綁架手法。
2.上網的警覺性,為何到了釣魚網站還隨便點擊裡面的連結呢?這跟電子郵件中夾帶釣魚網站的超連結,有異曲同工之妙,你能成功脫身嗎?可以清楚辨認「餌」在哪嗎?
3.清查自己Facebook上的「塗鴉牆」及「動態消息」是否有可疑的留言訊息,予以刪除,或告知好友予以刪除。
4.社交網站正處於流行的高峰期,必定會遭有心人利用,你得多加注意,並留意新的攻擊手法。
5.同樣的手法,利用「翻新的詐騙劇本」同樣可以在其他社群網站,如撲浪(Plurk)或推特(Twitter)…等進行攻擊,務必多加留意。
企業或單位的網管人員該如何因應呢?
所幸目前並未發現惡意的攻擊利用,導致企業或單位受害或遭受損失。但需持續注意攻擊手法的演變,很有可能變成夾帶「Click by Download」的社交攻擊手法。
對同仁進行資安意識宣導,使同仁了解相關手法的利用。同時,加強同仁對於釣魚網站應有的認知,除了點閱綁架手法外,還有標籤綁架(Tabnapping)之新手法。
可以考慮封鎖相關社群網站。或當出現重大威脅手法時,立即進行封鎖動作,避免企業或單位蒙受損失。
持續注意手法演變至其他社群網站之可能,如撲浪(Plurk)或推特(Twitter)…等,並預先做好因應措施,如封鎖社群網站…等。
本文作者為資安技術顧問