Facebook、Twitter、LinkedIn等社交網站在這幾年迅速竄紅,成為人們網路生活中不可或缺的部分。人潮湧到哪、就成為駭客新目標,社交網站正是不法份子竊取個資的新樂園。資安大廠賽門鐵克揭示社交網站上的六大資安攻擊手法,並呼籲使用者在社交網站上妥善管理每一個「按讚」或「分享連結」的動作,以免自己和朋友的個人資料都成為駭客的囊中之物。
「人們很容易信任在社交網站上看到和互動的資訊或連結,我們在網路上張貼了太多關於自己的事情,」賽門鐵克資深總監伊根(Gerry Egan)說,透過社交網站「分享」的特性,讓駭客得以將惡意連結散布的更快,並且從中賺到金錢,而這很可能會損害人們在網路上的信譽。
賽門鐵克整理了過去一年中最普遍的五大社交網站攻擊手法,目前以用戶最多的Facebook、Twitter為主流,但如LinkedIn等商業社交網站未來也將陸續出現更多惡意攻擊。因為這樣的趨勢,賽門鐵克在諾頓(Norton)網頁掃描產品(Safe Web)中新加入了Facebook塗鴉牆的掃描功能,幫助使用者掃描Facebook上所有動態和連結,以防止惡意攻擊透過社交網站迅速擴散。
手法一:強迫按讚
駭客會做一個假的網頁,誘使網友按下某個區域,例如「你是人的話就按下紅色」,但網友看到的頁面是假的,紅色的區域實際上是個「讚」按鈕,有時候讚按鈕更跟著游標跑,除非關掉瀏覽器,否則你不得不按讚。按讚之後將使更多你的朋友看到這個假的網頁。
手法二:強迫分享
同樣是透過一個假的網頁,你以為你輸入的是驗證碼,但實際上是在分享框裡輸入了某些文字,不知不覺就替駭客傳播資訊。
手法三:分享攻擊
以折扣金、優惠活動吸引使用者按讚或分享,但天下沒有白吃的午餐,透過社群分享機制,讓惡意連結在朋友間迅速傳播。
手法四:複製貼上攻擊
告訴使用者必須複製一段程式碼、讓他掃描你的Facebook帳號設定,才能看到某些照片或影片。但那是一段惡意程式碼,駭客可藉此操控你的Facebook,輕易取得各種資料。
手法五:Twitter的惡意連結
藉由Twitter的訊息張貼及follow機制,將內藏惡意連結的短網址插入在訊息中,誘使更多人點擊、轉發惡意連結。
