黑客瞄準社交網站 發動新一輪的攻擊

黑客瞄準社交網站 發動新一輪的攻擊

 

根據Cellopoint Global Anti-spam Center最新的監控數據顯示，因為社交網站(SNS, Social Networking Site)的流行，黑客攻擊目標從傳統的email逐漸轉移至此，其中特別熱門的Facebook、Plurk、Twitter等網站就成為主要目標;攻擊手法則結合木馬程序、殭屍網絡、社交工程及郵件釣魚技術，成為安全威脅新趨勢。

　　一、偽造的社交通知信攻擊黑客以偽造社交網站的帳號更新通知郵件方式，誘使收件人點擊email中的惡意連結，Facebook (臉書) 在 2009 年遭受黑客多次攻擊，至少數萬名會員因為點選惡意連結而造成個人敏感信息的外流。2010年黑客更將觸角往外延伸至其他社交網站，近日由Google營運的知名博客網站Blogger.com就成為新年假期結束首批受害者，主旨為 「Your Blogger account」的email，夾帶著一行乍看正常的網址連結，寄送到收件人的信箱中。點開後會顯示仿真的Blogger登入畫面，實則是黑客所架設的釣魚網站，若收件人不慎填入帳號密碼，黑客就取得該帳號的所有資料了。

　　二、社交網站成垃圾信息跳板黑客利用入侵社交網站帳號的方式，取得真實會員帳號的控制權，將其轉為垃圾信息發送跳板，透過信息更新的電子郵件通知，可以將許多惡意網址連結送至該帳號的社交朋友信箱中。社交網站的資料驗證機制尚有漏洞下，看到比較煽動信息要小心，像是之前傳出以某藝人的走光照、點連結得大獎等醒目標題，吸引使用者點選惡意連結，儘管目前垃圾信息的攻擊仍以英文居多，不過隨著國內社交網站使用人數快速增加，可預見未來中文化攻擊逐漸變多，因此建議使用者可以利用郵件過濾服務進行email檢測，做好防護工作，降低安全威脅入侵機會。 專家建議 IT 管理者需依不同的郵件安全規劃與人力配置，選擇最適合的解決方案，包括傳統硬體閘道設備、軟體及虛擬化 (Virtualization) 架構、或雲端郵件安全代管服務 (SaaS)」，彈性化的功能配置設計，可節省管理時間與IT成本，將投資效益最大化，將是2010年 CIO 面對重要安全問題之一。