[轉載]Facebook Chat認證通知?千萬別上當

[轉載]Facebook Chat認證通知?千萬別上當

趨勢科技提醒使用者切勿執行驗證    以免洩漏個資

 

【2014年4月28日台北訊】全球雲端資安領導廠商趨勢科技指出,臉書使用者再次成為惡意攻擊的目標,這一次是利用官方通知的形式,讓惡意份子能夠存取使用者帳號,並可以自動標記使用者的任何好友,並開始另一波針對好友帳號的攻擊行動。趨勢科技呼籲臉書用戶,臉書目前並沒有推出Facebook Chat功能,若收到此類通知切勿上當。此外,使用者最好加裝有信譽、可針對臉書做社群網路防護的資安軟體,才能主動保障自己在社群網站上的個人資料安全。

 

趨勢科技資深技術顧問簡勝財表示:「最近爆發的臉書惡意攻擊事件,是駭客偽裝成Facebook Chat官方團隊,並發出通知給使用者要求驗證帳號,藉以取得使用者帳號以及好友名單,並針對名單進行另一波攻擊。事實上,根本沒有『Facebook Chat』這個產品,更不用說會出現一個團隊發出所謂的「通知」。臉書的官方即時通功能叫做『Facebook Messenger』,這也是其獨立應用程式的名稱。」
趨勢科技指出,這則惡意訊息偽裝成來自「官方Facebook Chat團隊」的通知(如下),內容是要求使用者在指定期間內「驗證Facebook Chat帳號」,否則就無法繼續使用。訊息試圖偽裝出急迫性,以強迫使用者認證自己的帳號。


<ignore_js_op style="word-wrap: break-word; color: rgb(68, 68, 68); font-family: Helvetica, Arial, sans-serif, PMingLiU; font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.5px; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);">

圖一:Facebook Chat驗證通知

 

使用者首先會被要求連上一個網址,依照指示來複製一段特定程式碼。指示的內容會因為所使用的瀏覽器而有所不同(Google Chrome、Mozilla Firefox或Internet Explorer)。接著會被導向一個短網址,並要求按下特定功能鍵(例如Google Chrome是F12),然後點擊主控台頁籤,貼上所提供的Javascript程式碼到地址列中,然後按下Enter鍵。這些動作,會讓惡意份子能夠存取使用者帳號,並可以自動標記使用者的任何好友,開始另一波攻擊其他帳號的循環。


<ignore_js_op style="word-wrap: break-word; color: rgb(68, 68, 68); font-family: Helvetica, Arial, sans-serif, PMingLiU; font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.5px; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);">

圖二、Javascript程式碼會輸入主控台

 

臉書已經採取行動來對抗這種濫用官方聲明的威脅,他們的官方說明如下:

<ignore_js_op style="word-wrap: break-word; color: rgb(68, 68, 68); font-family: Helvetica, Arial, sans-serif, PMingLiU; font-size: 15px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 22.5px; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);">  

簡勝財指出,偽裝成臉書網頁以進行詐騙或惡意攻擊的行為,越來越頻繁。在2014年3月,就爆發偽裝的「失蹤馬航找到了」的偽造臉書影片,騙取用戶個資;而在2013年,就有一個行動釣魚網頁偽裝成正常的Facebook行動網頁,以竊取受害使用者的信用卡資料。同一年,Facebook安全檢查網頁被網路釣魚攻擊者偽造,以竊取一大堆的帳號憑證。

 

簡勝財提醒使用者,臉書詐騙情形越來越多,最好安裝有臉書防護功能的資安軟體做好主動式保護,並隨時提高警覺,以便保護好自己的帳號與個人資料。臉書使用者最好經常檢查發送給你的連結,即使是來自朋友或聯絡人,且需慎選加入的聯絡人數量,最好只加入自己所認識的人,以盡量減少危害自己帳戶和電腦的風險。

轉載自~重灌狂人論壇

vemma維瑪珉珉Min 發表在 痞客邦 留言(0) 人氣()