megakotaro 2008-9-18 09:29
駭客攻擊網路相簿
來源:趨勢科技
[url]http://tw.trendmicro.com/tw/support/tech-support/board/trend/article/20080827065853.html[/url]
近日趨勢科技發現多起網路相簿有關的攻擊事件,一件是全球最大的圖像共享網站之一Photobucket 出現釣魚網站 (相關文章:在桶子 (Photobucket) 裡釣魚),一旦受害者輸入他們的身分驗證資訊之後,網路釣客即可利用這些資訊取得受害者 Photobucket 帳號的完整存取權限,並可能在他們的相簿中嵌入惡意程式碼;另外一件是巴西的一個相片存放網站 Oi Fotos 成為網路釣魚與間諜程式結合攻擊的受害者(相關文章:完美的網路釣魚影像),歹徒在網路釣魚電子郵件中,告訴收件者收到某個行動電話帳戶的相片,誘惑使用者按下影像。如果收件者依照指示按下,會被導向到惡意的網路釣魚網站,此網站最後會試圖安裝間諜程式,此程式會監視並收集受害者電腦上的使用者資訊 (例如線上金融登入認證)。現在,趨勢科技 (Trend Micro) 已封鎖上述 URL。截至目前為止,被駭客利用過的網路相簿還包含:Flicker、Imageshack,前者意圖藉著網路釣魚偷帳號,後者則是利用網址綁架手法,募集傀儡電腦。
網路相簿/圖像共享網站本身已成為線上社群內部分享生活故事、小插曲以及個人見解的重要管道。McCann 所發佈的一份報告指出,2008 年三月新推出的社交媒體,使全球目前定期造訪圖像共享網站的網際網路使用者人數提高至 63.2% 的比例 (具體人數約為 2 億 4 千 8 百萬)。不幸的是,惡意程式作者也已察覺到這個熱門趨勢,並利用這個趨勢協助他們從事犯罪活動。圖像共享網站提供各式各樣的套裝服務,依據付費帳戶與免費帳戶的差異配置不同大小的儲存空間,並享有不同的權益。網際網路使用者紛紛把握這些機會,在論壇、部落格以及個人或小型企業網站中使用這些功能。
案例一:在桶子 (Photobucket) 裡釣魚
Photobucket網站通常被使用者當作個人相簿、在網路論壇上顯示的人物肖像的遠端儲存位置以及影片的儲存空間等。使用者可以選擇不公開他們的相簿,只允許通過密碼驗證的訪客存取,或開放給一般大眾瀏覽。不過,現在這個圖像共享網站也已成為網路釣客的攻擊目標。6月發生過一件駭客使用「網域名稱伺服器」(DNS) 入侵(請參考:Turkish Hackers Relive Memories in Photobucket),造成任何存取 photobucket.com 的人並不是被重新導向到非法網頁,而是導向到執行攻擊的駭客問候網頁。
網路釣客利用以上這個和原始網頁幾乎一模一樣的登入網頁,來引誘使用者輸入他們的使用者名稱與密碼。
一旦受害者輸入他們的身分驗證資訊之後,網路釣客即可利用這些資訊取得受害者 Photobucket 帳號的完整存取權限,並可能在他們的相簿中嵌入惡意程式碼。
早在6月Photobucket也曾出現 DNS 入侵攻擊(參考文章:土耳其駭客重現 Photobucket 中的回憶),導致許多 Photobucket 帳戶擁有者均無法存取的情況。網站無法存取的原因似乎是 DNS (網域名稱伺服器) 遭入侵,藉此將 Photobucket 的訪客轉向一個土耳其語網頁,網頁中的一段問候語目前已證實是發動攻擊的駭客所留下:
“Is there anyone who remembers us? We thought you forgot us and we decided to remind you again.”
(「還有人記得我們嗎?我們認為你們已經將我們被遺忘,所以決定提醒你們一下。」)
在網站服務停止運作期間,會員們都無法瀏覽他們放在 Photobucket 上的相片,此外訪客也無法瀏覽其他網站上的圖像。在網路上搞破壞是這個案例背後的唯一動機,然而能夠取得進行這些惡作劇所需的存取權限,也意味著駭客有能力發動更具破壞性的攻擊行動。
案例二:巴西相片網站 Oi Fotos 成為網路釣魚
最近,巴西的一個相片存放網站 Oi Fotos 成為網路釣魚-間諜程式結合攻擊的受害者。
攻擊的駭客問候網頁。
圖表1:合法 Oi Fotos 網站的螢幕擷取畫面
歹徒利用了 Oi Fotos 的行動服務。在網路釣魚電子郵件中,包含一個通知,告訴收件者收到來自行動電話帳戶的相片,並提供收件者檢視那些相片的機會;當然囉,他們必須按下影像。
該信件所顯示的文字大略翻譯如下:
「您收到來自行動電話 (0xx) **** - 2981 的 Oi Photos 相片。若要檢視相片,只要按一下下方影像即可。」
攻擊的駭客問候網頁。
圖表 2:網路釣魚電子郵件的螢幕擷取畫面範例
如果收件者依照指示按下,會被導向到惡意的網路釣魚網站,此網站最後會試圖安裝間諜程式,此程式會監視並收集受害者電腦上的使用者資訊 (例如線上金融登入認證)。
圖表 3:提示使用者將間諜程式下載到系統上的彈出式視窗螢幕擷取畫面
趨勢科技 (Trend Micro) 已將該檔案定義為 MAL_BANKER;這是一個智慧偵測名稱,指的是顯示出與 TSPY_BANCOS 及 TSPY_BANKER 間諜程式家族類似特性的檔案。如各位所知,這些家族會竊取線上金融資訊。
使用者面臨的風險與資料外洩問題
擁有相片共享網站帳戶的使用者應該瞭解,一旦相片分享網站成為駭客攻擊的受害者,他們將面臨失去數位資產的風險。損失的嚴重程度需視駭客所取得的資料庫存取權限層級而定。使用者登入驗證資訊可能被用於存取包括信用卡帳戶詳細內容等付款資訊,致使付款帳戶擁有人面臨更大的風險。這些信用卡資訊隨後可能被用以進行線上購物,或轉賣給地下論壇中的信用卡詐騙集團。一旦駭客取得客戶的帳戶資訊與多媒體檔案,圖像共享網站的經營者將面臨信譽受損,以及客戶流失的風險。
攻擊事件導致圖像共享網站無法提供服務的問題,同時也意味著使用者可能無法瀏覽存放在該網站上的所有圖片。轉換至其他相片共享網站牽涉到修正其他所有網站與論壇中所含的共享圖像連結所需的大量時間與資源。這是相當大的工程,尤其是對已經存在多年的網站與部落格而言。轉換至其他網站也不能保證絕對安全,從此不再遭遇網路攻擊。
一般而言,使用者甚少懷疑各種連結的真實性,尤其是偽裝成合法或知名網站的連結。甚至檢查所提供連結的副檔名 (以 ImageShack 的案例而言,副檔名為 .jpg,表示這是有效的 JPEG 檔) 也無法提供簡易的保證。
趨勢科技解決方案與建議
Trend Micro Smart Protection Network 提供的安全防護技術比傳統上在最新的資安威脅接觸到您之前,將其封鎖的作法更先進。普遍運用於趨勢科技解決方案與服務的 Smart Protection Network 結合了獨特的網際網路層級 (In-the-cloud) 我不知道我忘了防護技術,以及輕量化的用戶端架構,無論您連線至何處,均能即時自動保護您的資訊。
由於整合 Trend Micro Smart Protection Network 的所有產品均可封鎖網址並偵測後門程式 (就 ImageShack 的案例而言),因此無論透過何種媒介 (IM、電子郵件、在網址列中輸入) 提供給使用者的網址均會遭到封鎖。Smart Protection Network 中包含由 Web 信譽評等技術所提供的一層保護,這項技術能依據網域信譽評等資訊辨識已知的惡意或危險網站,並防止使用者存取這些網站。檔案信譽評等技術能評估使用者在不知情的情況下下載至電腦中的所有檔案的安全性。在桌上型電腦層級,防毒技術能偵測並移除 BKDR_SDBOT.BAH 及其他高風險性資安威脅。
@網路相簿攻擊事件回顧
2006年 Flicker 遭網路釣魚 竊取帳號
另一個線上相片管理服務網站 Flickr,數年前也曾遭垃圾郵件散播者鎖定Two New Yahoo Phish Sites.,試圖竊取使用者帳戶登入資訊。網路釣魚連結透過即時通訊應用程式四處散播,有些看起來就像是使用者的聯絡人發給他們的。然而,這表示他們的聯絡人已經遭散播上述連結以從事破壞的惡意程式所感染。