駭客假冒Facebook Chat 認證騙取用戶資料

趨勢科技警告，出現新的Facebook用戶資料攻擊行為，攻擊者假借Facebook Chat團隊向用戶發出認證通知信，要求用戶在一定時限內完成認證，以盜取用戶個資。

近日趨勢科技發現，駭客以Facebook Chat團隊名義向Facebook用戶發出認證通知，要求用戶在指定的時限內完成帳號驗證，否則將終止Facebook Chat服務，用戶依照該通知指示操作之後個人資料即被竊取，駭客甚至鎖定用戶Facebook好友進行下一波攻擊。趨勢科技資深技術顧問簡勝財表示，在這類攻擊中，駭客會盜取使用者帳號、好友名單，再依名單進行另一波攻擊。事實上，並沒有Facebook Chat服務及團隊，Facebook的即時通訊服務為Facebook Messenger。

假造的驗證通知會指示Facebook用戶先連接一個網址，再依指示（會依瀏覽器而不同）複製一段程式碼，接著使用者被導向一個短網址被要求按下特定功能鍵（Chrome瀏覽器為F12），依指示進入主控台頁籤，將Javascript程式碼複製到網址列按下確認鍵，最後駭客便竊取使用者帳號，同時取得好友名單，為下一波攻擊作準備。

Facebook說明，這等於是變相讓用戶自己進行XSS攻擊，用戶在瀏覽器主控台貼上程式碼後，就已將用戶的帳號資料提供給程式碼，程式碼可在其他用戶的塗鴉牆散佈相同的詐騙內容，或是透過訂閱攻擊者控制的專頁作更進一步的攻擊行為。為避免用戶遭到這類惡意攻擊，已關閉某些瀏覽器的主控台功能，用戶需要時必需手動開啟這項功能。

隨著Facebook的盛行，各種鎖定Facebook的惡意攻擊層出不窮，且有越來越多的現象。先前曾有惡意攻擊以「失踨馬航找到了」的」假造影片騙取用戶資料，去年也有假的Facebook行動網頁以釣魚手法騙取用戶信用卡資料，還有Facebook安全檢查釣魚網頁盜取資料。

趨勢科技建議，為防止受騙，使用者最好安裝具有Facebook防護功能的安全軟體，並對陌生的訊息提高警覺，最好經常檢查發送的連結，同時慎選加入的聯絡人，附低曝露在惡意攻擊的風險。