今年,臺灣發生多起企業組織與名人臉書粉絲專頁遭駭事件,例如,2月臺北市體育局的「台北運動吧」就遭盜用,並貼出許多色情圖片與連結,在最近一個多月,事件更是相當密集,包括臺灣知名人物、企業、網紅與演藝圈等粉絲專頁陸續遭盜,值得關注的是,6月初又有新一波的攻擊行動出現。

根據資安業者趨勢科技的觀察,近日,有網路詐騙者的行動,是大量設立偽冒臉書官方的粉絲專頁,不確定是否有人因此受害,但其中一個假的粉專,就鎖定了多達700個臺灣知名人物,企圖騙取他們的臉書帳密。由於這個詐騙行動鎖定的對象,完全都是臺灣的粉專,因此備受關注。

偽冒官方臉書訊息的手法大同小異,不過這起攻擊特別針對臺灣

事實上,網路詐騙集團在這幾年來,一直都會鎖定熱門的Facebook粉絲專頁下手,而透過建立釣魚網站,騙取用戶帳密的方式,也不時出現聽聞。關於攻擊者是如何竊取粉專?日前,趨勢科技在6月3日揭露了一起攻擊行動,也是以釣魚網站竊取用戶臉書帳密,而他們的這個發現,可以讓外界看到一種詐騙手法的實際過程。

根據他們的調查發現,有不肖分子的作法,是企圖偽裝成Facebook官方通知,並開設偽裝成臉書官方的「Prıvacy Policy」粉絲專頁,再透過Tag用戶的方式,讓用戶收到臉書通知訊息,或是E-mail信件的通知,進而利用用戶粉專被檢舉的名義,引導受騙用戶前往指定連結,去確認臉書使用者身分,但實際上,該連結是假冒臉書的釣魚網站。

由於,趨勢科技在5年前就曾提出警告,要大家注意這種假冒官方Privacy Policy的手法,因此,我們進一步詢問他們,這次攻擊有何不同之處?

對此,該公司全球消費市場開發暨行銷資深經理劉彥伯指出,這類假冒臉書官方名義的手法,都不是新的招式,手法其實也都大同小異,他舉例,去年就有鎖定電商類型粉絲專頁詐騙的事件,而且臺灣、東南亞都有類似案例。

不過,劉彥伯指出,今年近期攻擊有一很大不同之處,就是鎖定的對象,全是臺灣知名人物帳號,而且,以往當粉專遭盜的新聞事件傳出後,詐騙者的行動可能會先暫停,但現在則是持續發生,他並認為,更難以防範的情況是,攻擊者會用已經騙到的粉絲專頁,透過冒用身分的方式,再來取信尚未被騙的用戶。

此外,除了一般粉專管理者的帳號安全,我們也詢問臉書企業管理平臺方面(Facebook Business Manager)是否也要注意,因為我們知道,臉書的這項機制可同時管控多個粉絲專頁。對此,劉彥伯指出,平臺管理者的帳號安全確實是更要注意,一旦攻擊者掌控了平臺,等於可對平臺下的多個粉絲專頁進行控制,甚至,攻擊者還可以將網路廣告營利的設定上,偷偷更改入帳的金融資訊,將營利轉入他人帳戶,或是用盜取的企業帳戶,刊登色情的廣告內容,做到故意破壞的效果。

而近期,國內傳出的粉專遭盜事件,也突顯臉書企業管理平臺管理者帳號遇害的風險。例如,海王天璽在5月31日於臉書發出聲名,表示在5月30日遭盜用,旗下「在不瘋狂就等死」等共30個粉絲專頁受影響,原粉專內管理員及藝人皆被移除管理者身分。

駭客取名混淆用戶的粉專名稱,並利用Telegram網頁當連至釣魚網站的跳板

在詐騙手法上,根據趨勢科技的說明,這次有兩個值得注意的地方。第一,是關於假冒官方粉專的名稱,詐騙方利用英文字母「i」與「ı」這樣的小差異,企圖混淆使用者,再者,以往詐騙者是直接用一個以假亂真的網址,而這次是利用一個Telegram網頁當作跳板,再引導用戶前往釣魚網站。

對於假冒臉書官方粉絲專頁的方式,劉彥伯表示,上述「Prıvacy Policy」只是一例,詐騙方其實會設立大量這類假粉專,來引誘使用者上當,他並提供我們另一假粉專的資訊,名稱為Prıvacy Corporation Policy Page Identify,同樣有放上臉書Loge作為大頭照。當時,我們可以看到這個粉專還沒有被移除,因此發現該粉專的動態消息中,在兩、三小時前,正分享許多臺灣知名人物的貼文,並聲稱「你的粉絲專頁已被其他人舉報,為了防止這種情況,我們需要驗證你的帳號」,在此詐騙內容中,會要求用戶遵循指示以驗證Facebook帳號。

特別的是,在引導用戶至釣魚網站的過程中,攻擊者在粉絲專頁所附上的網站連結,是一個Telegram網頁,例如:https://telegra.ph/NOTIFY-XX-XX-X。基本上,這是攻擊者運用即時通訊Telegram的線上發布平臺,所建立的網頁。劉彥伯指出,建立該網頁的用戶可以編輯文字、連結,也能插入影片與圖片,平臺如同一個拋棄式的匿名網頁,被攻擊者當成跳板使用,這點相當少見。

在這個Telegram網頁上,又會引導用戶點擊連結,才會進入到真正的釣魚網站,也就是偽冒的Facebook網頁。該網頁介面與真正的官方頁面很相像,而且攻擊者還建立了一個很長的網址,劉彥伯說明這也是詐騙方企圖混淆用戶的一個地方,連結中包含social-network-corporation,以及Facebook-verification等字串,目的是要讓不懂的使用者無法分辨,但其實,該真實網域根本與正版Facebook網站無關。

近日有不肖分子正開設大量假冒FB官方的粉專,企圖偽裝成Facebook官方通知,並假藉用戶粉專被檢舉需驗證身分的說詞,要騙取用戶FB帳號。
根據趨勢科技在6月5日提供給我們的一個假冒FB官方的粉絲專頁,當時我們前往該專頁,正看到詐騙者正對國內數十位名人、企業與歌手詐騙,像是郭台銘也在其中。

在這起攻擊行動中,詐騙者所假借的名義,是聲稱「你的粉絲專頁已被其他人舉報,為了防止這種情況,我們需要驗證你的帳號」,進而要求用戶遵循指示以驗證Facebook帳號。特別的是,粉絲專頁所附上的網站連結,是一個Telegram網頁,具有一次性匿名網頁的特性,當成跳板,用戶再次點擊連結,才會進入釣魚網站,也就是假冒的Facebook登入頁面。

在追查過程中,我們實際依循來到詐騙方指示的身分驗證之處,可以看到這個網頁假冒了FB的風格設計,並用上很長的連結與一些字串來混淆。

粉專管理者與小編應開啟臉書雙重驗證自保

對於一般臉書粉絲專頁管理者而言,要如何才不會上當?其實上述詐騙過程,有不少地方存在破綻,譬如說,如果用戶有檢視假冒的粉絲專頁,可以發現該專頁沒有官方認證的藍底白勾,讚數也很少,對此,劉彥伯也提到,臉書不會透過這樣的官方粉專來聯繫用戶,也不會透過貼文聯絡用戶。此外,還有像是貼文中的連結,以及釣魚網站的網域,實際都與臉書無關。

因此,從這個詐騙案例,可以了解到駭客假冒的方式,不過,用戶還要知道是,這個攻擊行動只是攻擊手法的一種,還有許多不同的假冒與社交工程手法,有些形式看起來會更是以假亂真,例如釣魚網址前方就偽造相似facebook的字串,讓不懂檢視網域的人無從判別。

關於自保之道,除了電腦上防毒軟體有機會能避免用戶連上釣魚網站,或是將可疑網址送到VirusTotal或防詐達人去檢查連結的安全性,有一點用戶常常容易忽略,就是近年雲端服務大多提供雙因素驗證的功能,臉書也有支援,用戶只要啟用Facebook上的雙重認證功能,一旦有人嘗試從不明裝置或瀏覽器登入自己的臉書帳號,臉書的系統就會要求輸入驗證碼,多增加一道帳號防護措施。

 


Advertisement

更多 iThome相關內容