非學不可

【臉書Facebook中文】病毒最愛在臉書Facebook做的12件事/如何預防臉書Facebook病毒的正確使用習慣  文/灰色金盞花

資料來源： 網路資訊雜誌

按一下分享到你的臉書Facebook

病毒最愛在臉書Facebook做的12件事轉錄於 網路資訊雜誌，黑色字體為原文內容，藍色字體為灰色金盞花的個人說明，若有錯誤請指教。

老實說、不管是病毒最愛在臉書Facebook做的12件事，還是120件事，其實只要有正確觀念和養成良好習慣，就能避免大多數陷阱，接著就是安裝一套防毒軟體，然後就祈禱老天爺不要中毒。

可以參考這一篇，安裝網頁即時監控保護。
【免費防毒軟體】雲端WTP Add-On 網頁威脅防禦工具使用安裝教學/防禦網路釣魚、木馬、間諜程式、Botnet傀儡殭屍網路 

黑字為原文/藍字為灰色金盞花個人說明

Facebook 是當今最受歡迎的社交網站之一，可讓使用者聯絡親友、上傳照片、分享連結與影片。它是由 Mark Zuckerberg 就讀哈佛大學時所創辦。根據Wikipedia 解釋Facebook 免費社交網站的名稱取自美國某些大專院校或預備學校發給新生、新聘教授或新進職員的一本名冊，這本名冊就叫 Facebook，是新鮮人認識校園內其他成員的一項管道。目前 Facebook 有效使用者人數超過 1.75億。因此也成為病毒覬覦的對象。

以下是趨勢科技 TrendLabs 偵測到與 Facebook 相關的網路威脅，並歸納出這些利用Facebook 名義，常用的社交工程技巧：
Facebook 相關病毒 常用的社交工程技巧

1. 自 Cookie 檔案中搜尋與 facebook 相關字串
WORM_KOOBFACE.E 與 WORM_KOOBFACE.D 會在中毒電腦上的 cookie 檔案中搜尋與 Facebook  相關的特定字串。 一旦找到，這些蠕蟲就會利用 cookie 中的登入資訊存取使用者的個人資料檔案，並且在中毒使用者的個人資料檔案中加入一些指向自己的連結，引誘使用者點選。這一系列的惡意程式雖然是在 Facebook 上首見 (也是名稱由來)，但其變種與手法也曾經出現在其他社交網站，如 Friendster。

所謂Cookie檔案，姑且可以看成瀏覽網站時的一種記錄檔，所能記錄的東西很多，小至瀏覽歷程，輸入過什麼資料，大至帳號密碼都可以被儲存，也就是當我們勾選儲存帳號密碼時，就會產生一個記錄帳號密碼的Cookie檔，下次登入網站就不必再輸入一次，非常方便的功能，卻也帶來危險。

這意味著病毒找到這些Cookie檔可以從中獲得很多資訊，雖然並非取得Cookie檔就能知道帳號密碼，實際上也沒那麼簡單，但是能從中獲得一些資訊是必然。

如果不嫌麻煩，現在各家新版瀏覽器都有一種『私密瀏覽』的功能，就不會產生這些Cookies檔案，是一種比較安全的瀏覽方式。（在火狐叫做私密瀏覽，在Google瀏覽器則稱為無痕瀏覽）

2. 破解 Facebook 帳號 冒名發送「有人講你壞話」訊息
根據通報，已有遭破解的 Facebook 帳號親友收到包含惡意程式連結的垃圾訊息。這些訊息會佯稱有人在部落格上詆毀收件人的名譽。一旦點選了訊息所宣稱的部落格網址，就會下載一個趨勢科技所偵測到的 TROJ_AGENT.ASLV 檔案，此檔案會進一步下載 TROJ_DROPPER.FI 木馬程式。TROJ_DROPPER.FI 會再下載其他惡意檔案到遭感染的電腦。

這意思比較簡單，就是帳號密碼被破解或網路釣魚取得帳號密碼後，利用臉書Facebook發信給好友，傳遞一個病毒連結。所以朋友發來的臉書Facebook訊息也要小心留意。

3. 傀儡網路冒 FBI 之名調查 Facebook 恐怖份子
根據流傳的一項垃圾訊息指出，FBI 正在調查 Facebook 可疑的恐怖份子。使用者若點選此訊息內的連結，就會連上一個網站，此網站會叫使用者下載一篇有關這項調查的文章。而下載到的檔案其實是趨勢科技所偵測到的 TROJ_NUWAR.DDJ 木馬程式。

跟上面差不多，只不過網頁本身無毒，而是誘導去下載一個調查文件，這一招比在網頁直接放毒更難防，因為網頁直接含毒，通常防毒軟體都會偵測攔截，所以可能不會看見網站內容，但是誘騙去下載檔案，還是親手去執行啟動病毒，就比較難防，因為我們可能會以為防毒軟體誤報而關閉。

4. 朋友在 Facebook 留言：「你被偷拍 Po上網了」其實是 趁機蒐集電子郵件地址
一封假冒使用者聯絡人所發出的訊息，告訴收件人在某 URL 上張貼了收件人的一張照片。 使用者一旦點選了指定的 URL，就會連上一連串的網站，並且要求使用者輸入電子郵件地址。接下來，就會顯示所宣稱的照片，但照片內容其實是一隻猴子。然後網站會告訴使用者可以將這個「玩笑」再傳給其他好友。

蒐集電子郵件能做什麼應該不用多解釋吧！除了垃圾信，還能發佈假的臉書Facebook訊息，進一步誘導網友進入陷阱。

5. 新的 Koobface 好友傳來的精彩影片連結，要觀賞先下載病毒
遭到鎖定的使用者會收到假冒的已知 Facebook 聯絡人所送來的訊息。此訊息內含一個連結指向與 YouTube 網頁長相一模一樣的網頁。 這個網頁會要求使用者必須下載 Adobe Flash Player 才能觀賞影片。

使用者若點選安裝按鈕，將重導到另一個網站去下載 setup.exe 檔案，此檔案其實是新的 Koobface 變種WORM_KOOBFACE.AZ。

此網站的 IP 保守估計已經發現 300 多個提供 setup.exe 檔案的不同 IP 位址，數量預料還會繼續增加。此蠕蟲會使用蒐集到的登入資料連線到對應的網站。接著會搜尋中毒使用者的親友，並且將包含此蠕蟲下載連結的訊息寄給這些親朋好友。此外，此蠕蟲還會連線到好幾個伺服器來傳送並接收中毒電腦的資訊。如此，駭客就能在中毒電腦上執行一些指令。所有提供此惡意檔案的網站 IP 位址現在都已被歸類為 HTML_KOOBFACE.BA 惡意網址。根據趨勢科技工程師所做的分析發現，WORM_KOOBFACE.AZ 也會透過其他社交網站流傳。 它會優先搜尋以下網站的 cookie：facebook.com/hi5.com/friendster.com/myyearbook.com/myspace.com/bebo.com/tagged.com/netlog.com/fubar.com/livejournal.com

這跟第三招一樣，誘騙網友去看影片，但是網頁會顯示必須安裝播放軟體才能看，所以當然又是自己去下載病毒回來，並且親手去執行病毒。

6. 「新增好友」邀請函陷入陷阱的第一步，使用者會收到冒名的「新增好友」邀請函。
這封邀請函會指向一個假的登入網頁，其實這是網路釣魚者用來取得登入資料的網頁。 這項攻擊還隱藏另外一招，就是宣稱邀請函的附件檔案是「好友」的照片。 但此附件其實是一個惡意檔案。

這屬於釣魚網站，使用假的登入畫面，誘騙網友輸入帳號密碼，實際情況可以參考灰色金盞花寫的這篇關於釣魚網站的文章

【網路安全】如何預防辨識Yahoo奇摩拍賣，網拍釣魚網站盜帳號詐騙手法公開

7. 網路釣魚者冒名 Facebook 盜用帳號
這個與真正的 Facebook 登入網頁非常相似的網頁，會請使用者輸入電子郵件地址與密碼來登入自己的帳號。一旦資料輸入完畢，使用者就會被導回真正的 Facebook 網站，不讓使用者發現帳號已經被偷。

這屬於釣魚網站，使用假的登入畫面，誘騙網友輸入帳號密碼，實際情況可以參考灰色金盞花寫的這篇關於釣魚網站的文章

【網路安全】如何預防辨識Yahoo奇摩拍賣，網拍釣魚網站盜帳號詐騙手法公開

8. 某人已經把你加入好友，阿～是病毒
一封假造的訊息會告訴收件人，某某某已經將收件人加到自己的社交圈。 此訊息宣稱電子郵件當中的附件就是這位好友的照片。而隨附的 .ZIP 檔案當中並沒有所宣稱的照片，而是一個名為 picture 的執行檔，也就是我們所測到的 WORM_AUTORUN.EAT 蠕蟲。WORM_AUTORUN.EAT 可能會在中毒的系統上安裝其他惡意檔案。 而且也會將自己安裝到所有實體磁碟與可卸除式磁碟上。

這應該是利用電子郵件，寄出臉書Facebook假訊息通知，宣稱某人已加入好友，並誘騙去下載照片，結果當然又是自己親手去執行病毒。

9. 偷資料的到底是假 Twitter 還是 Facebook?
這項攻擊橫跨了兩個社交網站：Twitter 和 Facebook。 攻擊時先透過 Twitter 來散發連結，再透過假造的 Facebook 登入網頁竊取資料。網路犯罪者利用 Twitter 直接訊息功能的漏洞，透過訊息告訴使用者在另外一個網站上張貼了使用者的照片，並且提供連結供使用者點選。訊息所提供的連結，其網域看似與 Twitter 有所關聯。 但奇怪的是，當使用者點選此連結時，會被導向一個幾可亂真的假 Facebook 登入網頁。在這網頁上所輸入登入資料將會遭到記錄並竊取。 為了不讓使用者發現，網路釣魚者還特別設計好像在處理送出資訊的網頁。一旦資料送出，就會顯示錯誤訊息，並且載入真正的 Facebook 網站，就好像什麼也沒發生一樣。 惡意應用程式

這是利用Twitter推特，來傳遞病毒網址，而這也是利用釣魚網站來騙取帳號密碼，若在台灣則將來可能是利用噗浪Plurk來做誘騙的動作？

網路釣魚可以參考這篇

【網路安全】如何預防辨識Yahoo奇摩拍賣，網拍釣魚網站盜帳號詐騙手法公開

10. Facebook 的 Secret Crush 程式現出原形
• 2008 年初Facebook 上一個名為 Secret Crush 的應用程式被發現會在使用者的系統上載入廣告程式與間諜程式。此程式會載入一個淵源於 Zango 的廣告/間諜程式，這是歷史上有名且專門破解特定遊戲、數位版權管理 (DRM) 防拷影片以及軟體的廣告程式與間諜程式。 目前大約有 4% 的 Facebook 使用者已經加入了此應用程式，受影響的使用者大約一百萬人。

這一招則是利用臉書Facebook上的應用程式來載入間諜程式。

臉書Facebook的應用程式最常見的就是遊戲，而經由遊戲或其他官方正版應用程式，洩漏出的隱私也常常成為新聞，對於使用臉書Facebook的網友一定要特別小心。

關於臉書Facebook經由遊戲洩漏隱私的新聞可以參考這篇蘋果日報的新聞

玩臉書遊戲 小心個資全外洩

11.病毒幫Facebook發送 的「檢視錯誤訊息」通知
• 在 Facebook 上出現了一個意圖極端不良的應用程式，叫做 The Error Check System。此應用看似無害，但卻散播得很快、很廣，而且會在散播過程中蒐集數千筆、甚至數十萬筆個人資料。

正常來說，當 Facebook 應用程式需要存取個人資料檔案的內容時，必須先取得使用者允許。但「錯誤訊息」應用程式卻刻意不在訊息中提到存取使用者資訊與好友清單需經過使用者允許。當這個應用程式在 Facebook 上蔓延的期間，Google 搜尋網站還發生了另一個有趣的插曲。 若輸入「Error Check System」這個字串進行搜尋，搜尋結果還會指向真正的惡意程式與惡意防毒程式。顯然，這個 Facebook 應用程式的目的除了竊取個人資料檔案內容之外，還希望透過 Google 將人們導向虎視眈眈的危險連結。 這似乎也算是另一種透過搜尋引擎最佳化 (SEO) 的毒化技巧。

此應用程式會發出通知訊息給 Facebook 使用者，告訴他們「有好友在查看其個人資料檔案時遇到問題」，並且提供一個連結讓使用者「檢視錯誤訊息」。此「錯誤訊息」應用程式已更改了正常 Facebook 應用程式安裝畫面的標準內容，裡面並未提到存取使用者資訊與好友清單需經過使用者允許：

一旦此惡意的應用程式被啟用，或者安裝到系統上，就可進一步取得個人資料檔案的所有內容。此應用程式最後會善意地 建議使用者或許也應該檢查一下好友的個人資料檔案看看是否有問題，這樣就能繼續散播下去。

簡單的說，這招就是發一個訊息，告訴你，有人在觀看你的個人資料時出現錯誤，要你自己去點選檢視錯誤訊息，然後就上當了。

接著會善意提醒你去看看好友的個人檔案，是不是也有問題，當我們一看好友的個人檔案時，這個應用程式又會發訊息告知對方，有人檢視個人檔案出現錯誤，得去檢視錯誤訊息。

這是不是很像臉書Facebook上送愛心、送禮物的小遊戲一樣，一整個沒完沒了，難怪傳播的速度快又廣。

12.病毒檢舉你違反 Facebook 使用條款
另一個 Facebook 惡意應用程式出現，Facebook 使用者再一次成為網路犯罪者的受害者。 在使用者個人資料檔案內張貼下列通知內容：

(使用者好友清單中的一個名稱) 已向 Facebook 檢舉您違反了我們的服務條款。 – 這是一項正式警告！ – [請按這裡查看您為何遭到檢舉！] – 請向 Facebook 查詢事情的原委並立即遵守規範。通知內的連結會指向一個名為 f a c e b o o k – - closing down!!! 的應用程式。 這個程式一旦安裝，就會對使用者好友清單內的朋友發出同樣的垃圾訊息。此外，還可能在過程當中蒐集個人資料。

老實講、目前若違反臉書Facebook使用條款，根本不會被通知，直接就被鎖掉網頁了。

不過利用違反使用條款的手法，也常出現在很多地方，假冒官方訊息常常最讓使用者不小心上當的。

看完以上內容，會發現很多手法其實平常都很容易出現，並不稀奇。

技術上也許是新的，但手法上卻大同小異。

因此養成正確的上網習慣非常重要，最少要裝一下防毒軟體，雖然仍是無法完全避免，但至少能躲過80%以上的病毒攻擊。

而防毒軟體的選擇，最好能含有網頁即時監控功能，這一點通常免費防毒軟體都不具備，但這卻是現在最容易中病毒的方式。

若你的免費防毒軟體不具備網頁即時監控，那舊莊一下這套來補強，或許趨勢科技防毒技術非常高的前幾名，但至少還是能防範大多數的病毒攻擊。

參考這篇

【免費防毒軟體】雲端WTP Add-On 網頁威脅防禦工具使用安裝教學/防禦網路釣魚、木馬、間諜程式、Botnet傀儡殭屍網路 

覺得『非設計部落』文章不錯，請動動滑鼠點一下『讚』喔！