MSN-Phishing on Christmas Eve

注意看網址：www.log1nlive.net
看到這邊應該就知在幹啥了吧!!...不會帳密又掉了吧~~~XD

對於預測2010年的資安威脅報告(Security Threat Report:Trends for 2010)

時序歲末，又將是新的一年即將來到。這個時節，也正是年度資安威脅報告統計分析成果公佈的時節，對於來年也會做些趨勢的推估、預測。這邊特別蒐集了一些有公佈安威脅報告的資料，大多為一年前所公佈的，個人反到偏愛以回顧的方式來看這些威脅報告，經過一年的風風雨雨，回顧起來更有感觸。如果再多看一些陳年的年度報告，也許會覺得當時做資安算是簡單的哩!!怎當年也是搞得暈頭轉向咧~~XD

應該看的理由：
1. 找到資安防禦方向或重點，對資安廠商來說掌握趨勢，也掌握先機。
2. 年度威脅報告，乃資安廠商投資、建置、蒐集、統計、分析而來的，有的是資安廠商蒐集相關網路資訊而來的，要寫出一份好的報告，說簡單也不簡單，但要寫出一份切中未來趨勢，就有其難處，由這也可以看出其對威脅報告用心。
3. 驗證目前防禦現況，是否符合內部的威脅分析報告或數據。
4. 我要打十個。
5. 將部分主題內容，作為一般教育訓練教材之方向，並加強宣導資安觀念。很多攻擊手法都是針對「人」來著，需要修正的是「人」的觀念。

不該看的理由：
1. 夾帶置入性行銷內容。
2. 威脅報告內容不夠全面性，不夠客觀，容易陷入迷思。這點確實如此，看威脅報告時，還要注意公佈資安廠商的屬性，畢竟分析內容還是在其專業領域中。
3. 沒有內部威脅分析報告，也沒關心外在風雨，無從驗證。
4. 不知道內容都在講啥。
5. 該做的都做都做不完了，哪還有時間管新的問題。

無論是啥理由，對於 2010 年度的報告或預測，這裡整理一些網路上蒐集到的，可以快速檢視一下，也許會有些不同防禦想法或創意發想的：
(依據資料公佈時間排序)

《社群網戰》(The Social Network)：朋友背叛與背叛朋友

此篇暨
「你！出賣朋友嗎？」
「誰在看我的噗 (About Micro-Blogging)？」
「帳號密碼妙關聯，一般會員知多少」
「請務必尊重與注意隱私問題！！」
「Please Rob Me!! XD ~~」
相關社群網站系列之延伸。這篇應該是完結篇了吧！！

看完相關文章後，在連結到上圖，不知「你」有何想法？
沒有～～ＸＤ
再看一篇新聞：「Facebook承認應用開發者販賣使用者資料」。
還沒有想法嗎？

請注意圖片中此兩段內容：
「允許此程式取得包括姓名、大頭貼照片、性別、所屬網絡、用戶 ID、朋友名單等基本資料，以及其他我同意和所有人分享的內容。」

「一旦點擊「同意」，你將開啓開放平台應用程式功能，你的「經由朋友存取你的資料」的隱私設定將會被重設為預設值。」
=====
又有多少人了解上述兩段話的內容呢？這兩段話術哪個比較嚴重呢？

老梗!!但就是能唬人!!(MSN Phishing)

看完這兩張圖，有啥感想呢？簡單的方式也能把帳密搞到手。
老梗!!但就是能唬人!!

再看看先前的文章：
騙取MSN帳密的釣魚網站...真多!!

模擬實戰釣魚網站(Challenge to Phishing-II) Part-II

<截圖自https: / /www.phish-no-phish.com /網站>
有個網站：
https://www.phish-no-phish.com/
上面有五題考題(同樣題目五題，但有兩種不同問法，所以是十題)，測驗你對釣魚網站的識別能力。我覺得挺好的。
身為網路的一份子，你一定得要試試。這裡有中文的...cool
https://www.phish-no-phish.com/tw/default.aspx

這是 VeriSign 提供的一個測試網站。
我把心得寫在後面，建議大家測試完畢再看心得分析。
您有心得，也可以留下意見喔！

Facebook 出現點閱綁架(Clickjacking)之攻擊手法分析

參考新聞：
ZDNet Taiwan: Facebook出現惡意連結讓你說讚
ITHome: Sophos：點閱綁架侵襲Facebook
資安之眼：玩臉書喊「讚」 小心陷阱
Graham Cluley’s blog: Viral clickjacking 'Like' worm hits Facebook users

YouTube: hundreds of thousands of people over this hoilday weekend were infected by a clickjacking worm

模擬實戰標籤綁架手法(Challenge to TabNapping)

暨「點閱綁架(Clickjacking)」手法之後，又出現「標籤綁架(TabNapping)」的新手法了。
直接來親身體驗吧！這裡有實作的體驗網站 （FireFox 確定可以被利用）。畫面如下：

攻擊與防禦思維 II

有鑑於前一篇「攻擊與防禦思維」太過於消極，所以這邊平反一下，還是要正面思考...(丟筆...

一、「攻擊者積極，防守者消極」
1.防守士氣：這點是非常重要的。主官如何激勵士氣，為首要要務。如果沒有士氣，砸再多資安防護設備也是枉然。士氣有多重要，可以看看這個新聞，不過一般常見士氣不彰的結果，是會造成人員異動頻繁的。話說回來，不只是資安單位，整個公司的氛圍更重要，這不是多高薪水能禰補的，唯一不受影響的只有肥貓。且一旦士氣萎靡，要提升可不是短時間就可以達成的，務必多加留意。
2.內部該「一致」對駭客：很多狀況是，明明野生動物在門口拉的一坨屎，兩鄰居卻大打出手，終身不相往來。如何避免這種狀況，考驗主管們的 EQ 了。很多問題其是沒有對錯的。

攻擊與防禦思維

看完 Roamer 大大的「駭客想得和你不一樣！」一文，有頗深的感觸。

「為什麼這麼多單位通過了資安認證後，卻還是被黑得很慘。」
首先「通過資安認證」跟「被黑得很慘」沒有太大關係，沒有通過驗證的單位也有沒被黑過的。怎解釋呢？我想得從資安認證的目地說起了。絕大部分資安認證的目的是為了「絕對安全」嗎？是真的為了把「資安做好」嗎？但是，通過認證後卻都異口同聲的說：我們的資安防護很安全。

突然想起馬雲的一句話：「西方人的智慧，是看見別人看不見的東西；東方人的智慧，是看見當作沒看見。」

Please Rob Me!! XD ~~

有郭網站：「Please Rob Me」
http://pleaserobme.com/

這個 Blog 中有很詳細的相關說明。裡面有段話我很喜歡：
「...我們不是在嚇大家不要分享任何資訊，也不是告訴大家地理資訊的應用都是不好的，而只是做善意的提醒：在你分享之前，先想想會不會有什麼嚴重的後果！分享地理資訊不全然是件壞事，只是要用對場合與方式！...」
~~來源為 [Mr./Ms. Days (MMDays) – 網路, 資訊, 觀察, 生活]部落格網站~~

再回想一下我之前的一篇文：「誰在看我的噗」。

我只能說，你自己如果也不尊重自己的隱私，哪，將會沒有人在乎你的。也就是說你在網路上裸奔，大家也只能看戲。

請務必尊重與注意隱私問題。

「高度精密與目標性」的攻擊事件

自從一月十三日起，各新聞媒體傳出 google 宣布要退出中國市場開始，這事件就像連續劇一樣，每天上演著不同的情節。一開始爆出是利用 Adobe 未修補的漏洞，後來又說是利用 IE 0 Day。

極巧的是，消息一曝光開始，不到一天 Adobe 也推出更新版本到 V9.3.0 版，因為首波新聞內容提及 Adobe 漏洞問題，相關新聞在這、還有這裡。


後來攻擊漏洞也與微軟 IE 有關聯，IE 也在這兩天推出修補更新程式，相關新聞在這、還有這裡。所有被爆出的漏洞紛紛修補完畢。

請務必尊重與注意隱私問題 ！！

很抱歉我得下重話！真的是非死不可~~

Google大神的開釋。資安之眼連結。

這是官方說法：Facebook新版隱私設定功能上線

歷久不衰的詐騙郵件-騙取帳密

出現在信箱裡的一封郵件。還記得「電子郵件警覺性之觀念」嗎？應該很容易分辯吧！但是...我還是點選了連結，才發覺不對勁的。這就是人性的弱點，同樣一個動作做一百次，總是會有一次失誤～～