2010年6月3日 星期四

Facebook 出現點閱綁架(Clickjacking)之攻擊手法分析

參考新聞:
ZDNet Taiwan: Facebook出現惡意連結讓你說讚
ITHome: Sophos:點閱綁架侵襲Facebook
資安之眼:玩臉書喊「讚」 小心陷阱
Graham Cluley’s blog: Viral clickjacking 'Like' worm hits Facebook users

YouTube: hundreds of thousands of people over this hoilday weekend were infected by a clickjacking worm


來看看整個攻擊手法:
1.架設「釣魚網站」,內含點閱綁架(Clickjacking)手法,有很多個:
hxxp://disneyhiddenlike. blogspot.com/
hxxp://manpictureofhimselflike. blogspot.com/
hxxp://2006mindfreaklike. blogspot.com
hxxp://2006mindfreaklike2. blogspot.com
hxxp://girlownedbypolicelike. blogspot.com/
hxxp://girlownedbypolicelike2. blogspot.com/
hxxp://disneyhiddenlike. blogspot.com/
hxxp://disneyhiddenlike2. blogspot.com/
hxxp://thedatesafe. com/obama/
hxxp://www.thedatesafe. com/man
hxxp://www.thedatesafe. com/promdress/

還有很多的,不過畫面大致如下:


2.開始散播「Liked」(「讚」)的留言,並對應到相對之「釣魚網站」:
“The Hidden Body Part The Artists at Disney Didnt Want You To See.” -> http://disneyhiddenlike. blogspot.com/

“LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.” -> http://girlownedbypolicelike. blogspot.com/

“This man took a picture of his face every day for 8 years!!” -> http://manpictureofhimselflike. blogspot.com/

“You’ll NEVER believe what OBAMA did on TV” -> http://thedatesafe. com/obama/

“The Prom Dress That Got This Girl Suspended From School.” -> http://www.thedatesafe. com/promdress/

3.FB 用戶點擊了這些留言,被誘騙到「釣魚網站」,若再點擊了「Click here to continue」之連結,就會在自己 FB 的「塗鴉牆」上留下「新的詐騙留言」,使其他人上當。如此周而復始。

馬後炮:
1.點閱綁架(Clickjacking)手法並不是出現在 Facebooks 網站上。
這意味著 FB 上的超連結還是可以信賴的,是連結的內容不可信賴。在看各新聞時,我以為 FB 網站受到攻擊的,但事實上並不是如此。

2.關鍵在於 FB 上的超連結,會誘騙使用者到「釣魚網站」,該網站中夾帶點閱綁架(Clickjacking)的攻擊手法。所以,最大的問題在這裡,您的警覺性呢?
模擬實戰點閱綁架手法(Challenge to Clickjacking)」你注意到了嗎?
不同的劇本利用,您就無法脫身嗎?

3.目前觀察只有在您的 FB 上做留言,使你的「好友」也受騙上當。
透過「釣魚網站」不斷的點擊留言,使更多人受騙上當,達到散播的目的。可以加以利用其他手法的,如最常見的「偷 cookie」、「網頁掛馬(Drive by Download)」、「XSS Worm」、「Click by Download」...等,其實玩的花樣還很多。我不是教你使詐...XD。

==2010/06/07 Update==
手法有些變化了,「Facebook “likejacking” targets World Cup, BP, Shrek, UFC, …」,SophosLabs blog 裡面提到,該「釣魚網站」出現好幾種不同的網頁內容了,不再是「Click here to continue」連結的單調內容,「劇本」有變化,您的警覺性呢?
====

4.Sophos 稱這個手法叫做「Likejacking」。
XD...如果利用撲浪或推特來散播留言,是不是手法又要改名了。

沒有留言: