更改Facebook颜色?骇客盗取脸书权限新手法曝光
近日内有部分帐号在 Facebook 上散布标题为「Facebook颜色更改器(Facebook color changer)」的连结,小心别上当了,这是最新盗取 Facebook 使用者权限的手法。
猎豹移动CM(Clean Master)安全实验室指出,使用者点击连结后可能被盗取 Facebook 使用权限,让不法人士能轻易操作用户的脸书帐号,进而散布更多广告讯息,或者强迫下载流氓软体,此诈骗手法从七月底开始出现,估计目前至少有10万到20万人看过这个钓鱼连结,呼吁使用者勿轻易相信此类讯息,以保护社群网路的帐号安全。
猎豹移动技术总监赵闽观察,由于这些恶意连结网址呈现的是Facebook本身网域(apps.facebook.com),因此使用者很容易就相信并点击,但点击后,则会跳转至骇客布署的钓鱼网站。而这其实是骇客透过Facebook应用程式页面存在的漏洞,所设计出的诈骗手法,借由此漏洞,骇客可将恶意网页布署到Facebook应用程式上,让使用者误以为自己点击的是脸书页面,但事实上已经进入一个恶意网站。
此时,使用者还是以为正在透过应用网页更改Facebook颜色,并跟随网页中的影片教学,一步步点击操作。然而,这些操作步骤正一步步将使用者的帐号权限授权给不法分子拥有的网站,也就是说当使用者完成这些步骤后,Facebook颜色并不会更改,但却已经将脸书的帐号权限贡献给不明人士。
若使用者点击连结后并未按照影片上的教学操作,该网页则会跳转到一个色情影音播放器,从中赚取广告费。若是在Android系统中,还会进行病毒恐吓,跳出视窗指出使用者手机已中毒,需要下载防毒软体才能解决,引诱用户到Google Play下载特定防毒软体。
CM安全实验室建议,已经点击过该诈骗连结的用户,可在设定中暂时关闭「应用程式」功能,并修改Facebook密码。另外最重要的是使用行动防护软体扫描系统应用,进行手机安全检查。