Quantcast
Channel: WFU BLOG
Viewing all articles
Browse latest Browse all 784

Blogger 群體被駭事件始末﹍淺談「社交工程」如何入侵網站

$
0
0
blogger-hacked-posts-deleted-social-engineering.jpg-Blogger 被駭事件始末﹍淺談「社交工程」入侵網站使用 Blogger 超過十年,上禮拜發生有史以來最嚴重事件,整個平台所有網站都被牽連:
  • 當天早上所有 Blogger 網站都被判定為「詐騙網站」,前、後台都無法進入
  • 部分網站不斷收到郵件通知,表示文章內容違反 Blogger 政策,因而被自動刪除
情況看起來很是危急,不過直接說結論,Blogger 很快就恢復全部異常狀態:
  • 「前、後台都無法進入」的狀況大約 1 小時左右,全部網站恢復正常
  • 「所有被自動刪除的文章」大約 12 小時後全部救回,且文章網址沒有異動,不影響 SEO
完整的事發經過可參考這個 FB 社團討論串,最早是成員 Ellen 通報「Blogger 網站無法進入且文章被刪除」。這次事件雖然有驚無險,但我認為背後有十分重要的意涵及警訊,特此進行記錄做為給所有站長的提醒。 (圖片出處:pexels.com)

一、為何 Blogger 文章被大量刪除

1. 事件記錄對多數 Blogger 站長而言,此次可說只是虛驚一場,但對少數站長而言就是心驚動魄了。因為大量文章被刪除,多年心血也不知能否救回,若平日還沒有備份的習慣,上禮拜那天將會很不好過。 blogger-hacked-posts-deleted-social-engineering-1.jpg-Blogger 被駭事件始末﹍淺談「社交工程」入侵網站手上經營的 Blogger 網站起碼有十多個,其中一個遭到文章被刪,從我這個小樣本推估也許全球有 1/10 ~ 1/20 的網站遭波及(當然也許沒那麼糟)。我在 FB 社團做了「事件記錄」,以下簡單摘要:
  • 收到郵件通知,不斷告知我的XX文章因違反Blogger政策「惡意軟體和病毒」而遭到刪除。
  • 接著前後台開始無法進入,出現「你要瀏覽的是詐騙網站」字樣
  • 根據「Blogger 官方論壇」的回報,全世界發生的時間都差不多,有大量使用者受害
  • 這代表 Google 一度偵測到有大量 Blogger 網站,網頁內容含有「惡意軟體和病毒」,故而啟動自動防護機制,將所有 Blogger 平台網站顯示警告字樣,避免訪客進入受到詐騙、釣魚內容的傷害
從以上現象來看,Google 的作法是值得肯定的,就像全球疫情的作法,發現病毒後需立刻進行隔離、圍堵。雖然訪客與站長會受到不便與驚嚇,但可確保所有人不受詐騙內容的影響。 2. Blogger 被駭然而問題就出在,為何我網站的文章會出現「惡意軟體和病毒」呢?有兩種可能,要嘛我的帳號被駭了,要嘛 Blogger 被駭。但無論是哪一種,可以確定的是 Blogger 被入侵了。 理論上來說 Google 是網路巨擘,要我相信有人能駭入 Google 伺服器還是相當困難的,應該會是世界性的新聞。比較有可能的狀況大概是這樣:(以下為個人分析,不代表為實際狀況)
  • 假設全球有 1/20 Blogger 站長帳號同時被駭、且同時發動攻擊 → 這個數量及難度實在大高也太誇張,可能性趨近零
  • 假設某個 Blogger 官方擁有高權限的工程師帳號被駭,駭客取得他的權限後就可操作 Blogger API 修改所有使用者的文章,植入惡意程式碼 → 這發生的可能性相對較高
  • 假設後者為真,駭客也知道相關動作很快就會被察覺,所以必須短時間內能改多少文章就算多少,才會全球差不多時間一起被攻擊
假如實情接近我的猜想,那就不是 Google 伺服器被攻擊,而是內部帳號權限被「社交工程」這樣的手法攻破,那麼這個手法也是本篇要探討的主題。

二、「社交工程」入侵案例

進入主題之前,先來看幾個案例。 1. 3C達人 Tim這是「3C達人Tim哥」半年前 50 萬訂閱數的 YouTube 頻道,被盜的過程自述影片: 簡單摘要一下重點:
  • Tim帳號被盜,但不是Tim的電腦或手機被盜,而是他同事的電腦被盜,因為他同事也有他的帳號權限
  • Tim 同事在被盜過程,曾被誘導下載不明檔案,Tim 推測就是帳號被盜的關鍵
  • Tim 有設定兩階段驗證,但他同事的電腦沒有,可能成為被攻擊的破口
  • 也可能 Tim 某個同事搜尋資訊的過程點過釣魚連結,增加帳號被攻擊的機會
  • Tim 另外分享有個 YouTuber 被盜,是因為收到合作邀約信件,裡面附的連結其實是釣魚網站,可以用來釣帳號
無論真實情況是哪一種,這些攻擊都不屬於外部的駭客攻擊手法,而是屬於內部攻擊(直接奪取帳號)。 2. YouTuber 腦洞烏托邦這是超過 80 萬訂閱的「腦洞烏托邦」,上個月 YouTube 頻道被盜的過程自述影片: 簡單摘要一下重點:
  • 小烏曾開啟一封促銷郵件,點了裡面的促銷連結,結果網頁一直顯示 loading 不動,很是可疑,結果後來就發現她老公在為電腦殺病毒,而隔天正式發現 YouTube 頻道被盜
  • 小烏有設定兩階段驗證,但沒作用,因為帳號相關資訊都被置換,她判斷是 Google 帳號被奪走,導致 YouTube 頻道被盜
  • 後來小烏老公告知,事發的同一天曾收到商業合作郵件,下載了郵件附件,才開始後來的殺病毒舉動
3. 歸納整理從以上兩個案例比對,可看到這些帳號被駭的手法重疊性很高,主要都是點擊可疑連結,或是下載了可疑檔案。對駭客來說,攻擊伺服器是比較困難的,但攻擊人性是比較簡單的,只要能想辦法誘使目標點擊連結、下載檔案,就能駭走帳號,這樣的手法就是本篇的主題「社交工程」。

三、「社交工程」的原理及防禦

1. 原理根據維基「社交工程」的定義:
在電腦科學,社交工程指的是通過與他人的合法交流,來使其心理受到影響,做出某些動作或者是透露一些機密資訊的方式。這通常被認為是欺詐他人以收集資訊、行騙和入侵電腦系統的行為。
同時該頁面也說明了社交工程學的犯罪手法演進:
  • 釣魚式攻擊:利用電子通訊偽裝知名單位(可能是詐騙電話),騙取機密資訊
  • 電腦蠕蟲:利用郵件附檔散播蠕蟲惡意程式
  • 垃圾郵件:以電子郵件夾帶木馬程式
  • 惡意軟體:例如網路上偽裝成實用軟體、APP,引誘下載的程式
2. 「社交工程」如何攻破心防瞭解以上手法後,在配合本篇看到的所有案例,可知駭客、攻擊者,都是不斷研發各種手法、精進文案內容,想盡辦法利用人性心理弱點,來誘使點擊釣魚連結,下載惡意程式並執行。 以 YouTube 頻道主、部落格站長而言,最容易卸下心防的就是「業配合作邀約」,當看到賺錢機會時,有誰會去懷疑這封郵件內含釣魚連結嗎?廠商提供的合作說明附檔,有可能忍住不下載嗎? 當然釣魚郵件的手法還有很多,假冒系統通知信、製造恐慌內容、偽裝知名官網或企業都有。除了這些郵件舉例,我也遇過粉絲團有人傳訊希望合作,並附上他的公司網址連結,只不過看起來有點特別,網域是 .jp ,如果是你有可能忍住不去點擊嗎? 3. 防禦「社交工程」從本篇提供的所有案例過程來看,我大致歸納一下想法:
  • 「兩階段驗證」保護帳號是有一定成效的,前提是帳號權限不能失去,就像 Tim 利用「兩階段驗證」守住了他自己手機的帳號
  • 會失去帳號權限主要是曾下載不明檔案,例如 Tim 同事、小烏的先生
  • 若只是點擊了釣魚連結,有可能該帳號會被釣、存取權會被取得,但還不至於失去帳號權限。只要有設定「兩階段驗證」,當駭客想取得帳號權限時,我們手機就會收到通知,那麼帳號就不至於被盜。
至於為何下載惡意檔案後,會讓兩階段驗證失去效用、失去帳號權限,這方面我不是專業人士,無法細說原理,只能簡單說:「點擊釣魚連結後,駭客取得的權限限於瀏覽器環境;下載惡意檔案,駭客取得的權限是整部電腦,因此更為可怕」。 不過對於如何防禦「社交工程」的攻擊,以下是我的分析與理解:
  • 下載不明來源的檔案並執行,是風險最大、最嚴重等級的動作
  • 一定要下載的話,請使用不重要的電腦,該電腦沒登入過重要帳號
  • 如果要點擊不明連結,該台電腦使用的帳號,一定要設定兩階段驗證
  • 如果有某台電腦的帳號沒有兩階段驗證,又必須點擊不明連結,可傳送到使用兩階段驗證帳號的電腦再點擊。

四、Blogger 防護概念

回到本篇的 Blogger 被駭事件,因為 FB 社團多位成員表示從未備份過文章,我想有必要讓站長們瞭解基本的防護概念,保護自己的網站不單是為自己也是為粉絲。 1. Blogger 官方的職責前面有提過,想要從外部駭入 Google 伺服器我認為非常困難,所以這部分 Blogger 站長們是可以放心的。 只是這次的事件看起來是 Blogger 內部被攻破,導致某些站長們失去了不少文章,也讓我一度懷疑 Google 有沒有能力回復被修改的文章內容? 同時 FB 社團也有成員提出質疑,是否搬去 WP 會比較安全?我給他的回覆是,Blogger 被駭還有 Google 工程師能幫忙救,如果 WP 被駭有能力自己救的話就可以搬到 WP。 事實上我曾經幫客戶維護 WP 過,也遭遇過駭客入侵,解決方式就是靠備份,將網站還原到備份的時間點就正常了。這種防護方式不十分完美但已經足夠了。如果會有損失,主要就是還原的時間點到被駭的時間點之間,網站曾做過的變更需要重來。 而這次的事件 Blogger 並不是使用還原的某個時間點的處理方式,而是所有被修改過內容並植入惡意程式碼,然後被刪除的文章逐一還原,這樣的技術遠超 WP 自行維護的效果。 因此我必須說,Blogger 後端的防護交給 Google 工程師,比任何其他部落格平台都更為放心。 2. Blogger 站長的職責後端若出了問題 Google 會負責,但前端站長們若沒把自己的網站、帳號守好,出了問題就非常難救。因此請建立以下正確的防護概念:
  • 網站需要自行定期備份:這是我遇過的案例「Blogger 文章不小心誤刪了怎麼辦?救回及善後技巧整理 」,只要是人為操作都有可能失誤,所以文章一定要備份,後面會提供有效率的作法。
  • 網站少裝不明第三方外掛:可參考「為何部落格最好避免第三方外掛」系列文章,如果外掛不是由信任的網站提供,那麼不小心裝了木馬就慘了
  • 瀏覽器外掛:例如 Chrome 只安裝官方套件,不安裝來路不明的 apk,很有可能是釣魚軟體
  • 兩階段驗證:Google 帳號一定要設定兩階段驗證,否則帳號被盜網站也跟著被拿走了
  • 下載檔案:要下載並執行不明檔案請使用沒登入重要帳號的電腦,否則帳號有可能被盜走
3. Blogger 自動備份定期備份文章是一件瑣碎的工作,沒幾個人有耐心與毅力執行,所以這件事最好交給程式自動執行。 過去我寫了不少備份的方法,請站長們擇一進行就可以了:

五、補充

粉絲團貼文」有讀者留言,覺得非常實用,引用分享如下:
分享如何判斷假業配:查信用、看國籍、問價碼和付款方式。可疑的郵件和連結如果真的要開,用虛擬機開,反正還原只要五分鐘。那種風平不佳的國家(包括台灣和日本),除非將近五星,都不要考慮。付款方式模稜兩可,支吾其詞的嫌疑都很高。台灣勞工福利低,目前還沒有外包客戶評價平台,是個需要改進方向。路過的大大有興趣可以考慮。
更多「資訊安全」相關文章:

Viewing all articles
Browse latest Browse all 784

Trending Articles