警惕！釣魚攻擊“戀上”社交網絡

　根據Websense安全實驗室發布的“2012年威脅報告”，我們看到基於社交網絡的釣魚攻擊日益猖狂，甚至已經成為黑客成功進行數據竊取攻擊的主要渠道。近日，WebsenseThreatSeeker網絡就檢測到新浪微博上正在發生一起最新的以獲利為目的釣魚攻擊活動，截止發稿時間，黑客設計釣魚信息已被發送和轉發超過320萬次。新浪微薄擁有超過3億注冊用戶，此次攻擊的影響力將不容小觑。

　　在該釣魚攻擊事件中，攻擊者首先攻擊並控制了部分正常的微薄賬戶，然後再利用這些賬戶散播釣魚信息。這些賬戶經過設置後會使用釣魚信息轉發和評論該賬戶所有關注對象的每一條微博，而轉發的信息也會顯示為該賬戶所發布微薄，如此這般，攻擊者便將釣魚信息同時傳送給了這些受控賬戶的粉絲與關注對象。被這次釣魚攻擊做“餌”的是一則獲獎通知，告知用戶他們“幸運”被選為獲獎人，用戶一旦點擊該通知中的縮短URL地址，就會進入一個貨真價實的釣魚網站。

 

　　攻擊者使用多個版本的釣“餌），不過大同小異，無非是在用詞上做了些微調整，或者在縮短的URL地址後面添加了一些隨機的標簽。上圖所示的這一條信息截止發稿時間，已經被轉發超過320萬次，目前這一數據還將不斷攀升。

　　受害者點擊鏈接後會被指向一個被偽裝成了新浪公司官方平台的釣魚網站。在這裡訪問者被通知如想領取價值不菲的聯想“禮品”，甚至抽取豪華大獎“豐田凱美瑞”，就需要預選支付一定比例的獎品稅金。當然，這些所謂的稅金只會白進入釣魚者的口袋。還值得注意的是，這個釣魚網站還要求用戶填寫個人信息，如姓名、郵寄地址和賬戶信息等，這些都可能給用戶帶來又一重的危機。

 

　　當前，依然有很多網友習慣於使用相同的賬號和密碼注冊所有與其相關的網絡應用，在現下的威脅世界中這是一件很可怕的事情。回顧一下去年的CSDN洩露案件，以及其令人恐怖的多米諾骨牌效應，您便無法再對此等閒視之。如果您不希望自己微博淪為攻擊者的木偶並危及好友或是企業，Websense建議您定期更換賬戶密碼。