警惕！釣魚攻擊“戀上”社交網絡

　　根據Websense安全實驗室發布的“2012年威脅報告”，我們看到基於社交網絡的釣魚攻擊日益猖狂，甚至已經成為黑客成功進行數據竊取攻擊的主要渠道。近日，WebsenseThreatSeeker網絡就檢測到新浪微博上正在發生一起最新的以獲利為目的釣魚攻擊活動，截止發稿時間，黑客設計釣魚信息已被發送和轉發超過320萬次。新浪微薄擁有超過3億注冊用戶，此次攻擊的影響力將不容小觑。

　　在該釣魚攻擊事件中，攻擊者首先攻擊並控制了部分正常的微薄賬戶，然後再利用這些賬戶散播釣魚信息。這些賬戶經過設置後會使用釣魚信息轉發和評論該賬戶所有關注對象的每一條微博，而轉發的信息也會顯示為該賬戶所發布微薄，如此這般，攻擊者便將釣魚信息同時傳送給了這些受控賬戶的粉絲與關注對象。被這次釣魚攻擊做“餌”的是一則獲獎通知，告知用戶他們“幸運”被選為獲獎人，用戶一旦點擊該通知中的縮短URL地址，就會進入一個貨真價實的釣魚網站。

　　截圖1：釣魚微博

　　攻擊者使用多個版本的釣“餌)，不過大同小異，無非是在用詞上做了些微調整，或者在縮短的URL地址後面添加了一些隨機的標簽。上圖所示的這一條信息截止發稿時間，已經被轉發超過320萬次，目前這一數據還將不斷攀升。

　　受害者點擊鏈接後會被指向一個被偽裝成了新浪公司官方平台的釣魚網站。在這裡訪問者被通知如想領取價值不菲的聯想“禮品”，甚至抽取豪華大獎 “豐田凱美瑞”，就需要預選支付一定比例的獎品稅金。當然，這些所謂的稅金只會白進入釣魚者的口袋。還值得注意的是，這個釣魚網站還要求用戶填寫個人信息，如姓名、郵寄地址和賬戶信息等，這些都可能給用戶帶來又一重的危機。

　　截圖2：釣魚網站

　　當前，依然有很多網友習慣於使用相同的賬號和密碼注冊所有與其相關的網絡應用，在現下的威脅世界中這是一件很可怕的事情。回顧一下去年的 CSDN洩露案件，以及其令人恐怖的多米諾骨牌效應，您便無法再對此等閒視之。如果您不希望自己微博淪為攻擊者的木偶並危及好友或是企 業，Websense建議您定期更換賬戶密碼。

　　此外，Websense安全實驗室的安全專家還指出：“社交網絡是一個基於信任和分享建立的關系網，這一特性使得網絡犯罪能夠在攻擊中快速有效 的傳播惡意代碼。在這裡，犯罪者只需要一個適當誘餌，就可能吸引大多數用戶上鉤並點擊一個被感染的鏈接。而受到影響的還有這些用戶的好友和粉絲，他們可能 毫不猶豫去點擊這些用戶發布的鏈接，最終使得被感染的用戶逐步擴散。發生在新浪微博上的這次釣魚攻擊是目前我們看到的最成功的微博釣魚案例之一。從商業角 度來看，這些的釣魚攻擊給網絡帶來極其惡劣的影響，所以企業必須具備正確的實時防護措施。當然，受到感染的用戶也必須立刻更換賬戶密碼，如過你在其他網站 上使用的是同一套用戶名和密碼，則也需進行密碼修改。”

　　Websense客戶不用擔心此類釣魚攻擊，Websense高級分類引擎(ACE)將保護您遠離各種安全風險。