在该钓鱼攻击事件中,攻击者首先攻击并控制了部分正常的微薄账户,然后再利用这些账户散播钓鱼信息。这些账户经过设置后会使用钓鱼信息转发和评论该账户所有关注对象的每一条微博,而转发的信息也会显示为该账户所发布微薄,如此这般,攻击者便将钓鱼信息同时传送给了这些受控账户的粉丝与关注对象。被这次钓鱼攻击做“饵”的是一则获奖通知,告知用户他们“幸运”被选为获奖人,用户一旦点击该通知中的缩短URL地址,就会进入一个货真价实的钓鱼网站。
截图1:钓鱼微博
攻击者使用多个版本的钓“饵),不过大同小异,无非是在用词上做了些微调整,或者在缩短的URL地址后面添加了一些随机的标签。上图所示的这一条信息截止发稿时间,已经被转发超过320万次,目前这一数据还将不断攀升。
受害者点击链接后会被指向一个被伪装成了新浪公司官方平台的钓鱼网站。在这里访问者被通知如想领取价值不菲的联想“礼品”,甚至抽取豪华大奖“丰田凯美瑞”,就需要预选支付一定比例的奖品税金。当然,这些所谓的税金只会白进入钓鱼者的口袋。还值得注意的是,这个钓鱼网站还要求用户填写个人信息,如姓名、邮寄地址和账户信息等,这些都可能给用户带来又一重的危机。
截图2:钓鱼网站
当前,依然有很多网友习惯于使用相同的账号和密码注册所有与其相关的网络应用,在现下的威胁世界中这是一件很可怕的事情。回顾一下去年的CSDN泄露案件,以及其令人恐怖的多米诺骨牌效应,您便无法再对此等闲视之。如果您不希望自己微博沦为攻击者的木偶并危及好友或是企业,Websense建议您定期更换账户密码。
此外,Websense安全实验室的安全专家还指出:“社交网络是一个基于信任和分享建立的关系网,这一特性使得网络犯罪能够在攻击中快速有效的传播恶意代码。在这里,犯罪者只需要一个适当诱饵,就可能吸引大多数用户上钩并点击一个被感染的链接。而受到影响的还有这些用户的好友和粉丝,他们可能毫不犹豫去点击这些用户发布的链接,最终使得被感染的用户逐步扩散。发生在新浪微博上的这次钓鱼攻击是目前我们看到的最成功的微博钓鱼案例之一。从商业角度来看,这些的钓鱼攻击给网络带来极其恶劣的影响,所以企业必须具备正确的实时防护措施。当然,受到感染的用户也必须立刻更换账户密码,如过你在其他网站上使用的是同一套用户名和密码,则也需进行密码修改。”