资安业者IronPort发现黑客利用Google、雅虎等入口网站的公开转址机制,把恶意网址夹带在上述网站的网址连结中,诱导用户点选,呼吁使用者留意。
邮件与网页内容安全业者IronPort上周(3/7)发出资安警讯,指发现一种透过合法网页诱导使用者点选的新社交工程手法,IronPort表示,被发现的恶意连结透过电子邮件与即时通讯软体流传,并利用Google、雅虎或AOL等入口网站的公开转址机制,在上述知名网站的网指后加上转址参数,让使用者点选后,便会被引导至恶意网站,达成后续病毒扩散或广告播放的目的。
举例来说,使用者收到的连结可能如下: http://google.com/search?hl=en&q=inurl:uifu.com&btnI=incessant ,乍看如同Google所提供的网页,但点击后却会被Google的公开转址机制转引至藏身在一长串URL中的UIFU.com,而黑客的作法,则是将当中的网址换成恶意网站网址,让使用者上勾。
除此之外,Google搜寻所特有的“好手气”功能也被黑客利用。Google的好手气功能,是预设将使用者直接连往搜寻结果的第一个网站,黑客则是在URL中加入好手气服务的参数,“使用者以为自己连上的是应该不会有问题的Google,但最后连上的却是恶意网站,”IronPort台湾暨华南区技术顾问林育民说。
林育民表示,此种利用入口网站的转址机制来进行社交工程的手法其实已出现近两个月,但当时只发现零星个桉,但在过去一周却有显着增加,“显然黑客已完成概念验证,并正式开始发动攻击,”他说。
事实上,透过合法网页或服务来进行病毒传佈的手法,此次并非头一遭。去年六、七月间,趋势科技与WebSense便曾发现欧洲地区有逾万个网站遭入侵并被植入恶意程式,赛门铁克亦在资安报告中提及,先攻陷合法网站再利用其来散播恶意程式的手法,已渐成网路攻击的主流。
林育民提醒,一般个人用户对于来路不明的连结,不论看起来是否“无害”,都不应点选,至于企业用户,他则建议使用邮件与网页过滤产品,直接在闸道端挡掉恶意邮件与网址。
至于被点名遭利用的Google与雅虎,则表示首次听闻类似手法,要再研究细节。
Google台湾工程研究所所长简立峰表示,类似手法理论上可行,但在未获得完整技术细节前,不便发表看法。
而雅虎则透过公关经理许卉妃表示,该公司会针对重导网址做数位签章检查验证,有问题的重导网址将会无法连结,以降低相关风险。
© 2008 UIFU.com