Google、微軟新服務關鍵字遭竊用 駭客喊Sorry Sorry！

[jaka]

Google最新推出Google Wave 大玩社群，找了10萬名幸運使用者參加測試，微軟發表免費防毒軟體Microsoft Security Essentials，都是當紅網路話題。不過，網路安全業者要跟兩者愛好人士說Sorry Sorry了，因為最新發現，這兩個熱門關鍵字已遭駭客利用。

Websense 安全研究室指出，包含「Google Wave」與「Microsoft Security Essentials」等熱門關鍵字已遭駭客利用，成為惡意人士最佳的利用管道，因此搜尋Google Wave、Microsoft Security Essentials時，要小心惡意網站連結。

在MSDN部落格討論Microsoft Security Essentials的討論群組中，便有一個連結是直接導向其他惡意網站。這些連結並不全然導向駭客所建立的惡意網站，有時是隱藏在合法網站中的惡意程式，例如已遭惡意入侵的某加拿大出版社網站，或是英國旅遊健康局（British Travel Health Association）等。

Websense還說，Google Wave服務也備受駭客覬覦，此一熱門關鍵字也已遭駭客利用，由於此為Google最新推出的Web 2.0協同作業服務，同時又邀請100,000名幸運使用者參與測試，因此吸引大量瀏覽者，而這也成為惡意人士最佳的利用管道。

Websense 安全實驗室指出，目前發現駭客大多是以關鍵字搜尋為第一個步驟，再透過SEO（Search Engine Optimization，搜尋引擎最佳化）手法欺騙使用者進入搜尋結果中的惡意網站。而在該網站中，使用者很可能會連結並下載一個名為 Soft_71.exe或其他名稱的惡意防毒軟體，使得駭客有機會進一步破壞或竊取使用者的電腦資料。

專家說，由於搜尋引擎的使用率高，曝光成效也相當良好，許多企業都會利用SEO提升企業網站在搜尋結果的排名，進而刺激點閱率和增加網路行銷機會。但也因為如此，關鍵字搜尋也成為駭客使用的誘騙管道之一，此種透過SEO誘導瀏覽者的方式是為SEO毒害。

Websense專家建議，網友在使用搜尋引擎時，必須確認搜尋引擎網站的安全性，並且要透過該網站下載各種資料前，必須先確認相關檔名與其他資訊皆為正確，或是透過擁有最新版本病毒碼之防毒軟體檢測，才能避免可能的危害。
來源:http://tw.news.yahoo.com/article/url/d/a/091005/17/1sdsr.html

[jaka]

看準網路搜尋引擎成為現代人不可或缺的資訊管道，電腦駭客發展出新的攻擊模式，鎖定特定熱門關鍵字，透過特殊技巧，讓惡意網站的搜尋結果排名在前面，當使用者不疑有他的點選後，就可能被導引到假網頁，並下載惡意軟體。(陳奕華報導)

每當具有新聞性的重大事件發生，連帶會在網路上掀起討論與搜尋熱潮，網路犯罪者看準這一點，在搜尋結果上動手腳，誘騙使用者誤入惡意網站。最近資安業者偵測到，9月29號太平洋的薩摩亞群島發生強震，因而引發海嘯，造成數以百計的民眾傷亡，就在實際的傷亡還沒有明朗的情況下，網路犯罪者伺機而動，趁機大發災難財，架設惡意網站，當民眾搜尋「地震(Earthquake)」、「海嘯(Tsunami)」「西薩摩亞(Western Samoa)」等關鍵字，把民眾導引導到惡意網站，並下載惡意軟體。

賽門鐵克資深技術顧問莊添發說：「這些假的網站在使用者搜尋結果裡面，會在排行的前面，當一般使用者點選到搜尋結果的時候，連結到一個網站，這個網站就會顯示出一個訊息，跟使用者說你的電腦有安全風險，要做掃描，在掃描結果之後，會要求使用者下載一個軟體，更進階作一個診斷。」

專家指出，這些網路罪犯時時注意新聞事件的變動，並利用熱門新聞事件主題誘使民眾掉入陷阱，並藉機牟利，專家提醒，民眾應該特別留意來路不明的網站，同時要小心這類誤導型應用程式，最好透過進階的安全防護軟體，提供自動化防護。
來源:http://tw.news.yahoo.com/article/url/d/a/091005/1/1sczk.html

[boss33]

引用:

作者: jaka

專家提醒，民眾應該特別留意來路不明的網站，同時要小心這類誤導型應用程式，最好透過進階的安全防護軟體，提供自動化防護。

要知道來路明不明還真是不簡單？尤其又做到熱門關鍵字SEO前幾名，老外的英文網站，許多看起來都很正常。
防毒軟體的釣魚網站防護，目前用的防毒軟體，基本上好像對釣魚網站無效，倒是下載奇怪的東西會不斷警告。

一直很好奇IE 7 IE 8為何對https或缺乏SSL三方金鑰的一直在提醒。
也許是防釣魚網站吧，假https詐騙帳號