知名電腦硬體頻道 Linus Tech Tips 前幾天被駭客接管,貼了加密貨幣影片,後來被 Google 下架頻道,而頻道所有人 Linus Sebastian 最終取回頻道掌控權,並出面解釋為何被入侵。
Linus Tech Tips 頻道終於恢復正常
在 Linus Tech Tips 最新的影片中,他表示他的員工收到一封看似潛在贊助商寄來的電子郵件,裡面包含一份 PDF 檔,由於寄件來源與郵件內容並沒有可疑的地方,因此他的員工就打開了 PDF 檔,在短短的 30 秒左右,PDF 內的惡意程式把 Edge 和 Chrome 瀏覽器儲存的使用者資料與 Cookie 上傳到駭客的伺服器內,駭客通過這些檔案偽裝成頻道管理人員,因此能避開兩階段驗證機制直接存取,這種手法就是所謂的會話劫持 (Session Hijacking)。
筆者簡單看過影片後,認為其中有幾個點值得與大家分享,首先是透過電子郵件夾帶惡意程式來植入後門或其他惡意程式的手法,稱為社交工程攻擊 (Social Engineering),通常駭客會購買看似合法的域名或入侵主機來寄信用 (也可以偽造),因此第一個重點就是確認寄件者是可信任的,但並非可信任的來源就不會有問題,畢竟對方電腦可能被入侵。
要查詢網址是否可信賴,其實一些第三方防毒軟體像卡巴斯基、AVG、avast 都有網址防護功能 (透過瀏覽器擴充元件實現),可以把域名關鍵字或公司名稱丟到搜尋引擎確認,雖然這個方法不見得完全可靠,因為網址是一定時間後才會被防毒列入安全或不安全的清單,像這次政府的 6000 全民共享普發現金網站就還沒被卡巴斯基列入安全網站清單內,但可以做為一個判斷依據。
再來 Linus Sebastian 有提到一個點「副檔名」,當你開啟一個檔案卻發現好像沒反應時,要仔細檢查究竟是檔案毀損或是惡意程式。就這點來看,筆者猜測他員工的電腦可能沒有開啟顯示附檔名,而他們收到的郵件夾帶的是壓縮檔,且解壓縮前並沒有再次注意壓縮檔內的檔案完整檔名 (解壓縮工具的介面中其實可以看到完整檔名)。在沒有開啟顯示副檔名的狀況下,一般人可能會以為自己打開的只是個 PDF 檔,但其實是惡意程式的可執行檔,惡意程式完整檔名可能像是「合作意願書.pdf.exe」這樣,在沒有開啟顯示副檔名的狀態下,檔名會顯示「合作意願書.pdf」,真正的的副檔名 .exe 被隱藏起來。
然後是第三個點,該員工電腦可能僅使用 Windows 內建的 Defender 防毒。就筆者的認知,惡意程式開發者要放出惡意程式,自然不希望自己的程式一下子就被防毒軟體刪掉,所以會對程式碼進行混淆之類的處理,藉此避開防毒軟體偵測,而 Defender 作為系統內建的防毒,使用者數量自然不少,怎麼可能不被駭客針對。
那麼對於防毒軟體哪個才安全,筆者認為 AV-Comparatives 公布的排名前幾名都還不錯,但沒有一個是可以 100 % 防止惡意程式的,所以各家廠商才不斷對惡意程式做分析與入庫,並且持續對偵測引擎做改進,還加入行為偵測、沙箱及雲端信賴等機制提升未知惡意程式防禦率。
筆者並非專業的資安人員,以上為個人不專業看法,如果內容有錯誤之處還望不吝指正。喜歡我們的文章歡迎分享,別忘了到 UH 粉絲專頁按讚並到追蹤設定中設為最愛,或是每天到 UH 網站逛逛,才不會錯過各種軟硬體資訊喔。
延伸閱讀
