Facebook臉書令人生厭的綁架程式(遊戲)與解除應用程式授權

Security-Safety-Vedfolnir
Security-Safety-Vedfolnir

今天這篇《Facebook臉書令人生厭的綁架程式(遊戲)與解除應用程式授權》文章一開始,筆者要先描述一下自己當時在一次小小資安危機中遇到的狀況。

某日的午後,天氣正舒服,輕輕的光線從窗外散射進來。

筆者一個人待在工作室裡,一邊將音樂開著大聲,一邊修著婚攝照片時,電話響了起來。原來是有人希望我能立刻過去替他修理一樣電器。於是我等這張照片的修圖告一段落後,把螢幕一關,便走出門前去幫忙。

臉書綁架程式

過了許久,當我完美的解決任務,風塵僕僕地趕回工作室後,啜飲了一口已經發冷的咖啡,就打開螢幕想繼續工作,這時我發現原本的瀏覽器視窗上,顯示如下圖一的畫面:

圖一,更多想存取你的公開的個人檔案、朋友名單和電子郵件。

圖一中,在臉書畫面上出現在一個對話視窗(偽),大頭照(圖示)是用臉書的官方 Logo,如果不仔細看,有些人應該會以為這就是臉書的提示對話框。

這個對話框只有確定與取消兩個選項,很容易讓無知的小綿羊選擇其一。

但是,這時候其實應該做的是,關掉瀏覽器視窗或是點選臉書上排的連結,以便離開這個畫面。與其在陷阱中做出選擇,不如直接離開陷阱。

事實上我完全沒有印象我在離開位子前到底做了什麼(因為我主要都在修照片,偶爾上臉書看訊息),但是照筆者一般的使用習慣來說,我是絕無可能觸發任何這類事件的。

不過又不像被駭客入侵電腦,所以我也只能猜測是離開前不小心動到了滑鼠吧。

「更多!?」,請參考圖一,仔細看對話框內容,我們發現有個「更多」的粗黑體字放置在說明文的開頭,而該處指的多半是「FB 程式名稱」的位置。

很明顯,這個對話框的意圖自始就有問題。

如果按下確定後,程式會帶領我們進入另一次的對話框,大頭照與 FB 程式名稱仍沿用上面提到的幾項陷阱。

圖二,更多想以你的名義針對你的朋友發布貼文。

前面圖一的對話框是要求「讀取我們資料」的權利,而這次圖二的對話框則是想要取得「以我們名義針對朋友發佈文章」的權利。

繼續按下確定,假的對話框就會揭開神秘的面紗,原來是想將我們的瀏覽器導向外部網站,請參見圖三所示。

圖三,使用 isharer (dot) org 惡意網址的網站。

這些網站通常只會放置一些相當簡略的內容。

惡意網站的Whois用戶資訊

我們先檢查一下網址的登記人資訊:

  1. Domain Name: isharer.org
  2. Registrant ID:CR140704425
  3. Registrant Name:Fan Fong Lam
  4. Registrant Street1:2/F, Hing Tin Street, Tseung Kwan O
  5. Registrant Country:HK
  6. Registrant Phone:+852.29483928
  7. Registrant Email:fanfanfanfong1114@gmail.com
  8. Admin ID:CR140704427
  9. Admin Name:Fan Fong Lam

例如圖三中的網站,我們可以看到上面僅放有未標示來源的一張照片,一段說情話愛的語錄(所以先前才有《寂寞亂象: 新世代的無病呻吟者 名言還是廢話》這篇文章的誕生),以及廣告文字比頁面內容還豐富的廣告佈置。

不過你以為這個應用程式只是為了把你連向一個充滿廣告的垃圾頁面嗎?

事情當然沒有這麼簡單,讓我們繼續往下看。

惡意網路遊戲的綁架過程

請參考圖四,筆者在電子信箱中發現新收到一封廣告郵件。甚至連信都還不用打開,我們就能看見臉書的開發程式網址「http://apps.facebook.com/……」,一般看到這類郵件,請直接刪除,連打開都省了。

圖四,廣告郵件。

請參考下圖五,為了幫大家測試,筆者還是打開了這封廣告郵件。

圖五,角色扮演網遊遊戲的廣告郵件。

寄件者名稱一樣是「更多」。信件內容包含一張電玩劇照,一串電玩說明,一串臉書的應用程式網址,以及可取消電郵功能的說明。

我們先來看取消電郵功能的指令。

在這封廣告郵件中,我們能看見內容下方有一個「按此取消電郵功能」的指令。姑且不論這種文字用法一看就是對岸的,先來試試看這個功能是不是真的有用。

來驗證一下是否可以順利取消電子郵件的寄送。

圖六,FB 的通知設定。

蒽,其實我看不出來到底有沒有取消。原因在這個功能的連結網址,會將我們導回一般帳號的設定頁面中。不過它沒有更進一步的通知,告訴我們到底做了什麼。雖然網址中有類似封鎖的關鍵字,但從結果論來看是看不出什麼結果。

請參考圖七,在按下前面電子郵件中的連結網址後,會將我們再次導向回臉書。這次則是顯示 “有名有姓” 的遊戲程式邀請。

圖七,透過臉書邀請機制自動寄來的網路遊戲。

當我們這次確定要玩遊戲後,就會如下圖八所示,遊戲程式會將我們再次導向外部網站「http://yh.funima…….」,網頁裡頭一樣沒什麼內容,很簡略的一個網頁。

圖八,沒有內容的網頁遊戲。

這時候從圖八左側的個人資料可以發現,該遊戲程式已經將我們的臉書帳號建立出對應的遊戲帳號:fb_xxxxxx。同時,由這個網站的網域名稱前的子網域來看,這應該是遊戲廠商委外的代理商專用網域,這些代理商只要能將用戶導入遊戲中,便能獲取一定的報酬。

請參閱圖九,我收到一封要求認證的電子郵件。

圖九,網頁遊戲的驗證信,內容卻充滿離奇。

在依認證電子郵件的指示進行操作後,會再收到一封確認註冊成功的信件,如圖十所示。

圖十,註冊成功的通知信。

在圖九的電子郵件內容中,有一段敘述:「由於您正使用其他合作商的帳號來登入」,恰好印證我先前所說代理商的陷阱制度。所以從本篇文章一開始到現在為止,我們除了被一個廣告程式捕獲外,其實連遊戲帳號都還沒有呢。而且該廣告程式除了賺代理費用外,還想賺前面提到的廣告費用。

補充:這篇原文撰寫日在五月,後來一直忘記寫完。這幾天重新補完整時,我發現該網站仍然沿用相同的賺錢模式,只是現在放的不是中文語錄,而是變成英文惹。世界排名還贏我,啊啊啊。

在完成前面的遊戲帳號申請後,其實也就沒有什麼問題了,反正遊戲廠商也是要賺你買寶的錢,喜不喜歡,要不要,就看你自己了。但是前面的廣告程式的後續威力仍在繼續發酵中,讓我們繼續往下看。

惡意程式的詐騙手法

回頭看這篇文章的初撰寫日是 5 月 8 日,今天是 5 月 15 日,剛好隔了一個星期。

請參考圖十一所示,筆者在自己真實的臉書 Timeline 上看到一篇由上面測試帳號分享的廣告貼文與圖片。

圖十一,被自動分享廣告的綁架行為。

但是自從七天前的測試後,再也沒用過臨時申請的測試帳號進行任何動作,甚至也沒有登入過,然而卻在七天後,該應用程式卻自動綁架了測試帳號,並且發表一篇連筆者真實帳號都能看見的廣告文章。

這意味著我的測試帳號的發佈權限,已經被該廣告程式的開發者(也就是網路遊戲的筆者在代理商)綁架了。甚至在我登入測試帳號後更發現,原來還在一小時之內連發兩篇。

這個新貼的文章,無論是點選「更多」或是圖片,就會將我們再次導向新的臉書頁面,如下圖十二所示。

圖十二,垃圾連結產生的綁架動作。

大家看到圖十二是不是感覺很熟悉?

其實圖十二跟圖一是相同的偽裝頁面。

換言之,現在正進入另一次的循環了。

請大家記得,如果你看到這類型的偽裝頁面,立即離開。

被詐騙程式綁架 FB 發文權限的解決辦法

請參閱圖十三所示,在臉書的帳號設定的選項中,有一項功能是「應用程式」。

圖十三,FB 應用程式設定。

在應用程式的內容頁面,可以查閱 FB 帳號已經連結了多少種應用程式,不管是臉書官方開發的,或是第三方開發的,甚至是詐騙集團開發的。

在圖十三中,我們可以發現測試帳號裡一共有三個應用程式,分別是剛剛申請的「遊戲程式」以及兩個「更多」,這些都是從圖一操作下來不斷產生的,對於這些程式,我只有一個忠告給大家,通通刪掉吧!還給臉書一個清爽的空間。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。