調查局呼籲民眾防範網路犯罪集團之「網頁掛馬」攻擊 |
發佈日期:2008-02-18 |
調查局表示,香港影星陳冠希與其他女星私密照片,遭不明犯罪集團刻意於網路散布,引發民眾瀏覽之熱潮。網路犯罪集團也利用這個熱潮,藉由設置相關網站或部落格,內藏惡意連結,或攻擊一般正常網站,插入隱藏性惡意連結,致使不知情之民眾電腦遭受入侵,政府機關、民間機構及個人之重要機敏資料,有遭受竊取之風險。
調查局調查發現,近來網路上出現許多以提供陳冠希與其他女星私密照片之網站及部落格,該等網站及部落格是以提供相關相片之名義,吸引民眾前往瀏覽,當民眾連上該網站及部落格時,會在民眾不知情的情況下,下載惡意木馬程式至電腦系統中,達到控制民眾電腦系統,並進而竊取機密資料或達到進行其他犯罪行為之目的。
經調查局與坊間科技公司合作,並經實機驗證後發現,多達161個網頁隱藏惡意程式,迄今仍有逾60個網頁持續危害。由於惡意程式除能避開部分防毒軟體之偵查,致使受害者難以察覺。經驗證某特定惡意程式,目前仍有高達37.5%的防毒軟體無法偵測。(此種攻擊模式又稱之為「網頁掛馬」,請參閱後列名詞解釋:網頁掛馬)
相關網址例示如下(以下網址請勿任意點選): http://72.167.132.171/chen_photo.html http://se.97ai.com/html/42/62969.shtml http://ww2.spooots.com/index.html
知名搜尋引擎亦有針對部分惡意網站提出警告,在搜尋結果的網址名稱下,加註「這個網站可能會損害您的電腦」之警語。
惡意網站之攻擊目的: 該等惡意程式以蒐集受害者資料及機密檔案為主要目標,常見之機密檔案資料,包括網路銀行、線上購物、個人信箱之帳號密碼、電腦系統中之文件與照片、鍵盤側錄、隨身碟內之檔案資料。
其餘尚有下列惡意攻擊行為: 1.關閉常見的掃毒程式與偵測軟體,或利用Packer軟體變形技術,躲避掃毒軟體偵測。 2.利用IE漏洞,植入惡意連結,大量散布,或影響對外連線。 3.竊取個人資料,如線上聊天軟體MSN、QQ之聊天對談紀錄及密碼等資料。 4.植入廣告軟體。 5.植入Rootkit或掛載API Hooker程式,達到控制系統目的。
「網頁掛馬」又稱之為網頁隱藏式惡意連結。簡單來說,其攻擊模式分成四個步驟: 1.駭客攻擊企業組織或政府機關的網站,網頁遭到竄改,植入一段惡意連結,或者是設立惡意網站,透過各種宣傳手法,吸引民眾到站瀏覽 2.網站的使用者連上該網站。 3.使用者看不到這個連結,也不必點選這個連結,只要連上網站,就會轉引自駭客預先設計好的陷阱。 4.在不知情的情況下,使用者被植入木馬程式。
網頁掛馬與釣魚網站(Phishing)不同之處,釣魚網站通常是設置一個以假亂真的網站,來欺騙網路瀏覽者上當;網頁掛馬則是攻擊一個正常的網站,利用網路瀏覽者對於正常網站的信任感,讓使用者在不知不覺中被植入木馬程式,或者是駭客自行設立一個網站或虛設部落格,以各種方式吸引民眾瀏覽,再送出惡意程式。
相關法令
一、散布猥褻物品罪 散布陳冠希與其他女星私密照片,無論是以架設網站,或傳送電子郵件等方式,可能觸犯刑法第 235條散布猥褻物品罪。
刑法第235條散布猥褻物品罪 散布、播送或販賣猥褻之文字、圖畫、聲音、影像或其他物品,或公然陳列,或以他法供人觀覽、聽聞者,處二年以下有期徒刑、拘役或科或併科三萬元以下罰金。 意圖散布、播送、販賣而製造、持有前項文字、圖畫、聲音、影像及其附著物或其他物品者,亦同。
二、妨害電腦使用罪 藉由網頁掛馬或其他攻擊方式,入侵他人之電腦系統或設備者,成立下列罪刑:
(一)刑法第358條無故入侵電腦系統設備罪 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦 系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。
(二)刑法第359條無故取得刪除變更他人電磁紀錄罪 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
(三)刑法第362條製作專供犯妨害電腦使用之電腦程式罪 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
(四)其它法令 視具體個案,成立刑法偽造文書罪,或違反著作權、商標權等規範。
|
引用http://www.mjib.gov.tw/cgi-bin/Message/MM_msg_control?mode=viewnews&ts=47b94410:712b&theme=/.theme/Message&layout=/.theme/MsgCenter