傳播垃圾資訊 脫衣舞孃出招

[PPPP]

http://tech.chinatimes.com/2007Cti/2...tml?source=rss

晚報 2007.12.24　
傳播垃圾資訊 脫衣舞孃出招
中廣新聞／張德厚

資安公司發現，為了破解網站及部落格的「驗證碼」機制，駭客開發出一種「脫衣舞孃遊戲」的木馬程式，會藉由穿著清涼的美女寬衣解帶，來引誘網友幫忙「辨識」網站所設的驗證碼，進而再大量傳播垃圾資訊。

很多網友會發現，許多的部落格或是網站，都會要求使用者在註冊或登入前輸入一組在圖片中的英數字元，這種機制稱為「全自動化杜林測試人機辨識機制」（CAPTCHA ），使用這種辨識機制的原因，是因為機器通常無法讀取英數字元的影像，因此能防止駭客利用機器人程式，自動到網站註冊、傳送垃圾資訊。

不過為了傳播垃圾資訊，駭客不斷研發相關破解的方法，資訊安全公司就發現，近來駭客製作了一個脫衣舞孃遊戲的木馬程式，一個穿著清涼的年輕美女，會在使用者前寬衣解帶，若要她展現曼妙的身材，使用者必須辨識出旁邊所附驗證碼中的字母，只要每次輸入正確的字母，美女就會逐次脫下一件衣物。

趨勢科技技術顧問簡勝財說，它會跳出驗證碼的資訊，當你輸入正確的驗證碼資訊後，才會再脫一件衣服讓你看，當它收集到大量的資訊後，就會做破解的動作。

這個脫衣舞孃遊戲，事實上是駭客為辨識合法網站上的「驗證碼」而想出的詭計，讓不知情的使用者變成駭客的解碼工具，使用者輸入的「答案」會被傳送至遠端伺服器，駭客大肆蒐集後會成立破解資料庫，藉以進入部落格、聊天室自動傳播垃圾留言，或是自動註冊 Email 帳號，散發垃圾郵件。

[山賊]

樓主傳播新聞垃圾資訊的功力, 不惶多讓....

[PPPP]

http://tech.chinatimes.com/2007Cti/2...tml?source=rss

晚報 2008.02.29　
刪不盡.堵不完 垃圾郵件真惱人
中廣新聞／張德厚

垃圾郵件不但浪費使用者的收信時間，更增加了電腦病毒、網路詐騙以及色情犯罪的傳播，已經成為一個世界性的問題。為了發送垃圾郵件，濫發者的手法更不斷翻新，例如，為了避免所散發的垃圾郵件被過濾器攔截，把廣告內容放在影像或圖片中已經成為慣用的手法，如此郵件防護技術就無法使用關鍵字來辨識垃圾郵件。

◎廣告圖像化 規避過濾機制偵測

趨勢科技技術總監王應達指出，郵件濫發者的手法主要有兩種，一種是運用「影像拼貼」技術，將大影像切割成體積較小的「碎片」，造成垃圾郵件防護技術常用的光學字元辨識(OCR)，產生混淆；另一種則是利用「全自動化杜林測試人機辨識機制」，將一層文字置於一層隨機產生的背景上，每次執行都會產生一個新影像，以躲避大批郵件偵測與特徵辨識。這兩種手法都是用影像取代文字，以規避關鍵字過濾技術。王應達：『把我所要敘述的廣告文字，就是把它作成一張圖片，如果想要設定關鍵字去過濾的話，因為你沒有辦法去過濾圖片裏的文字，這個過濾的功能就會因此而失效。』

◎藏在電子報裡 垃圾郵件無孔不入

而為了因應垃圾郵件氾濫，資安公司也先後推出「特徵比對偵測」、「光學字元辨識」等多項防堵機制，不過一些垃圾郵件散發者，開始將圖像式的垃圾郵件內容，放到一些既有的商業新聞訊息(Newsletter)或是合法廣告中，並以這兩種格式發布，混淆視聽。例如修改一些現成的新聞電子報中，加入賣藥的廣告，藉此規避對垃圾郵件的特徵比對偵測，使垃圾郵件過濾器將這種垃圾郵件誤判為合法郵件。

賽門鐵克技術顧問王碩麒指出，有的垃圾廣告訊息還會將病毒或惡意程式藏在圖像式廣告中，當網友不慎開啟某個網頁，或是存取這個廣告圖片，病毒就會發作。王碩麒說：『那個病毒會自動啟動，可能就會把病毒儲存在使用者的電腦裡面﹔病毒就會由此爆發，然後去感染其他的電腦。』

◎防堵垃圾郵件 業者開發層次防護架構

根據資安公司的統計，目前每天的寄出的垃圾郵件量，已經高達所有電子郵件的65％。為防堵越來越多的垃圾郵件，資安廠商也不斷研發各種新的過濾機制，例如對於越來越多的「圖像式」垃圾郵件，廠商就開發出光學字元辨識相關的技術，可以對圖像檔案的內容進行辨識。資安廠商也指出，因為垃圾郵件濫發者會不斷變換身份，甚至會把木馬程式植入一般人的電腦中，當作濫發郵件的跳板，所以傳統黑名單式的過濾方式已經不符需求，針對有獨立伺服器主機的企業，業者還開發出一套「多層次訊息安全防護架構」，首先在郵件寄達伺服器內前，就可以先進行信件來源的信譽比對，攔阻部分垃圾郵寄，其次企業端並可以自行設定擋信規則。最後一關則是利用掃瞄引擎，檢查郵件內容否是垃圾廣告。業者表示，利用這種防堵垃圾郵寄的三層架構，將可以為企業過濾掉九成六的垃圾郵件。

趨勢科技行銷部資深經理戴燊：『企業端可以在自己的閘道上去設一些郵件接送的規則，包含寄件者同一時間發信的有效量，或是寄件者發信的同時，是否有多組不同的來源，來做過濾的判斷。』

◎減少垃圾郵件 分類使用e-mail

要減少垃圾郵件的困擾，除了仰賴垃圾郵件過濾機制外，建議民眾可以依照不同用途，分類使用不同的電子信箱，例如把線上購物與聯絡公事的e-mail分開，還有遇到網路上要登記e-mail地址時，也專門採用一個信箱帳號，這樣就可以降低收到垃圾郵件的機率。賽門鐵克：『個人來講，盡量分類你的E-MAIL帳號，不要在所有地方很大方地把你的E-MAIL帳號給所有的人，其實這樣會很容易讓你的E-MAIL流入垃圾郵件業者的手上。』

◎杜絕垃圾郵件　NCC完成新版管理條例

為了更有效對垃圾郵件進行管制，NCC已經草擬完成新版的「濫發商業電子郵件管理條例」建議法案，除了保留目前法案中民眾可向違法濫發垃圾郵件者，請求每封五百至兩千元間的損害賠償、團體訴訟制度外，並新增了「默示拒絕」的規定，也就是說，未來發信人寄出第1封廣告信後，如未取得收信人願意繼續收信的確認訊息，就不得再寄下一封信，否則就可直接認定為濫發。

而為配合電腦處理個人資料保護法規定，法案中還訂定了團體訴訟機構有權向ISP業者，請求提供濫發者資料的規定，另外為促使ISP業者採取積極作法，防堵垃圾郵件的擴散，新法案更明確賦予ISP業者中斷濫發者訊務的權利。這項法案未來送立法院審議、完成立法後，就將有明確法律規範垃圾郵件亂象。