網站遭騙子刊登駭客服務廣告,政府和學校成受害者
最近,美國多個州、縣、地方政府,聯邦機構以及多所大學的官方網站都被騙子利用漏洞刊登駭客服務廣告。包括加州、北卡羅來納州、新罕布什爾州、俄亥俄州、華盛頓州和懷俄明州等州政府、密蘇裏州的聖路易斯縣、俄亥俄州的富蘭克林縣、特拉華州的薩塞克斯縣、喬治亞州約翰斯克裏克市等地方政府,還有聯邦社群生活署等聯邦機構的.gov 官方網站以及多所大學,如加州大學伯克利分校、史丹福大學、雅爾大學、加州大學聖地亞哥分校、維吉尼亞大學、科羅拉多大學丹佛分校、華盛頓大學、賓夕法尼亞大學、德州西南醫學中心大學等.edu 官方網站。
駭客廣告長期存在,滋生多家
這些廣告都是採用 PDF 檔案上傳的方式刊登的,涉及到各種不同的駭客服務,包括入侵 Instagram、Facebook、Snapchat 帳戶、遊戲作弊、製造假粉絲等內容。其中一份廣告寫道:「2021 年入侵 Instagram 的最佳途徑,如果您想入侵 Instagram 帳戶(不管是您自己的帳戶還是您的朋友的),InstaHacker 提供了完美的解決之道。我們向使用者提供安全的 Instagram 駭客解決方案,並完全沒有惡意。」其中一些廣告日期顯示已經存在多年。Citizen Lab 的一位高級研究員 John Scott-Railton 發現了這些廣告,但當前尚不清楚這些網站全都受到了這次大規模垃圾廣告行動的影響,也不知道背後是否有同一組或同一個人操作。
只是安全問題的副作用,卻暴露出可怕的安全漏洞
雖然這次行動似乎是複雜而龐大的 SEO 行為,以推廣騙局服務為手段,但按照 Scott-Railton 的說法,惡意駭客也可能利用同樣的故障進行更大的損害。他說:“在這種情況下,他們只是上傳了指向詐騙服務的文字 PDF 檔案,但我們不知道這些服務是否具有惡意行為,也可能上傳具有惡意內容或惡意連結的 PDF 檔案。”TechCrunch 列出的網站中,一些網站會顯示受害者的頭像和名字,但檢查這些網站的程式碼後,顯示的駭客服務很可能是假的,實際上駭客只是在製造點選欺詐收益,並沒有進行實質的入侵,這種方式叫做點選欺詐。此外多個受害者表示本次事件並非系統遭受駭客攻擊所致,而是利用線上表格或內容管理系統的漏洞,並利用這些漏洞上傳 PDF 檔案到網站上。對此美國國家訊息保安局的發言人 Zee Zaman 表示他們已經得知這些政府和大學網站受到侵害的情況,並正在跟潛在的受害機構協調,提供必要的協助。 即使這次事件的最終損失很少,但政府網站可以被上傳不當內容仍然令人擔憂。在 2020 年,伊朗駭客入侵美國一個城市的網站,可能旨在更改投票結果,而選舉官員對駭客入侵選舉相關網站也感到憂慮。
總結
本文報導了騙子在多個美國州、縣、地方政府,聯邦機構以及多所大學官方網站上刊登駭客服務廣告的訊息,導致這些網站需要定時更新並增強安全措施,避免漏洞被利用。雖然當前這些駭客廣告只是點選欺詐,但這種漏洞仍然令人擔憂,因為駭客可以利用此漏洞攻擊許多政府網站,甚至影響選舉結果。因此政府和大學應加固網站安全,及時升級系統和漏洞補丁,提高網站的防範能力,避免受到駭客攻擊,保護網路安全。
延伸閱讀
- 特斯拉在馬斯克的 X 車款上已花費 20 萬美元廣告
- Discord 開始執行廣告,AT&T 密碼重設,Android 使用者的播客更新
- Meta 因隱私審查推出更低價歐盟無廣告訂閱
- OpenAI 釋出 Sora、以信用評分為基礎的約會應用推出,反特斯拉廣告引起爭議
- 本週人工智慧大事記:微軟在鍵盤上搭載人工智慧廣告
- Netflix 考慮在遊戲中新增應用內購和廣告
- 馬斯克的 X 專案再度引起歐盟能敏感資料針對廣告的隱私投訴
- 蘋果因馬斯克背書反猶太宣傳貼文將暫停在 X 上的廣告
- WhatsApp 負責人 Will Cathcart 表示聊天應用可能在狀態功能中引入廣告
- 迪士尼表示訂閱者樂意觀看一些廣告
