Facebook站內信難防網路釣魚 開設回報信箱讓大家一起抓

社群網站龍頭 Facebook (FB-US) 現已有逾 10 億會員，也使該網站成了網路駭客意圖偷取使用者帳號密碼的最大目標。用看似安全的假網頁欺騙使用者輸入帳密的「網路釣魚」法，現在也有偽裝成來自 Facebook 的郵件或訊息的情形，讓使用者不設訪地連入惡意網站。

Facebook 目前已經能有效防止外部的釣魚攻擊，但還對使用站內郵件的攻擊無計可施。因此 Facebook 開立了 phish@fb.com 的郵件網址，鼓勵使用者轉寄可疑的網路釣魚信件，讓Facebook對其進行分析。Facebook 的惡意軟體研究工程師 Mark Hammel 說，該公司已有相當堅強的團隊可應對網路詐欺行為，但在站內郵件方面，目前還沒有較理想的回報機制。

使用者將可疑的網路釣魚信件轉寄給工程團隊後，Facebook 的電子犯罪小組會紀錄假的登入網址，並防止該網址再寄信給使用者。他們還會把這些黑名單提供給瀏覽器商或搜尋引擎做為參考。Facebook 還將與電信商、網域提供者合作，以把惡意的網域除名。

但這就像打地鼠一樣。惡意的網路釣魚者使用一個網域的時間都只有幾天，並且會一直變換網域，以防被擋或被撤銷。因此 Facebook 也與反釣魚工作小組 (APWG；Anti-Phishing Working Group) 合作追蹤惡意釣魚網站。

Facebook 表示目前很難得知有多少使用者受到惡意站內郵件攻擊，也希望新設置的網路釣魚回報信箱能幫助他們了解狀況。

但據 APWG 的雙年報中資料，至今 (2012) 年 2 月止，該小組就追蹤到 56859 個不同的釣魚網站。而據微軟 (SMFT-US) 最新的資安報告，個人電腦上最大宗的攻擊方法就是來自惡意網路釣魚機制。而有半數騙取登入帳密的網路釣魚都是針對如 Facebook 的社群網站。

而除了 Facebook 之外，Google (GOOG-US) 、Ebay (EBAY-US)、Twitter 等不同領域的大型網站都有設計讓使用者回報惡意釣魚的機制。