駭客利用社群媒體貼文漏洞，散佈惡意活動

　　還記得當年的 Twitter 嗎？就是那個可以發短訊息、追蹤名人八卦、看時事新聞的藍色鳥平台。現在改名叫做 X，不但 Logo 換了，連風格也變得有點難以捉摸。

　　X目前仍然是全球最大的即時社群平台之一，每天有數億條貼文（現在稱作「posts」）流竄。你可以看到名人、總統、企業 CEO，甚至 AI 機器人同時在發言。很多人用它來看新聞、看球賽、看迷因、炒幣、發表意見，也有人靠它賣課、拉投資、搞行銷。

　　但也因為這樣，X成為了資訊超載與真假難辨的溫床。尤其當 Elon Musk 接手 X 之後，藍勾勾驗證制度變成X Premium訂閱服務的一部分，變成付費就能取得，這就導致了現在的亂象，連騙子都可以看起來「很像是官方」。接下來就來介紹一起藉由X平台貼文漏洞，散佈惡意活動的案例。

利用有藍勾勾的帳號發布廣告訊息

　　以前在Twitter平台上藍勾勾的官方認證是需要經過認證及審核才可獲得，現在改為X平台後只要訂閱及付費後就可以取得藍勾勾。造成很難分辨藍勾勾的帳號是否為官方認證的帳號，讓駭客有可趁之機。像是以下有藍勾勾的帳號，在X平台發出一則加密貨幣的廣告，內容標記是來自forbes.com，吸引了100多萬的瀏覽人數。這些由藍勾勾帳號加上標記出自於知名網站的發布的內容，會讓人更放下戒心的點進去查看內容。

連結內容來自知名網站

修改連結內容將使用者導向其他的網站

　　
　　駭客可以修改連結的內容，讓看上去的連結與實際上導向的連結是不一樣，來散佈惡意活動。

　　如果是在Chrome上開啟X平台查看內容時，細心一點還是可以發現差異，當鼠標停懸在連結上，在Chrome左下角視窗就會出現URL的連結預覽，當察覺預覽URL與連結不相同時，就要特別留意不要點進去瀏覽，裡面很有可能有惡意內容，可能把你導去釣魚網頁或是投資詐騙網頁..等等。由以下鼠標停懸的內容(https://joinchannelnow.net/ZR52t6)來看與連結(forbes.com)的內容不符，大有問題。

實際導向 https://joinchannelnow.net/ZR52t6

　　
　　如果是在X的應用程式(APP)上查看內容，因為沒有鼠標停懸的功能，所以就很難發現此漏洞，很容易就直接點進去查看內容。

應用程式APP無法停懸預覽URL

惡意網站利用判斷User-Agent 來導向不同網站

　　由上述所說連結為forbes.com，但實際上卻是導向https://joinchannelnow.net/ZR52t6，過程中還會判斷User-Agent的內容，如果是使用自動化工具造訪網頁，就會導向正常的forbes.com頁面，如果是正常行為使用瀏覽器操作進入頁面，就會導向預設好的惡意活動內容。這次導向的內容為一個名為“Crypto with Harry“ Telegram 帳戶，疑似是要進行有關於加密貨幣的惡意活動。

可疑的加密貨幣惡意活動帳號



流程圖：



防範社群媒體預覽偽裝攻擊建議：

　　● 在社群媒體點擊連結內容時，先確定連結內容與實際上導向URL是否相同，可以透過瀏覽器鼠標停懸檢查導向URL是否相同或是將導向URL複製導記事本比對內容是否相同再做點擊。

　　● 若無法確定連結內容與實際上導向URL是否相同(例如在APP裡開起內容)，一律建議不要點擊連結，因為不知道點擊後會將我們導向哪裡。

　　● 定期安排員工資安教育課程並請外部資安專家定期更新資安情資。

　　想了解更多產品資訊，請連至官網https://www.neithnet.com/zh/，或直接與NEITHNET資安專家聯繫：info@neithnet.com