本文是閱讀了XDite有關iframe的文章後,為文補充駭客利用iframe語法,在台灣大大小小遊戲網站盜取遊戲玩家帳號密碼的一些過往。和推推王最近引起的iframe爭議較無關係,個人不太認同funp網站的作法,但本文純粹說明當初iframe技術如何先在遊戲領域盜取帳號後,逐步擴大到其他環節。
iframe顧名思義就是一種內嵌在網頁裡面的語法tag,inter-frame的意思。所謂的frame,就是網頁html語法中的框架,過去的網頁設計中會用frame切割不同的同站頁面區塊。而iframe技術,則是特別為了嵌入其他網站來源的內容而生的,也可以嵌入自己網站內的異質內容。
而3年前線上遊戲在台灣火紅的時候,最引人注目的遊戲就是天堂1與天堂2這兩款南韓公司出品的線上遊戲,以大量的虛擬金幣和社會爭議著稱,在台灣有龐大的地下經濟,遊戲中的虛擬貨幣、虛擬寶物都是可以換成新台幣的。
箇中的地下經濟體系,涵蓋的兩岸犯罪集團、虛擬貨幣商人供應鏈,本站的阿涼仔有豐富的文章說明此事,不再贅述。我們來看看為什麼中國駭客、虛擬貨幣商,要入侵遊戲網站,或者是建立假官方網站,以及搭配iframe的資訊型收集站來騙取台灣或中國玩家的帳號密碼?
最簡單的理由就是簡單又好騙,獲利豐厚。
iframe因為可以很容易內嵌其他網站來源的內容,覬覦玩家手中虛擬貨幣與物品價值,想要盜取帳號、密碼的不肖人士,就透過好幾種方式來騙取,包括MSN、Yahoo即時通訊的病毒木馬、惡意電子郵件連結含木馬等等。
而專門針對線上遊戲官方網站,則是當時天堂系列盛行的年代,大大小小不同的線上遊戲官網紛紛遭遇毒手,因為大部分的線上遊戲都有這些虛擬貨幣的金額交易,甚至是玩家在不同遊戲使用的帳號、密碼也一樣,所以只要突破一家,獲利就很可觀。
駭客與不肖人士針對網站,通常採用3種iframe的應用方式來騙帳號或賺取廣告金錢。
首先,是架設收集資訊型態的網站,上方是不肖人士招攬來的廣告,下方是其他網站的網頁內容,不論是資訊型網站、交流型網站或工具型態網站都行,反正不是自己生產的內容就好,能透過不同選單來切換頻道。這種方式也是推推王之前和現在使用的iframe方式,把內容網頁嵌入自己的網站下面,藉此可以牟利。
但駭客進一步在上面放惡意程式碼,讓使用IE瀏覽器為主的玩家族群或一般用戶,在不知情的情況下載木馬到Windows系統的電腦中,帳號密碼資料就有機會被送到駭客的手上。
其次,就是建立假的官方網站,做的和遊戲橘子之類的遊戲公司官方網站或旗下的遊戲官方網站一模一樣,當網友點選儲值或登入密碼時,就盜取帳號密碼。甚至是網頁內嵌高度0或者是很細微的高度,網友很難發現有ifame的存在,而這些iframe中就包含了木馬程式下載的程式碼,同樣地針對未即時安裝微軟更新程式的IE瀏覽器下手。
再來,就是進攻遊戲公司官方網站的網站主機,利用系統主機的漏洞,以sql injection,也就是利用網頁上的漏洞,去修改資料庫裡面的內容,只要內容中的iframe語法包含惡意程式,網友在瀏覽官方網站時,就不知情地也中木馬,帳號資料被盜取。
根據坊間玩家交流資訊,當時線上遊戲公司可能被入侵的有許多知名的上市上櫃公司,很多小型的遊戲公司都還沒列上去。而台灣資安部落格相關提到的政府網站、學校網站或基金會網站被駭侵的列表可是一長串,更為可觀。
為什麼台灣的遊戲公司網站主機容易被入侵呢?原因是很多老闆普遍想要省錢,省的是僱用員工的錢,當時微軟系統的工程師比較便宜,不論是網管、程式設計師都比其他系統的人員要普遍多了。而當年微軟系統的漏洞百出,駭客很容易就有相關的工具得以入侵,也使得sql injection變成資安威脅。而遊戲公司普遍採用微軟的IIS伺服器,搭配微軟資料庫主機容易被入侵,即便是更換成Linux系統也很難完全防堵,因為要抓漏不是那麼容易一蹴可及。
同時,線上遊戲公司的帳號資料被盜取,除了針對玩家外,也有針對遊戲公司資料庫的,而很多消息都會設法減少傳出,因為那嚴重影響遊戲公司的上市上櫃股價。
當遊戲公司普遍都做好更安全的防備,網頁結構、cookies驗證改善,駭客獲得的帳號密碼變少之後,他們又轉向其他大大小小的網站,特別是學校、政府機構、非營利機構、媒體平台之類的網站,進行駭侵的動作,用前面提過的手法,注入惡意程式碼來騙取帳號資訊。前陣子風靡全球的魔獸世界,同樣引起駭客的注意,想要竊取帳號密碼資訊,類似的議題又一再發生在網咖、家用電腦環境上。
所以,有良好的電腦使用習慣很重要,不怎麼懂電腦的人,安裝防毒軟體也是很重要,減少自己與他人的損失。遊戲玩家之所以最先被騙,自然是經濟因素,但被盜取的過程容易,也反映出當時遊戲玩家對電腦知識的缺乏,很多人都是為了「玩線上遊戲」才去網咖,去買電腦,並沒有很好的電腦使用習慣和資安常識。
iframe是個很好用的工具,很多國內外大型網站都有在用,針對自家的內容,和整合度是有幫助的。但是,它因為嵌入網頁的功能強大,也很容易被不法使用。
除了前面提到的駭侵例子,推推王之類的頁面爭議,反而應該是更被重視的部份,因為可以利用不是自己的頁面牟利,使用者可以完全在推推王的網站架構下閱讀一大堆blog文章,對於blog文章的主人來說,頁面同樣也會被讀取,所以自己的廣告還是會被計算到,至於未來推推王的廣告收入,因為是根據blog文章的內容而產生的,是不是要分利潤給大家,倒是一個可以思考的問題。畢竟如果有人要主張分享這部份的利潤,可能會是未來爭議點。
推推王也不可能沒廣告收入,不然怎麼營運。中國過去一些用toolbar形式,下面放其他網站內容的網站,也是利用toolbar放一些廣告,還有用js輪播的,就看funp未來要怎麼做才會比較ok。
著作權、姓名權的問題,大家已經討論得夠多了,個人不願贅述。
感謝您的閱讀。