近五成的網友僅花10 秒閱讀隱私條款,即按下:我同意!

好奇心讓你的Facebook成為詐騙貼文宣傳管道!近期Facebook上廣佈兩個分別名為「瘋了!我不敢相信,自己看看吧!」以及「x!太失望了,你看看」的貼文,並附上看似影片連結的Linekee短網址誘惑民眾點選,要求民眾輸入Facebook帳號密碼,以及特定組合鍵。   輸入後使用者將會看到特定遊戲廣告。同時此一貼文也被轉貼到使用者的Facebook頁面上,令使用者不堪其擾。

 

近期Facebook上廣佈兩個分別名為「瘋了!我不敢相信,自己看看吧!」以及「x!太失望了,你看看」的貼文,並附上看似影片連結的Linekee短網址誘惑民眾點選,要求民眾輸入Facebook帳號密碼,以及特定組合鍵。

 

趨勢科技調查逾六成網友1分鐘內點選聳動標題 心理測驗或遊戲連結   【2013 年03月19日 台北訊】好奇心讓你的Facebook成為詐騙貼文宣傳管道!近期Facebook上廣佈兩個分別名為「瘋了!我不敢相信,自己看看吧!」以及「x!太失望了,你看看」的貼文,並附上看似影片連結的Linekee短網址誘惑民眾點選,要求民眾輸入Facebook帳號密碼,以及特定組合鍵。 輸入後使用者將會看到特定遊戲廣告。同時此一貼文也被轉貼到使用者的Facebook頁面上,令使用者不堪其擾。而根據趨勢科技的調查,七成的網友看到好玩遊戲時會認真勾選隱私資料的分享權限,但同時也有近五成的網友僅花10 秒的時間閱讀隱私條款後按下我同意,顯示網友對聳動標題、心理測驗或遊戲的連結,仍不具有抵抗力。

 

  根據趨勢科技的調查,七成的網友看到好玩遊戲時會認真勾選隱私資料的分享權限,但同時也有近五成的網友僅花10 秒的時間閱讀隱私條款後按下我同意,顯示網友對聳動標題、心理測驗或遊戲的連結,仍不具有抵抗力。

調查

調查

繼續閱讀

當 APT 攻擊者擁有很大程度的控制權時,該怎麼辦?

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺 企業該思考的是,當我們的傳統防禦失敗後,接下來有什麼方法來防止APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊?比較好的態度就是假設攻擊已經進到在內部網路裡,因為這會迫使我們去重新思考目前的保護措施。

南韓爆發史上最大駭客攻擊,社交工程信件樣本

了解目標攻擊:我們要如何防禦?

作者:Martin Roesler(威脅研究總監)

上一篇的文章(了解目標攻擊:我們真正對抗的是什麼?)裡,我談到在APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊裡攻擊者所掌握到的優勢。還有接受這事實,好正確地處理攻擊是如何的重要。現在來到困難的部分:當我們認識到攻擊者擁有很大程度的控制權時,我們現在該怎麼辦?

請記住,即使我們認知到攻擊者掌握更大的控制能力時,並不代表我們沒有任何控制能力。我們的確有,而且要記住,如何善用我們所擁有的控制能力去處理目標攻擊是非常重要的關鍵。

控制外圍網路

當然,想要讓任何形式的控制能力真正發揮作用,我們就必須完全瞭解自己到底掌控什麼。牢牢控制誰和什麼東西可以存取網路,和擁有什麼層級的權限可能會犧牲掉大部份員工的便利性,但是想到APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊的危險性,還是把安全性放在第一位比較重要。

確認網路的部分工作就是要有深入的了解,具體化我們認為正常的作業、流程、事件和行為。知道什麼是真正的正常,將有助於更快也更正確地識別出異常來。

一旦確認好網路範圍,另個關鍵是要有監控網路的措施,這裡所談的是對於任何網路進出的能見度和控制能力。可以幫助網路管理員這樣做的技術之一是DNS Response Policy Zone(RPZ)。DNS RPZ提供一個可擴展的方式來管理對於網路的連結。如果加上網域黑名單,就會建立一個更加安全的網路環境。

部署由內到外的防護

傳統的防禦重點在於強化防火牆和透過黑名單來過濾壞份子。而在今日,這個「由外到內」的策略對抗一般的簡單攻擊是很有效,但在面對APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊時就幫不上忙了。傳統防禦是用來對抗那些形式和來源都很容易識別的攻擊,但非目標攻擊。

 

傳統的防禦

一個更佳防禦的典範是魔戒裡的剛鐸首都 – Minas Tirith。這座城堡的設計是將主城放在中心,四周環繞著七層高牆。每一個層都比前一層還高,最外圍的牆壁最低矮,但也最堅固。每層牆壁都有城門,但門與門之間沒有辦法直接通過,每個城門都位在城堡的不同方位。這也是軍事戰略中被稱為「縱深防禦」的策略。它非常有效,因為不僅提供對外部攻擊的防護,還可以防止由內發起的攻擊。套用在網路防禦上,就好像部署多層次防護,並對關鍵資料進行加密。

繼續閱讀

《APT攻擊/威脅 》 水坑攻擊: 不是去攻擊目標,而是去埋伏在目標必經之路

水坑(Watering hole)」攻擊和我們一般認為的網路攻擊相反。並不是去攻擊目標,而是去埋伏在他們知道目標可能會去的地方。

跟你在老西部片裡會看到的一種策略類似,壞人會在沙漠裡的一個水坑盯哨,因為他們知道目標會在這停下來取水,就可以在此時展開攻擊。因為最終每個人都還是要到水坑喝水的……

作者:Christopher Budd

如果你最近有看新聞,那可能會注意到有許多大公司被駭了,就好像在看富士比排行榜一樣:紐約時報、華爾街日報、臉書、推特、蘋果和微軟。

 

這是起非常成功的駭客攻擊,同時也會讓人感到非常不安:我從不記得曾經有過如此多大型而重要的公司宣布被成功地攻擊。在一些討論裡清楚地顯示出這是起目標攻擊。APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊就是駭客會針對特定公司或個人來獲取資料。除非你在這樣的公司工作,或本身是個名人,不然就不大可能成為這種攻擊的受害者。

但這些故事聽起來還是很令人心生恐懼,不僅讓人想問:到底發生了什麼事?這是怎麼發生的?

另一種類型的攻擊

當我們想到駭客對某家公司進行攻擊時,浮在腦海裡的印象往往是入侵者會去試探網路,找尋可以入侵的地方。但我們現在看到的並不一樣,因為有這麼多公司受到影響。因為其目標的大小和攻擊的規模在在顯示出這和之前不同。

一般的共識是,最近所發生的這許多起APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊是被稱為「水坑(Watering hole)」攻擊的結果。「水坑」攻擊事實上和我們一般認為的網路攻擊相反。並不是去攻擊目標,而是去埋伏在他們知道目標可能會去的地方。

一旦目標出現,他們就會展開攻擊。這是一種被稱為「水坑」的攻擊方式,因為它跟你在老西部片裡會看到的一種策略類似,壞人會在沙漠裡的一個水坑盯哨,因為他們知道目標會在這停下來取水,就可以在此時展開攻擊。因為最終每個人都還是要到水坑喝水的……

網路水坑:行動開發者網站被入侵?

最近的這些攻擊很可能是因為行動開發人員所經常瀏覽的網站被入侵淪陷了。在接近二〇一二年底,趨勢科技TrendLabs看到一起水坑(Watering hole)針對美國外交關係委員會的網站。

水坑(Watering hole)的另一個共同特徵是會使用零時差漏洞,就像上個月我所提到的Java零時差漏洞。事實上,最近的這些攻擊也可能是Java的另一個問題所造成的。

最終,這些攻擊的目的都是為了要進入這些公司的網路來竊取資料或其他資產。進行破壞也有可能是針對政府設施和機構時的目的。你可以將這認為是一起複雜有計劃的專業攻擊第一步。

繼續閱讀

Mandiant APT報告被當作社交工程信件誘餌

作者:JM Hipolito

趨勢科技研究威脅的過程裡,我們看過了不同類型的社交工程陷阱( Social Engineering),好用來帶起不同的情緒,像是害怕或高興。這些誘餌往往很有效,因為我們過去看過好幾個成功的事件。然而,它們也很容易辨認,因為往往都使用類似的主題,就是最近發生的事件或節慶。

還有些則利用了不同的、更為低調的作法。這些伎倆不是為了引起注意,而是盡可能的避免。它們試圖融入目標受害者的日常生活,或利用他們的興趣來引他們入局。雖然這些伎倆相較於他們所帶來的攻擊來說非常安靜,它們很難被偵測,但往往更加險惡。

其中一個例子是水坑技術,被用在最近一次影響了Facebook和Apple等公司的攻擊裡。選擇使用行動開發者論壇當做水坑,這誘餌幾乎是完全被動的,並不施展任何手段來吸引受害者訪問該網站。這網站是被精心挑選過的,因為它已經被確認是目標攻擊受害者平常會去逛的網站。

早些時候,趨勢科技也看到最近所公佈的Mandiant報告被當做誘餌。這攻擊開始於寄件者建議去閱讀聲稱是該報告的PDF檔案(當然,這實際上是個惡意PDF檔案,被我們偵測為TROJ_PIDIEF.VEV)。

繼續閱讀

“殭屍出沒,請注意!!”從交通系統等基礎建設被駭談起

作者:Christopher Budd

殭屍(步履蹣跚,會吃人肉的那種,不是出現在電腦上的那種)最近真是風靡一時。出現在電視影集和電視遊樂器上。甚至還有殭屍會在大街上散步。無論為什麼,殭屍都是我們現在喜歡用來嚇自己的有趣題材。

所以當人們想要作個有趣的惡作劇時,會選擇殭屍這題材也就毫不奇怪了。駭客入侵和遊戲間有些相似之處,我們最近也在殭屍上看到這一點。有人駭入交通號誌系統去警告司機「前有僵屍」。上禮拜,我們看到美國蒙大拿州大瀑布城的一家地方電視台 – KRTV的緊急警報系統被駭客入侵,送出警報給看電視新聞的居民:「死人從墳墓裡爬起來,開始攻擊活人。」

 

我們看這些故事時會邊笑邊分享,因為聽起來蠻聰明有趣的。但其中有危險的部分,這可不是開玩笑的。

關鍵基礎設施可能會被入侵

這些事件的重點是重要公共安全通訊基礎設施被入侵,然後被用在別的目的上。

我們都知道,當重要的公共安全通訊基礎設施被以「突擊(swatting)」的方式濫用時,可能會出現可怕的後果。突擊指的是人們用假的求助電話報警。結果讓全副武裝的特警隊(SWAT)衝進不知情而無辜的人家裡。雖然在這些事件裡沒有人被殺害,但那是因為有良好的訓練和運氣好。但事實上這系統已經受到破壞,將全副武裝的警隊送去他們認為有危險且可能需要使用致命武器的地方時,會讓別人的生命陷入危險中。

要認識到公路號誌和緊急警報系統被駭的風險,就必須專注在一個事實上,現在我們所看到的假消息都很有趣,同時荒謬而令人難以置信。我們會發現這是個笑話而不會採取行動。但如果這消息雖然是捏造的,但卻像是真的時,會發生什麼事呢?

繼續閱讀