四個垃圾郵件陷阱: 「綁架讚(Likejacking)」,「假分身(Sock Puppet)」、「QR碼垃圾郵件」和「垃圾應用程式(Junk Apps)」

趨勢科技 TrendMicro

只要還有網路,騙子就會想用來賺錢

所用的技術可能會改變,但伎倆本質卻是不變的:網路詐騙會試圖引誘你去連上一個不該去的網站,或是讓你不自覺地送出你的信用卡資料。他們會盡可能將目標灑向更多的人。當你聽到像「綁架讚(Likejacking)」,「假分身(Sock Puppet)」、「QR碼垃圾郵件」和「垃圾應用程式(Junk Apps)」時,請記住,這些都是新瓶裝舊酒的在重複著過去的伎倆罷了。

綁架讚(Likejacking)

這是基於Facebook的騙局,一開始是受害人去點了一個連結,可能是因為被有趣的標題或影片所吸引。結果被導到假問卷調查或廣告網站,誘騙使用者對它們按讚(他們會被要求按「讚」或「繼續」,不過兩種的結果都是會變成按「讚」)。接著就會被貼到受害者的塗鴉牆上,讓所有的朋友都落入到相同的騙局裡。基本上它就是舊式垃圾郵件的變形,之前是看似來自好友的電子郵件,結果是因為某人盜用了它的電子郵件地址所設下的騙局。

 

假分身(Sock Puppers)

就是現在常見的以假身分在網路上發表評論。如果一個部落格或討論區上的評論有點太過熱情地去推銷特定的公司、產品或人,這些人的身分可能都只是假分身,通常這些是來自不道德的公關公司或有心人士想去操弄民意才這麼做。

另一個雷同的報告:每天有一億九千萬則twitter被送出,平均每個Twitter使用者有126個關注者。只有35%是真人。請看這裡

QR碼垃圾郵件

正當人們終於學會去懷疑那些出現在電子郵件裡的隨機連結,隨之而來的QR碼(基本上就是將這些隨機連結做成可愛的黑白小方塊)。它們無處不在:出現在廣告上,看板上和雜誌上。利用你的智慧型手機來照這QR碼就會將你送到一個網址或下載優惠券等等。而問題就出在這裡,如果單單看這QR碼,你並不知道它是從哪裡來的,或是它會對你的手機做些什麼。

絕大多數的QR碼都是正常的,是企業用來和大眾互動的有趣模式。但還是有惡意QR碼的存在,而且如果它們跟我們之前見過的其他類型垃圾郵件(SPAM)一樣的話,那可以預期的是它們只會越變越多。像這個案例日本色情業者利用行動條碼(QR Code)誘騙付費,就讓愛看好料的網友有點尷尬。

一個誘騙行動用戶使用行動條碼(Quick Response,QR)註冊跟付費色情的服務的案例。攻擊者會先發送垃圾郵件給受害者,郵件內包含一個免費影片網站的連結。這個網站會秀出聳動標題的免費影片來誘使點擊。
一個誘騙行動用戶使用行動條碼(Quick Response,QR)註冊跟付費色情的服務的案例。攻擊者會先發送垃圾郵件給受害者,郵件內包含一個免費影片網站的連結。這個網站會秀出聳動標題的免費影片來誘使點擊。  但當出現一個「觀看更多」的連結時,會將使用者重新導到另一個要求註冊成為會員的頁面

 

其中一個網址,包含了一個行動條碼(Quick Response,QR)和這訊息:「請利用手機來訪問這個網站」。

趨勢科技QR Code掃描器

  • 快速安全地掃瞄各種QR碼和二維條碼/條形碼
  • 立即封鎖危險應用程式和網站並回報
  • 無任何第三方廣告
  • 從即時相機或儲存的影像掃瞄
  • 完全免費

今天就來試用趨勢科技的QR Code掃描器 – 免費、安全又簡單的掃描QR碼。

繼續閱讀

《青少年/兒童上網安全》 孩子視訊聊天與影片分享,該注意的四件事

趨勢科技 TrendMicro

《青少年/兒童上網安全》 孩子視訊聊天與影片分享,該注意的四件事

作者:趨勢科技Lynette Owens

 

Pew Center發表了關於青少年和他們對於使用線上影片和視訊的態度和行為的研究報告。在今天,有37%的青少年利用視訊聊天,像是Skype或iChat,而有近三分之一的青少年會建立和分享線上影片,這在2006年只有14%。雖然這數字有更加上升的趨勢,但是並不令人訝異。

 

因為實在沒有任何東西可以替代視訊或影片。這是和遠方人們互動的最好方式。對於想要成為電影製作、演員和專業傳播者來說,這也是夢想中將創意表達給群眾的方式,這都要感謝網路和評價可提供錄影功能的手機。

 

但是,就和其他線上溝通分享模式一樣,重要的是要記住,視訊聊天或線上影片分享都是在公開場合內發生。因此,還是要遵守些規則以保持安全和維護良好的聲譽。

 

線上視訊或影片分享三個基本認知

 

1.視訊聊天可以是點對點(像是Apple的FaceTime,屬於私人的)。也可以透過社群網站,像是Facebook和Google+。大多數社群網站都可以讓你將影片限制分享給特定群組或個人(就跟文字或照片的設定一樣)。

 

2.你可以將影片貼到多個影片分享網站,像是YouTube和Vimeo,但只有部分網站允許你分享給私人群組,這裡是十大最常被使用的影片分享網站,包含了很棒的功能比較表。從安全的角度來看:

  1. 其中只有七個允許設定私人分享
  2. 只有五個讓你可以標記反應這內容並不適當或違反網站規定
  3. 另外有五個允許使用者去標記影片內容可能不適合給特定族群

 

3.影片也可能被放到許多主要的部落格網站,像是Blogger或Tumblr,但絕大多數都不會用私人分享,因為通常部落格就是要公開瀏覽的。社群網路和上面所提到的一些影片分享網站比較適合用來做小群組的分享。

 

引導你的孩子使用線上視訊或影片時要牢記的事情

 在讓你的小孩成為線上影片創作者和使用視訊聊天之前,提醒他們下列事項:

 在分享影片之前要先想一想的四件事
1.即使只想要分享給一小群的朋友,也有可能被朋友公開出去。
2.不要張貼任何會傷害他人或自己的影片。
3.當你在做視訊聊天和任何形式的溝通時要尊重別人。
4.一旦它們送上網路,就會永久存在了。

  •  如果你知道有人發布了有你在其中但你不喜歡的影片,該怎麼辦?
    先去要求對方將它撤下來。因為如果並不違反網站規定,網站可能沒有辦法或不會去將它撤下。
    如果有人將你標記在影片上,然後分享在社群網路上,你可以取消標記自己,這樣就不會出現在你的網頁上。

以下 FACEBOOK設定參考,對有臉書帳號的孩子也很適用: 今天請病假出去玩,不宜見光,禁止標籤我,違者封鎖(標籤隱私設定步驟)

  繼續閱讀

隱藏在 Google 雲端硬碟的第三方漏洞

趨勢科技 TrendMicro

隱藏在Google雲端硬碟的第三方漏洞

作者:趨勢科技雲端安全副總裁Dave Asprey

 

在1998年,我在Exodus Communications幫忙建立了最早期的現代化雲端服務。從那時開始,就一直有個想法在我的腦海裡迴盪,就是美國政府對於憲法第四條增修條文的詮釋會影響到企業採用雲端運算雲端運算的意願。謝天謝地,這並沒有發生。但現在新的Google雲端硬碟服務條款可能會開啟新的法律爭端,影響到所有人使用雲端儲存的意願。

 

想知道為什麼會這樣,就要先了解法院是如何解釋美國憲法增修條文第四條,提供「任何公民人身、住宅、文件和財產不受無理搜查和查封,沒有合理事實依據,不能簽發搜查令和逮捕令……」(美國電子前線基金會在他們的網站 – Surveillance Self-Defense上,有對此寫了篇很棒的文章。)

 

它還提供什麼情況下不合理的搜查可以被稱為「合理」而且合乎憲法的作法。也就是可以在下列情況簽署授權「除有正當理由,經宣誓或代誓宣言,並詳載搜索之地點、拘捕之人或收押之物外」

 

這也意味著執法單位在進行侵入式搜索時必須先取得授權,如果不這樣做,他們所找到的證物將不被法院受理。不過如果該物件可以被直接看到或是當對象同意被搜查時則無需授權。

 

當搜索需要授權就交給法院處理。他們發現有「合理的隱私期望」時,執法單位會需要授權。這是早在1967年,雲端出現之前,關於電話亭被用來竊聽的問題,這也是Google的問題起源。

 

法院所謂的「合理的隱私期望」是說,你會合理的期望自己的東西是屬於私人的,而同時社會本身的客觀認定也會覺得這合理的屬於私人。也就是說你會認為這是私人的,而其他人也是如此認為。不要忘了這個條件,因為這和Google的作法有直接關係。

 

對於美國憲法第四修正案所作出的第三方原則(Third-Party Doctrine)解釋可以說是現代雲端的噩耗。這解釋是說,如果你的資料由第三方代管,那它不屬於第四修正案的保護範圍。這就嚴重了。這裡最典型的例子是,警察不需要取得授權去知道你打了什麼電話,因為通話記錄的資料是在服務供應商手上。你的電話內容是屬於私人的,但是你打電話這件事並不是。

 

讓我們將這推演到雲端上。在過去,Dropbox和微軟的SkyDrive保有你上傳到雲端儲存的檔案的版權和智慧財產權。這是合理而正常的做法。如果你可以保有放入雲端物件的版權,你也就可以主張你有合理的隱私期望,你的雲端檔案還是受到憲法第四修正案的保護,即使他們位在第三方的雲端服務內。

 

但是Google所新推出的服務條款則打破了這項共識。看看這些服務條款的差異。(感謝CNET收集這些連結!)

 

Dropbox – 條款在這裡

 

「您的物件和您的隱私:您通過使用我們的服務所提交給Dropbox的資訊、檔案和資料夾等(合稱「您的物件」),您對您的物件還是保留完全的所有權。我們並不主張有任何的所有權。這些條款並不會讓我們對您的物件或智慧財產權有任何權利,除了那些為了運行服務所需的有限權利,會在下文解釋。」

 

微軟的SkyDrive – 條款在這裡

 

「5. 您的內容:除我們授權供您使用的資料外,我們不會主張您在服務中所提供內容的所有權。您的內容仍屬於您。對於您與他人於本服務中提供的內容,我們也不會控制、驗證或背書。」

 

Google雲端硬碟– 條款在這裡

 

「您儲存在「服務」中的內容:當您將內容上傳或以其他方式提交至「服務」,即表示您授予 Google (及我們的合作夥伴) 全球通用的授權,可使用、代管、儲存、重製、修改、製作衍生作品 (例如翻譯、改編或變更您的內容,使其更加配合我們的「服務」)、傳播、發佈、公開操作、公開展示與散佈這類內容。

  繼續閱讀

迷思:「Google 會檢查所有上架的手機應用程式,因此我應該很安全才對。」

趨勢科技 TrendMicro

根據 Google 的說法,他們每天都有 850,000 個新的 Android 裝置啟用。想像一下警衛每天要保護 850,000 新車 (而停車場的規模還不斷呈倍數成長),尤其當中有 680,000 輛車門沒鎖,前座還放了貴重物品。車子之所以配備門鎖和警報器不是沒有原因的,因為有其需要!

 

僅有 20% 的 Android 行動裝置用戶安裝了安全軟體

自從趨勢科技 Longevity for Android™ 測試版推出以來,短短的二個月內,我們的行動裝置應用程式雲端信譽查詢次數已突破 850,000,讓使用者了解到手機應用程式的耗電量情況。但這也揭露了一項驚人的數據,那就是:僅有 20% 的 Android 智慧型手機和平板電腦用戶在裝置上安裝了安全軟體

很難想像在一個人們的生活都養賴智慧型手機來追蹤掌握的世界,而且絕大多數人家中電腦都會安裝安全軟體時,我們對智慧型手機的風險竟然還處於無知的幸福當中。

在我所接觸過的人當中,從「手機不是沒有病毒嗎?」到「我根本不知道手機也有防毒軟體」等各種反應都有。而最值得注意的是:「Google 會檢查所有上架的應用程式,因此我應該很安全才對。」

Google 會檢查所有的應用程式,對吧?

最後一種說法是我最擔心的。的確,Google 正嘗試對 Google Play 上的應用程式進行一些控管,並且移除任何潛在的安全風險。不過,這聽起來卻像是到 Cowboys Stadium、Wembley、MCG 或 Stade de France 看比賽卻將自己的相機、皮夾、駕照放在前座然後放著車門不鎖一樣,而且還認為停車場有警衛巡邏就一切 OK。

根據 Google 的說法,他們每天都有 850,000 個新的 Android 裝置啟用。想像一下警衛每天要保護 850,000 新車 (而停車場的規模還不斷呈倍數成長),尤其當中有 680,000 輛車門沒鎖,前座還放了貴重物品。車子之所以配備門鎖和警報器不是沒有原因的,因為有其需要!

根據趨勢科技威脅研究人員預測,截至 2012 年底,全球將有超過 120,000 個 Android 惡意應用程式在外流通
根據趨勢科技威脅研究人員預測,截至 2012 年底,全球將有超過 120,000 個 Android 惡意應用程式在外流通

資料來源:趨勢科技惡意程式部落格 –  2012 1 5

根據趨勢科技威脅研究人員預測,截至 2012 年底,全球將有超過 120,000 個 Android 惡意應用程式在外流通。目前,Google Play 商店上大約有 450,000 個應用程式,而且 Amazon、Telco Carrier 等第三方商店、獨立市場、區域性網站等等,還有無數的其他應用程式可供選擇。

2012年年底,Google Play 上的應用程式數量將上看 600,000 個
2012年年底,Google Play 上的應用程式數量將上看 600,000 個

資料來源:www.AppBrain.com – 2012 5

此外,我們也發現一些專門散布惡意應用程式的伺服器不斷誘騙受害者前網下載他們的軟體。就目前應用程式的成長速度來看,到了今年年底,Google Play 上的應用程式數量將上看 600,000 個,而整個全球網路上將有大約一百萬個不同的應用程式。

您或許會問,這一切很重要嗎?來看看傳統電腦惡意程式的數量,AVtest.org 估計從 1984 年至今,傳統電腦惡意程式累計大約有 7 千萬個,但此數字也只占 Windows、Mac 和 Linux 多年來所有應用程式和檔案的一小部分。

您遇到 Android 惡意應用程式的機率遠大於遇到電腦惡意程式。

以年底預測的 120,000 個 Android 惡意程式以及總數 1 百萬個 Android 應用程式來算,比例大約占 12%。這些應用程式通常都聚集在應用程式商店或相關網站,因為 Android 使用者會前往這些地點來尋找所需的應用程式。因此,如果您對照整個網際網路的傳統電腦惡意程式數量,就會發現 Android 使用者遇到惡意應用程式的機率顯然高得多。那麼,為何消費者目前的防護等級還有對防護需求的認知都這麼低?

這樣的落差值得大眾憂心。對網路犯罪者來說,卻值得慶祝。對趨勢科技和整個資訊安全軟體產業來說,我們應該更努力才對,因為我們必須讓大眾更了解數位生活當中的危險,不論他們使用的裝置為何。

@原文來源:Only 20% of Android Mobile Device Users Have a Security App Installed作者:Greg Boyle

@延伸閱讀:

你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務

保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

 

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

  
 
◎ 歡迎加入趨勢科技社群網站

資料防護對中小企業來說比對大型企業還重要

趨勢科技 TrendMicro

資料防護對中小企業來說比對大型企業還重要
小型企業需要更強大的安全策略

資料外洩入侵外洩對任何公司來說都可能帶來毀滅性的後果,因為這事件可能會損害聲譽並將敏感資料洩漏給惡意的對象。然而對於較小的企業來說,這影響將會更加嚴重,因為罰款、客戶流失和其他入侵資料外洩事件所帶來的後果都可能會讓這家公司永久關閉。所以保護機密資料對於中小企業來說是更為重要。

根據CRN的報告,中小企業可以透過能夠回復資料入侵事件或是災難過程的資料來加強資料防護。決策者可以讓這些敏感資料不被惡意入侵者所接觸。

管理者必須採取有效措施來加以回復,但是使用像是磁帶備份這樣的傳統解決方案可能會導致資料安全問題。

 1/3中小企業受訪者: 允許員工選擇自己的備份工具

 根據Mozy一項新的研究發現,大約三分之一的中小企業決策者允許員工選擇自己的備份工具,往往讓他們的資料更容易外洩。比方說,有超過一半的受訪者表示,他們使用外接硬碟來備份資料,即使這些設備經常被偷,遺失或是損毀。

「現實情況是,企業往往會忽略備份這一塊,一直到他們嚐到了資料遺失的後果,」Mozy的總經理Russ Stockdale如是說。 繼續閱讀