刑事警察局165專線的最新案例中,報案人在591租屋網看到中意的房子欲承租,屋主皆是透過EMAIL聯繫,過程中屋主不斷暗示自己在國外任高職位,家庭幸福美滿,並出示其任高職之名片、家庭照等,但表示因他人在國外無法親帶賞屋,如欲承租需經由他所信賴的第三方仲介(Airbnb Rental Property)來處理,屋主要求報案人先行將訂金、押金及第一個月匯款至指定帳戶,再由仲介聯繫報案人賞屋。由於租屋地點好、房租便宜、房內設施完備、報案人為了搶得先機租到好屋,便先行匯款。
Airbnb的假仲介寄信表示需使用速匯金匯款服務(MoneyGram),該服務不需提供受款人帳號,僅填寫受款人名稱即可匯款),多數被害人在匯款服務匯款約美金1000元左右, Airbnb的假仲介收取款項後遲遲未進行後續程序,屋主也聯絡不上,報案人前往該租屋地址才發現根本沒有出租需求,驚覺遭詐騙。
根據趨勢科技企業版行動安全防護所回報的資料,2016 年企業感染最多的是一些可能有害的程式 (如 越權廣告程式) 以及間諜程式、銀行木馬程式、Root 改機木馬程式和簡訊木馬程式。
6,500 萬:這就是趨勢科技2016 年所攔截到的行動威脅數量。截至 2016 年 12 月為止,我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬,較 2015 年的 1,070 萬有著飛躍性成長。
事實上,行動裝置在消費者與企業機構之間不斷普及,以及背後的技術不斷進步,正是行動威脅爆炸性成長、不斷複雜化、不斷強化的動力。
儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。隨著企業採取 BYOD 政策或配發行動裝置的情況更加普遍,更多企業也開始感受到行動惡意程式的衝擊。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。
就全球來看,目前最普遍的是漏洞攻擊和惡意的 Root 改機程式 。但若單就日本來看,最盛行的反倒是行動勒索病毒,而美國最多的是暗中竊取資訊及收發簡訊的惡意程式。
根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務,以及 Smart Protection Network™ 全球威脅情報網的統計,再加上過去一年針對重大事件的外部研究資料,以下是 2016 年行動威脅情勢的幾項重點:
個人自備裝置 (BYOD) 在企業之間不斷普及,再加上員工開始透過智慧型手機來存取企業網路、服務及資產,都加深了行動威脅對企業的危害。相反地,我們並未看到任何專為企業而設計惡意程式。我們所觀察到的感染案例大多是因為一些連上企業網路並存取公司檔案的裝置下載並安裝了惡意應用程式 (而且經常來自第三方應用程式市集),例如,QVOD (趨勢科技命名為:ANDROIDOS_EHOOPAY.AXM) 就是一個偽裝成視訊播放器的惡意程式。它會擅自替使用者註冊一些高費率的 SMS 簡訊服務,讓使用者的電話帳單爆表。此外,還有偽裝成手機優化程式和休閒小品的 DressCode 資訊竊取程式 (ANDROIDOS_SOCKSBOT.A) 以及偽裝成 Android 作業系統更新和遊戲程式的 Jopsik 間諜程式 (ANDROIDOS_JOPSIK.OPSLB)。
根據趨勢科技企業版行動安全防護所回報的資料,2016 年企業感染最多的是一些可能有害的程式 (如 越權廣告程式) 以及間諜程式、銀行木馬程式、Root 改機木馬程式和簡訊木馬程式。偵測數量最多的國家分別為:中國、法國、巴西、德國和波蘭。
圖 1:企業行動惡意程式偵測數量 (2016 年 1 月至 12 月)。
圖 2:企業感染行動惡意程式最多的國家。 繼續閱讀
最近你是否常在Facebook上看到這隻紫色、快速晃動的紫色生物,牠究竟是誰呢?
牠詭譎的動作被台灣人稱作吸毒鴿,不過牠正確的名稱是「垃圾鴿」喔!圖文創作者 Syd Weiler在 1 月 31 日在 Facebook 貼圖初登場後,短短兩週的時間就成為時下最夯的話題了。且不只在台灣受到極大的迴響,「垃圾鴿」在短時間內就掀起遍及全球的風潮。一泰國Facebook專頁สัตว์โลกอมตีน不久前發布了一部結合垃圾鴿以及手機敏貓的搞笑短影,一週內竟有超過400萬的點閱人次。 繼續閱讀
無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。
Lurk第一批運用無檔案感染技術的網路犯罪集團,如何從一群威脅分子轉變成完整的網路犯罪組織?
為何Lurk 總選擇在午休時間進行惡意內容派送?
沒有單一網路防禦工具可以處理這些威脅,IT 如何因應?
無檔案感染(Fileless Infection)就如同其名:沒有下載或寫入惡意檔案到磁碟就感染了系統。無檔案感染並非新技術或罕見,而且對企業和一般使用者都造成了嚴重的威脅,因為它能夠取得權限並且一直待在攻擊者的目標系統內而不被發現。但是無檔案感染技術已經被用來將目標電腦加入「Botnet傀儡殭屍網路」、派送勒索病毒、感染銷售端點(PoS)系統及進行點擊詐騙(click fraud)。無檔案感染對攻擊者來說,重要的一點是可以先評估中毒系統,確認感染狀態再決定是否繼續或消失無蹤。
Lurk屬於第一批在大規模攻擊中有效地運用無檔案感染技術的網路犯罪集團,這些技術之後也成為其他犯罪分子的重要手段。典型的Lurk攻擊會利用瀏覽器漏洞將非持久性病毒派送給目標受害者,在部署其他惡意軟體前先探測其目標。感染鏈有多個階段,可以利用在記憶體內執行的無檔案病毒來進行而無須另外的持久性機制。如果Lurk集團對目標系統不感興趣,則在感染系統內除了來自漏洞攻擊程序的檔案外不會留下其他痕跡。這種隱匿行為讓其惡名昭彰,直到幕後黑手被逮捕而停止了行動。俄羅斯內政部在2月8日逮捕了9名以上的嫌犯。Lurk集團從金融機構獲取超過4500萬美元,同時也破壞了受害者的營運、信譽和重要的一切。
Lurk是如何從一群威脅分子轉變成完整的網路犯罪組織?他們還知道什麼其他的技術可能被其他網路犯罪分子仿效?他們的運作模式如何從針對俄羅斯一般使用者轉成銀行和企業?我們對該組織的觀察是基於對其程式碼、網路流量和網址特徵的分析,我們在俄羅斯數個組織的入侵偵測系統在Lurk集團活動的五年間進行監視。
Lurk的網頁攻擊是他們攻擊活動的首要跡象。他們實作了某些機制來防止防毒偵測。比方說,特定時間區段或非其目標區域IP來的網頁連線請求會被重新導到第三方網站(如Google)。 繼續閱讀
去年年底,以 Linux 類系統為目標的 Mirai 殭屍病毒 (趨勢科技命名為 ELF_MIRAI) 造成多起相當轟動的分散式阻斷服務攻擊 (DDoS)攻擊,讓我們見識到物聯網有多麼脆弱。
最初的 Mirai 殭屍病毒是在 2016 年 8 月發現,專門攻擊採用 Linux 韌體的 IoT 裝置,例如:路由器、監視攝影機、數位監視錄影機 (DVR)、印表機等等。病毒會隨機選擇一個 IP 位址,然後試圖用一些預設的管理帳號和密碼來看看能不能登入裝置,它所嘗試的連接埠 (和通訊協定) 有:7547 和 5555 (TCP/UDP)、22 (SSH) 以及 23 (Telnet)。隨後在 2016 年 10 月,該病毒的原始程式碼開始在網路上流傳,攻擊案例也開始攀升。各種變種開始攻擊各大知名網站,如:Netflix、Reddit、Twitter、AirBnB,其中最大的案例之一就是德國電信 (Deutsche Telekom) 約有 900,000 台家用路由器遭殃。
最近,Mirai 又再次登上媒體版面,這一次它挾著新 Windows 木馬程式的威力,進一步擴大地盤。
去年我們就預測,像 Mirai 這類專門發動 DDoS 攻擊的惡意程式今年勢必增加。不過,這個新的木馬程式只是用來散布 Mirai 殭屍病毒的工具,而非另一個殭屍病毒。在 2015、2016 年,Mirai 是利用暴力破解方式和殭屍程式不斷掃瞄所有 IP 位址來發掘潛在的受害者。此次發現的 Windows 木馬程式 (趨勢科技命名為 BKDR_MIRAI.A) 主要是用來幫 Mirai 搜尋可攻擊的目標,讓 Mirai 殭屍病毒散布得更廣。
此 Windows 木馬程式會連上幕後操縱 (C&C) 伺服器來接收要掃瞄的 IP 位址範圍。當該程式成功入侵目標裝置,就會檢查裝置使用的是什麼作業系統。如果是 Linux,就會在裝置內植入 Mirai 病毒,讓這台裝置也變成殭屍。如果是 Windows,就將木馬程式複製一份到該裝置上,然後繼續尋找其他 Linux 目標。因此這個木馬程式會植入目標裝置惡意程式有 Linux 和 Windows 兩種版本。
圖 1:Windows 木馬程式當中負責掃瞄連接埠的程式碼。
