趨勢科技 TrendMicro | 資安趨勢部落格

ATM 提款機成賭場拉霸機?!ATM 兩大廠商發出 ATM 吐鈔攻擊警告

2018 年 02 月 03 日2018 年 02 月 02 日趨勢科技 TrendMicro

全球兩大 ATM 提款機製造商 Diebold Nixdorf 和 NCR Corp. 日前發出警告：美國境內已首次出現 ATM 吐鈔攻擊 (Jackpotting) 的案例。稍早之前，美國特勤局 (U.S. Secret Service) 才發出相關警告表示，網路犯罪集團目前已有多種技巧可以強迫 ATM 提款機吐鈔。這種犯罪手法在犯罪地下網路上稱為「ATM Jackpotting」(ATM 開頭獎)，頗有將提款機當成賭場拉霸機的意味。

這類強迫 ATM 吐鈔的攻擊最早出現在俄羅斯，隨後傳到了歐洲、亞洲、拉丁美洲和墨西哥。資安專業記者 Brian Krebs 在 1 月 27 日接獲 Diebold Nixdorf 公司的資安警告，指出美國境內發生的 ATM 吐鈔攻擊與 2017 年 10 月發生在墨西哥境內的攻擊類似。由於手法相似，因此很可能是同一批歹徒所為，這意味著其活動範圍已跨越墨西哥邊境，北移至美國境內。

從提款機的背面進入提款機,置換含有惡意程式的硬碟

目前強迫 ATM 吐鈔的方式有好幾種，但此處的案例必須實際進入提款機內部才能將惡意程式安裝到提款機的電腦上。裝好之後，惡意程式會從提款機的數字鍵盤或外接 USB 鍵盤接收指令，因此歹徒就能下命令給提款機內的吐鈔機，將裡面的錢掏空。

根據 Diebold Nixdorf 在 2017 年 10 月所發出的資安警告，歹徒是從提款機的背面進入提款機。他們將提款機的硬碟換成含有惡意程式的硬碟，然後再利用工業用內視鏡來按壓提款機內部的 Reset (重置) 按鈕重新開機。歹徒使用了幾種 ATM 吐鈔惡意程式，包括：ATMii、ATMitch、GreenDispenser、Alice、Ripper、Skimer 以及 SUCEFUL。

ATM 內安裝手機,用來經由簡訊接收提款指令 繼續閱讀

趨勢科技再度獲選為 Gartner 端點防護平台神奇象限領導者

2018 年 02 月 02 日2018 年 02 月 02 日趨勢科技 TrendMicro

【2018年2月2日，台北訊】全球網路資安解決方案領導品牌趨勢科技（東京證券交易所股票代碼：4704）再度於2018 年 Gartner, Inc. 端點防護平台神奇象限 (Magic Quadrant for Endpoint Protection Platforms)在所有參與評選的 21 家公司當中脫穎而出與其他兩家並列獲評在「領導者象限」[1]、[2]之列。

自 2002 年起，趨勢科技即在每一次的 Gartner 端點防護平台神奇象限當中獲評為領導者。趨勢科技相信，能夠連續獲得這項殊榮，證明多年來該公司在這瞬息萬變的市場當中總是能夠展現強大而均衡的執行力與完整的願景。

趨勢科技行銷策略副總裁 Eric Skinner 表示：「我們在端點防護方面所致力追求的終極目標，就是要讓客戶能夠防範各式各樣持續演進的威脅。因此多年來一直不斷創新，採用最新的偵測技巧來提升我們解決方案的威脅防禦能力。我們相信，Gartner 神奇象限再度給予我們優異的評價，證明我們長期以來不斷滿足客戶防護與效能需求的能力。」

採用了「XGen™ 防護」的趨勢科技端點解決方案，能提供跨世代融合的多層式威脅防禦技巧，包括：行為分析、機器學習與自動化回應。趨勢科技的機器學習技術結合了執行前檔案分析與執行中程序分析，可有效降低誤判，強化偵測率。尤其是執行中偵測技術能對抗日益普及的無檔案式攻擊與腳本式攻擊等這類專門躲避傳統攔截技術的威脅。

美國藥品福利管理公司 MedImpact Healthcare 副總裁資安長 Frank Bunton 表示：「趨勢科技端點防護平台所提供的縱深防禦是我們企業資安策略的一項重要基石。採用了趨勢科技的端點防護之後，讓我們降低了不少風險。我們很榮幸看到他們的產品能力受到肯定，我們認為這一點實至名歸。」

如欲免費下載一份完整的 Gartner 端點防護平台神奇象限報告，請至這裡Gartner 端點防護平台神奇象限報告

###

Gartner 免責聲明

Gartner 對其研究報告當中提及的任何廠商、產品或服務皆不為其背書，亦不建議科技使用者僅挑選那些擁有最高評價或其他評價的廠商。Gartner 研究報告內容為 Gartner 研究機構之意見，不構成事實之陳述。Gartner 對該研究不提供任何明示或暗示之擔保，包括任何適銷性或特定用途之適用性擔保。

[1]Gartner「端點防護平台神奇象限」(Magic Quadrant for Endpoint Protection Platforms)，作者：Ian McShane、Avivah Litan、Eric Ouellet 及 Prateek Bhajanka，日期：2018 年 1 月 24 日。

[2]趨勢科技自 2002 至 2018 年連續 14 次入選 Gartner 端點防護平台神奇象限的「領導者」象限，該報告原名為「企業防毒神奇象限」(Magic Quadrant for Enterprise Antivirus)。

網路犯罪集團環遊世界的省錢花招-旅遊門票、提領現金和旅行社(4-4)

2018 年 02 月 02 日2018 年 01 月 16 日趨勢科技 TrendMicro

網路上充斥著各種渡假旅遊的省錢花招。Brian Kelly 是一名前華爾街上班族，他利用信用卡的回饋和航空公司里程點數賺到了不少免費甚至超便宜的旅遊行程。其中一趟沿途經過迦納、盧安達、南飛的行程只花了他 5.6 塊美元。在此同時，也有另一位Reddit 用戶宣稱他去了一趟為期兩週的泰國之旅，原本需要 28,000 美元，最後只花了 326 美元。

前面兩個例子都算是合法的旅遊省錢花招，但如果是使用非法服務來節省旅費，那可就完全另當別論。

近幾年來，一些經由詐騙得來的旅遊證件、機票住宿熟客優惠專案，以及其他旅遊相關服務，在網路犯罪地下市場開始變得搶手。網路犯罪集團經營的手法是：以偷來的信用卡購買服務、以駭客手法取得熟客優惠帳號、以詐騙方式取得免費贈品、折扣與現金回饋兌換券等等，然後再將這些商品拿到地下市場販賣。儘管目前已有一些專門對抗這類不法活動的安全機制，但網路犯罪集團所提供的商品卻越來越多，藉此吸引買家的興趣。

黑暗網路、地下論壇、Telegram 頻道、甚至社群網路貼文，全都充斥著這類服務的廣告，只要您不在意可能觸法的話，各種便宜好康真是唾手可得。從各式各樣的旅遊證件與租車、機票、飯店住宿應有盡有。以下是我們在中國和俄羅斯地下市場以及某些英文論壇上看到的相關
服務,本文將分數篇刊出,主題包含:

這篇討論的是旅遊門票、提領現金和旅行社：

旅遊門票、提領現金和旅行社

其他會在地下網路販賣的還有旅遊門票。不限購買數量的迪士尼世界 (Disney World) 套票，在 Dream Market 上只需原價的三折。在旺季期間，迪士尼樂園兒童票的正常價格約在 107 至 168 美元之間，成人票約在 107 至 170 美元之間。

除此之外，網路犯罪集團也提供優惠的提領現金與洗錢服務。這些服務主要提供「白錢」和「黑錢」兩種交易。「白錢」是必要稅金已付清的錢，「黑錢」則是非法取得或未申報的收入。此類服務經常出現在東南亞國家，尤其是中國、香港、泰國、台灣及越南。提領「白錢」(從歐洲至東南亞或相反) 須支付 3% 費用，提領「黑錢」也就是洗錢 (從歐洲至東南亞或相反) 則須收費 35%。賣家會在 1 至 3 天內準備好這些交易的必要文件。

除此之外，有興趣的買家，也可直接到地下旅行社的網頁去查看有什麼便宜機票和飯店住宿優惠，價格通常只需正常價格的三到五折。某家旅行社提供的機票和住宿更提供 30% 的折扣。如同地下市場上所有其他非法交易一樣，有興趣的買家必須使用賣家經由 Skype、ICQ 或 Jabber 提供的連絡資訊進行交易。這些旅行社可幫網路犯罪集團在各國安排假期：索契、泰國、越南、保加利亞、希臘、阿拉伯聯合大公國、捷克、西班牙、多明尼加、以色列、賽普勒斯以及印度等等。

另外還有便宜的禮品卡和餐廳集點卡，從義大利麵、墨西哥菜到健康食品，旅客只需支付不到 15 美元，就能在旅途中使用這些優惠。

圖 15：一位賣家在 Dream Market 上販賣迪士尼套票，要價 200 美元。

圖 16：優惠的提領現金與洗錢服務廣告。

圖 17：在地下網路上提供服務的旅行社。 繼續閱讀

網路犯罪集團環遊世界的省錢花招-飯店和住宿篇(4-3)

2018 年 02 月 01 日2018 年 01 月 31 日趨勢科技 TrendMicro

前面兩個例子都算是合法的旅遊省錢花招，但如果是使用非法服務來節省旅費，那可就完全另當別論。

這篇討論的是飯店和住宿：

飯店住宿

有些飯店會回饋熟客一些累積點數，這些點數可用來升級房型、兌換免費早餐、免費 Wi-Fi 無線網路，或是延後退房等特殊禮遇。網路犯罪集團會竊取這類熟客帳號與點數，然後在網路上販賣。這些帳號及點數大部分都是在 Dream Market 上販賣，買家可向一些豪華飯店以高達 70% 的折扣訂房。除此之外，也有網路犯罪集團販賣宣稱可以在飯店免費住宿一晚的登入帳號，以及達到黃金級並擁有許多累積點數的帳號。

更有人販賣某家五星級飯店的三種高級帳號，可在其全球連鎖飯店享有獨家優惠與免費住宿，價格隨帳號上的累積點數而定。一個累積 10,000 點的帳號價格 800 人民幣 (120.88 美元)；20,000 點的帳號，價格 1,600 人民幣 (241.76 美元)；更貴的 30,000 點帳號價格 2,400 人民幣 (362.69 美元)。這些帳號都可兌換免費住宿一晚，房型價格視地點和商務等級而定。

某些大型企業的員工在一些全球連鎖大型飯店都可享有優惠折扣。這些商務折扣通常需要出示企業帳戶代碼，地下論壇上也經常出現這類代碼。只要拿到這類代碼，任何人都能以優惠價格訂房。

不過，飯店通常會要求客戶出示所屬企業的識別証才能享有折扣，但犯罪集團會利用偽造的企業識別証來取得這類優惠。其中一位賣家就提供了多家跨國企業的偽造識別證。這些偽造的企業識別證價格只要 1 人民幣 (0.15 美元)。

圖：提供免費住宿一晚的登入帳號以 5.99 美元的價格在 Dream Market 上販賣。

圖：賣家在 Dream Market 上販賣宣稱有免費升級和免費早餐的帳號。

圖：Dream Market 上販賣 Hyatt Gold Passport 帳號的廣告。 繼續閱讀

Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

2018 年 01 月 31 日2020 年 10 月 06 日趨勢科技 TrendMicro

瀏覽網頁時，電腦變得卡卡的, CPU 使用率突然飆高?當心是挖礦程式正利用你的電腦資源挖礦!全球每天新增 300個挖礦網站，挖礦綁架無所不在,繼星巴克之後,連 Youtube 也遭殃。若您覺得電腦 CPU飆高或者發燙跑很慢,出現疑似被植入挖礦程式的跡象,您可以免費下載 PC-cillin雲端版試用版於電腦上檢測確認

濫用Google DoubleClick廣告散播,Coinhive挖礦程式翻三倍 !台灣也受影響

趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量因某波惡意廣告行動而突然翻了三倍。我們發現，這些出現在高流量網站上的惡意廣告不僅使用了 Coinhive 挖礦程式 (趨勢科技命名為：JS_COINHIVE.GN)，還使用了另一個連結到某私人礦池的網頁式挖礦程式。駭客利用了 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。根據趨勢科技 Smart Protection Network™ 所看到的資料顯示，此波受影響的國家包括：日本、法國、台灣、義大利和西班牙，趨勢科技已將研究發現通報給 Google。另一方面，YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。YouTube表示已將相關廣告封鎖。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間，有更多時間挖掘加密虛擬貨幣。

延伸閱讀:惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

趨勢科技分析了含有惡意廣告的網頁，發現網頁被嵌入了兩段不同的挖礦腳本，其中一段是插入來自 DoubleClick 的廣告。雖然這些網頁所顯示的是正常廣告，但背後卻有這兩個挖礦程式在暗中執行。我們猜測，相較於入侵個別裝置，歹徒透過這些正常合法的網站廣告反而更能增加受害者數量。上述虛擬貨幣挖礦程式的流量在 1 月 24 日之後已經減少。

圖 1：惡意廣告行動的活動量變化 (1 月 18 至 24 日)。 繼續閱讀