拍賣網站的 iPhone 特價超便宜?!拆穿假購物網站的四個破綻

想在送禮季節找更便宜的iPhone 4S嗎?要小心,因為網路犯罪分子也會想要騙你的網路金融憑證。我們最近發現一個網路釣魚(Phishing,專門針對想在eBay上購買iPhone 4S的使用者。

 

這個攻擊包含了假的eBay iPhone 4S拍賣網頁。下面的截圖是假網頁的樣本,還有它所複製的正版eBay網頁內容。

真的eBay 拍賣網頁,使用美元做為貨幣

 

假的eBay 拍賣網四個破綻:
1.使用歐元為貨幣。
2.假網頁上標示的價格便宜得多。
3.網路犯罪分子選擇複製的是有良好評價的賣方。
4.假網頁內的所有連結都是連到正常網站,除了「Buy It Now(立即購買)」以外。

         繼續閱讀

關於手機應用程式Carrier IQ的真正問題

最近網路上一直在討論Carrier IQ(一個被預載在手機裡用去監控網路和手機性能的應用程式)和跟它有關的個人隱私問題。

在關於Carrier IQ的報導裡提出了許多問題,關於它所收集的資料,它不經由使用者同意就預裝在某些手機的情形,還有使用者可以怎麼去處理它。

跟據這些報告,Carrier IQ會記錄像是收發簡訊、進行網路搜尋和被鍵入的電話號碼等資訊。這些行為都在Trevor Eckhart所發表的影片內被證實,他是最先對Carrier IQ提出質疑的研究人員。

全都是服務的一部分

讓我們想一想Carrier IQ的目的。它是設計來監看網路和手機性能的應用程式。這些電信業者可以經由是否正常提供服務來評估自己的表現,像是簡訊、電話、網路還有其他的服務。

以這為前提,我們可以說收集跟上述手機功能相關的使用情況是很有道理的,甚至對電信業者來說是必要的,才能有效地監控他們所提供的服務跟解決任何問題。

我們就這問題跟趨勢科技的研究人員Rik Ferguson討論過,他指出Eckhart的影片是在詳細除錯模式下進行的,並不真正代表Carrier IQ真正被安裝在手機上的行為。根據開發商的說法,Carrier IQ的確會記錄發簡訊時的按鍵,但是Carrier IQ只是去辨認按鍵順序以用來執行本地端命令。像是當你打電話給技術支援時,鍵入「現在上傳診斷結果」。它還可以監控傳入的簡訊,不過是針對電信商傳來的訊息以讓Carrier IQ執行指令。 繼續閱讀

檢查Andorid Market 上真假 Angery bird 憤怒鳥的 4 種方法

憤怒鳥 Angery bird

上週六趨勢科技於台北辦公室舉辦家庭日活動,除了七百位員工之外,更有近兩百位小小趨勢人到場與三位創辦人同樂,讓大小員工一同周末放輕鬆,在雲端防毒基地- PC-cillin 研發總部樂翻天! 趨勢科技台灣團隊運用巧思,融合現下潮流智慧型手機遊戲Angry Bird、海賊王,以及經典童話艾莉絲夢遊仙境等主題,打造專屬趨勢科技眷屬的雲端遊園地。風靡無數大人與小朋友的非 Angry bird主題館莫屬了。

憤怒鳥熱潮,使得惡意應用程式趁機作亂,比方說,真正的憤怒鳥在Android Market 網頁上顯示是由Rovio Mobile所開發的,但是惡意程式版本的開發者是Rovio Mobile

有些標榜免費的「Angry Birds(free)」是真的憤怒鳥嗎?假Angry Bird “免費”應用程式, 會偷偷收取簡訊費,即使Google目前移除了這些應用程式,但不排除未來在以不同的名稱出現。以下這篇文章趨勢科技要教你分辨真假憤怒鳥的方法。

憤怒鳥 Angery bird 大人小孩都瘋狂 圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡
憤怒鳥 Angery bird 大人小孩都瘋狂 圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡

作者:趨勢科技Kervin Alintanahin(威脅分析師)

 Android Market又再次被惡意軟體給入侵了,有些加值服務濫用程式(被趨勢科技偵測為ANDROIDOS_RUFRAUD.A)被偽裝成合法應用程式上傳到網站上。只有少部分使用者在Google將它們下架前安裝了這些惡意應用程式 – 這麼快的動作是因為有警覺的使用者和資安公司的快速回報。

 雖然這個惡意應用程式目前已經被Android Market給移除了,我們還是必須持續的戒備著,以防止惡意應用程式在以後又用新的面貌出現。特別是Android提供特賣以慶祝他們的10億次下載,使用者更容易因為低價而去安裝其所提供的應用程式。

 為了讓使用者可以在他們的Android上安裝更多很酷的應用程式又不會被惡意軟體所害,趨勢科技提出一些安裝應用程式之前要先記得的關鍵事項:

1. 檢查開發者的名稱

網路犯罪分子經常會利用某些應用程式的流行而去偽裝成它們。但是,因為它們不能以原始開發者的名義發佈,所以開發商的名稱可以說是合法軟體的好指標。比方說,真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的,但是惡意程式版本的開發者是Logastrod 

真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的
  繼續閱讀

不要騙我,SIRI

作者:趨勢科技Ben April (資深威脅研究員)

Applidium的研究人員最近發表了一個有趣的報告,是關於Siri使用的通訊協定。每一次使用者對Siri發出指令,iPhone 4都會將這指令的語音壓縮後送回Apple的伺服器來轉換成文字。然後,對應成iPhone可以理解的命令再送回手機。

這個通訊協定以HTTPS為基礎,想要攔截或是欺騙它需要有一個有效的SSL憑證給 guzzoni.apple.com或是想辦法讓設備認為你的憑證是有效的。然後還必須劫持DNS,讓手機認為那個你所控制的IP位址就是guzzoni.apple.com。這篇Applidium的文章解釋的非常清楚,所以就讓我們來談談可以做些什麼。

我先從正面、有創造性的事情開始。理論上,如果你有一個有效的iPhone 4S ID,那應該可以很容易的將Siri移植到任何設備。只要這個設備可以錄音,而且又裝了可和網路連線的應用程式就行了。這包括了筆記型電腦、平板電腦、智慧型手機、甚至冰箱和洗衣機。

你甚至可以建立自己的Siri伺服器來和已啟動Siri的設備交談。就可以應用在日常生活上,像是執行「開燈」、「關車庫門」等指令。這也可以跟工作整合:想像一下,將這系統和你的例行工作結合,可以讓你的工作流程照你的語音命令來執行。任何可以寫成腳本的事情都可以用Siri來執行。

不幸的是,也有可能拿來做一些不那麼善良的事情。比方說,我們假設攻擊者已經成功地在設備內加入了自己的憑證,而且也用某種方法控制了DNS的回應,而這二者都是要攔截Siri通訊的必要條件。

最可能出現的就是中間人攻擊(man-in-the-middle),可以截獲所有Siri接收的指令和回應。單單這麼做可能沒有用,但是你發給Siri的指令可能會得到違背你原意的動作。很快的,我們就可以很輕易的變更該有的回應,像是改變股市行情,或是想要打給某個聯絡簿上的同事,卻被置換了指令。所以可以將通話先接到不同的號碼,再轉發給原本你想聯絡的對象,然後記錄談話內容。這需要先能了解受害人的地址簿,但是對一個真正想要攻擊的人來說還是能做到的。

Apple有許多方法可以解決這個問題。最完整的作法就是使用一個盤問與回應(Challenge-Response)認證系統。要求伺服器的 SSL金鑰要能對應給定的金鑰ID,或是比較可行的,使用帶有編號的金鑰。無論是哪種方式,如果真的出問題的時候,只有Apple有能力去解決它。

@原文出處:Siri, Don’t Lie To Me

 

◎ 歡迎加入趨勢科技社群網站

假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費

在上個月底,趨勢科技報導了網路問卷騙局(Free Starbucks Coffee 星巴克FACEBOOK 臉書粉絲頁請你免費喝咖啡? 是山寨版!!當心手機費暴增),還有這種威脅如何跨越平台,從社群網路延伸到了行動裝置上。那時候我們報導了一個透過Facebook來散播的網路詐騙,它會用提供免費星巴克咖啡的訊息來引誘使用者按下連結。

 趨勢科技最近看到一個網路詐騙和之前報導過的非常相似,只有些小地方的不同。第一,它並不是透過Facebook散播,新發現的這個是透過垃圾郵件(SPAM)來傳遞:

點擊垃圾郵件中的連結,最後會連到下面這個網頁:

繼續閱讀