就今年教宗選舉及教宗就職的新聞熱潮來看,網路犯罪者趁此機會發動攻擊一點也不令人意外。最近趨勢科技發現了許多以新任教宗方濟 (Pope Francis) 為主旨的垃圾郵件(SPAM)。
這些電子郵件利用新任教宗以及天主教庭引起的一些爭議來吸引收件人的好奇心。為了讓使用者相信這些郵件的真實性,它們還假冒了 CNN 的名義。以下是某個電子郵件的擷取畫面:
值得注意的事,郵件的內容原本應該是關於教宗「方濟」才對,但下面這封垃圾郵件卻稱新任教宗為「本篤」(也就是前任教宗的名字)。
郵件內附的連結會將使用者導到已遭 Blackhole Exploit Kit (BHEK) 漏洞攻擊套件感染的網站。Blackhole Exploit Kit 已廣泛用於散布各種惡意程式,包括:
好奇心讓你的Facebook成為詐騙貼文宣傳管道!近期Facebook上廣佈兩個分別名為「瘋了!我不敢相信,自己看看吧!」以及「x!太失望了,你看看」的貼文,並附上看似影片連結的Linekee短網址誘惑民眾點選,要求民眾輸入Facebook帳號密碼,以及特定組合鍵。 輸入後使用者將會看到特定遊戲廣告。同時此一貼文也被轉貼到使用者的Facebook頁面上,令使用者不堪其擾。
根據趨勢科技的調查,七成的網友看到好玩遊戲時會認真勾選隱私資料的分享權限,但同時也有近五成的網友僅花10 秒的時間閱讀隱私條款後按下我同意,顯示網友對聳動標題、心理測驗或遊戲的連結,仍不具有抵抗力。
網路犯罪分子利用Google眼鏡熱潮
網路犯罪分子都會想要利用流行而新鮮的事物。這裡有個案例分享,萬眾矚目的Google眼鏡也被用來當作社交工程陷阱( Social Engineering)誘餌,好引誘無辜受害者進入騙局。
趨勢科技發現當搜尋「free Google Glasses」(免費Google眼鏡)時,出現的前幾名搜尋結果中有一個是吸引人的YouTube連結,標題是「{FREE}] Google Project Glass [[FREE GOOGLE GLASSES]」:
這影片複製了原本的Google眼鏡在YouTube上的行銷影片。它還包括如何獲得免費Google眼鏡的資訊,參考下列截圖:
影片下面的文字寫著:
原文:
The future is here!
Google Project Glass is Augmented Reality Glasses
The glasses is not available for public,but it’s possible to get similar glasses for free!
Check it out: (移除了惡意連結)
譯文:
這就是未來
Google眼鏡是擴增實境眼鏡
這眼鏡尚未公開推出,但有機會可以免費獲得
可以到:(移除了惡意連結)
一旦使用者連到該網站,並遵循了如何獲得眼鏡的說明後,就會看到一個包含三個連結的網頁。點入這些連結本來應該會連到如何成為Google眼鏡測試者的說明頁面。
但其實點入這些連結只會將使用者帶入各種問卷調查騙局。有些甚至會透過輸入電話號碼和「確認碼」(透過簡訊發送到使用者自己的手機)到一個網站,讓使用者訂閱不必要的加值服務。
目前,使用者並無法獲得Google眼鏡。只能在八個多月前的2012 Google I/O上預購,而且一個如何創意使用Google眼鏡的活動才剛結束。趨勢科技建議使用者不要點入任何不熟的連結,尤其是那些好到無法置信的交易。(想到預購價要1500美元,這的確好到不可置信)。使用者同時也要小心可能會有騙局利用#IfIhadGlass活動。
趨勢科技已經封鎖了所有相關網站以保護使用者。
@原文出處:Cybercriminals Hop On the Google Project Glass Bandwagon
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎ 歡迎加入趨勢科技社群網站
Sherry在深夜裡收到一則從親密好友所傳來的Twitter私密訊息 – 「有沒有看過你的這張照片呀,哈哈」,還包含一個短網址。因為這位朋友是個攝影師,也有她的照片。所以收到這訊息並不奇怪。於是她點了進去,賓果!這個常用的社交工程陷阱( Social Engineering),讓她就此中了clickjacking點擊劫持。你猜到了嗎?這假造朋友發的訊息,裡面的網站連結導到一個會偷密碼的假Twitter網站。
註:點擊劫持(clickjacking)是一種將惡意程式隱藏在看似正常的網頁中,並誘使使用者點擊的手段。比如受害人收到一封包含一段影片的電子郵件,但按下「播放」按鈕並不會真正播放影片,反而是被誘騙到另一個購物網站。
假的 Twitter 登錄頁面,一直出現密碼錯誤訊息,其實密碼已經被偷了
當Sherry從iPad點入這私密訊息裡的網頁連結,行動瀏覽器帶她到看來像是Twitter的登錄頁面,,即使她覺得很奇怪,為什麼照片沒有出現在Twitter應用程式瀏覽器內。正在看電視影集的她心不在焉的,試了幾次輸入帳號密碼,「假Twitter網站」都顯示密碼錯誤。她很沮喪也放棄了,就上床睡覺了。但這錯誤的嚴重性一直到幾個小時之後就浮現了。
點擊劫持的後果
Sherry睡不著,看了看手機,凌晨四點半。手機出現訊息通知,有則來自朋友的Twitter私密訊息,問說:「你傳給我的是垃圾訊息嗎?還是你真的有我好笑的圖片?」”哦,不!我做了什麼?”Sherry 知道麻煩來了,只因為她點了那個連結。
一整天裡Sherry收到數十封簡訊、Twitter推文、電子郵件和Facebook留言,告訴她有人駭入她的Twitter帳號。
因為登錄到「假Twitter」網站,而給了非法份子Twitter帳號密碼。他們就可以登錄到Sherry真正的Twitter帳號,發送一樣的垃圾訊息跟惡意連結 – 「有沒有看過你的這張照片呀,哈哈」給所有關注我的人,讓這起犯罪攻擊繼續循環下去。這就是所謂的clickjacking點擊劫持。通常出現在社群媒體的動態消息、塗鴉牆和私密訊息(Facebook、Twitter、Google+等等),讓不知情的人點入會竊取密碼和資料的網站。
這結果可能很災難性,如果你的銀行帳號和社群媒體帳號使用相同密碼的話。網路犯罪份子可能會登錄到銀行帳戶,並在幾小時內偷走被害者的錢、身份認證以及盜刷信用卡。
如果你已經中了點擊劫持該怎麼辦?
邪惡伎倆透過免費或折扣的口號來吸引人一向都非常有效,因為人們都喜歡便宜。更何況,如果是個常常聽到過的產品,像是Windows 8。
趨勢科技在去年報導過一些假Windows 8序號產生器,偽Windows 8防毒軟體,以及在這產品推出時出現的網路釣魚郵件。雖然它已經推出好幾個月了,但我們還是發現有些網路壞蛋繼續利用這個Windows 8來吸引使用者上鉤。不過他們這次提供的是Windows 8啟動程式,利用了微軟提供升級Windows 8限定優惠折扣的消息。
根據趨勢科技的研究,有好幾個網站使用Windows 8作為關鍵字。聲稱提供免費的Windows 8啟動程式,但實際上是假貨(趨勢科技偵測為HKTL_KEYGEN)。
趨勢科技所監視的其他網站也有提供免費的Windows 8啟動程式,號稱為「Windows 8 Activator Loader Extreme Edition 2013」。
