社交工程（social engineering ） - 資安趨勢部落格

檢查Andorid Market 上真假 Angery bird 憤怒鳥的 4 種方法

2011 年 12 月 21 日2011 年 12 月 30 日趨勢科技 TrendMicro

上週六趨勢科技於台北辦公室舉辦家庭日活動，除了七百位員工之外，更有近兩百位小小趨勢人到場與三位創辦人同樂，讓大小員工一同周末放輕鬆，在雲端防毒基地- PC-cillin 研發總部樂翻天！趨勢科技台灣團隊運用巧思，融合現下潮流智慧型手機遊戲Angry Bird、海賊王，以及經典童話艾莉絲夢遊仙境等主題，打造專屬趨勢科技眷屬的雲端遊園地。風靡無數大人與小朋友的非 Angry bird主題館莫屬了。

憤怒鳥熱潮,使得惡意應用程式趁機作亂,比方說，真正的憤怒鳥在Android Market 網頁上顯示是由Rovio Mobile所開發的，但是惡意程式版本的開發者是Rovio Mobile。

有些標榜免費的「Angry Birds(free)」是真的憤怒鳥嗎?假Angry Bird “免費”應用程式, 會偷偷收取簡訊費,即使Google目前移除了這些應用程式，但不排除未來在以不同的名稱出現。以下這篇文章趨勢科技要教你分辨真假憤怒鳥的方法。

憤怒鳥 Angery bird 大人小孩都瘋狂圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡

作者：趨勢科技 Kervin Alintanahin（威脅分析師）

Android Market又再次被惡意軟體給入侵了，有些加值服務濫用程式（被趨勢科技偵測為ANDROIDOS_RUFRAUD.A）被偽裝成合法應用程式上傳到網站上。只有少部分使用者在Google將它們下架前安裝了這些惡意應用程式 – 這麼快的動作是因為有警覺的使用者和資安公司的快速回報。

雖然這個惡意應用程式目前已經被Android Market給移除了，我們還是必須持續的戒備著，以防止惡意應用程式在以後又用新的面貌出現。特別是Android提供特賣以慶祝他們的10億次下載，使用者更容易因為低價而去安裝其所提供的應用程式。

為了讓使用者可以在他們的Android上安裝更多很酷的應用程式又不會被惡意軟體所害，趨勢科技提出一些安裝應用程式之前要先記得的關鍵事項：

1. 檢查開發者的名稱

網路犯罪分子經常會利用某些應用程式的流行而去偽裝成它們。但是，因為它們不能以原始開發者的名義發佈，所以開發商的名稱可以說是合法軟體的好指標。比方說，真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的，但是惡意程式版本的開發者是Logastrod：

繼續閱讀

HTML5所帶來醜惡的一面 3-3

2011 年 12 月 13 日2011 年 12 月 15 日趨勢科技 TrendMicro 106 筆留言

這篇文章是HTML5三部曲的第三篇，也是最後一篇。你可以參考前面兩篇–HTML5 好的一面3-1面 HTML5所帶來不好的一面3-2。

歡迎來到趨勢科技HTML5迷你系列的最後一篇，以及所要探討的安全問題。今天，要談些什麼呢？對我來說，在HTML5的新功能中，以長期來看最可怕的安全擔憂是BITB（瀏覽器殭屍網路/傀儡網路 Botnet – Botnets in The Browser）。

有了HTML5，現在攻擊者可以建立一個在任何作業系統、任何地點、任何設備上都能運作的殭屍網路/傀儡網路 Botnet。而且因為大都是在記憶體內執行，幾乎不會用到硬碟，所以傳統以檔案為基礎的防毒軟體很難偵測到。JavaScript程式碼也很容易模糊化，所以網路入侵偵測系統（Network IDS）的特徵碼也很難去偵測它。最後，因為它使用的是HTTP，所以也可以輕易的通過大多數的防火牆。

下面是從我們新推出的HTML5攻擊報告中，節錄出關於基於瀏覽器的殭屍網路/傀儡網路 Botnet攻擊的部份：

以下是基於瀏覽器的殭屍網路攻擊的各個階段

感染：只要能讓使用者執行JavaScript就可以感染他的電腦。有非常多的方法可以做到這一點，包括XSS攻擊、點擊電子郵件或即時訊息內的連結、Black SEO黑帽搜尋引擎優化、社交工程攻擊、被入侵的網站，還有許多其他的方法。

持久性：一個基於瀏覽器的殭屍網路/傀儡網路 Botnet殭屍網路，本質上無法像傳統的殭屍網路那樣持久。只要受害者關閉瀏覽器，惡意程式碼就會停止執行。攻擊者會需要記住這一點，所以送給瀏覽器殭屍網路的任務設計也必須考慮到這些殭屍網路節點的過渡性質。要能夠很容易的進行再次感染是很重要的，所以使用像是被XSS攻擊所入侵的網站這樣的持續型攻擊媒介是最有可能的。其他的方法是結合點擊劫持（Clickjacking）和標籤綁架（Tabnabbing）。點擊劫持一開始用來讓受駭者去點選另外的網頁，雖然跟原本的網頁長得一模一樣。當受駭者瀏覽網頁時會看到他預期的內容，但在背景有惡意標籤頁在執行著。當攻擊者使用標籤綁架時，甚至可以想辦法延長惡意標籤頁的壽命，例如偽裝成常用的頁面，像是Google或 YouTube。更簡單的延長持久性的方法是將惡意網頁偽裝成一個互動遊戲。最好是那種被設計成讓遊戲玩家保持全天都開啟著，偶爾回來完成一些新任務的遊戲。

攻擊後果：這類攻擊可能會造成以下的可能性：

DDoS攻擊：攻擊者可以利用跨網域請求（Cross Origin Requests）去發送數以千計的GET請求到目標網站來造成阻絕服務。
發送發送垃圾郵件(SPAM)：在網站的聯絡頁面上使用設定不當的網頁表格，一個殭屍網路機器人就可以被用來製造垃圾郵件
開採比特幣：比特幣是地下網路犯罪份子會使用的新貨幣。目前有好幾個以瀏覽器為基礎的比特幣採礦機。

網路釣魚（Phishing）利用標籤綁架的方法，攻擊者可以讓惡意標籤頁在每次失去焦點時改變內容。因此，每當受害者返回該標籤頁時，都會出現不同的服務登入畫面，讓攻擊者可以竊取身分認證資料。

內部網路偵測：使用本報告中所描述的技術，攻擊者可以對受害者的內部網路做弱點掃描或是端口掃描。
成為代理網路：透過跟未來的使用者介面工具一樣的作法，一個被入侵系統的網路可以讓攻擊者做為攻擊或網路連線的中繼站，讓他們更加難以追查。
擴散：殭屍網路/傀儡網路 Botnet可以設計成含有蠕蟲病毒元件，利用XSS攻擊或資料隱碼（SQL Injection）在有弱點的網站間散播。

這代表攻擊者有了新的攻擊武器，而且在不久的將來我們也一定會看到這些攻擊數量的增加，尤其是被用來做目標攻擊。雖然傳統針對惡意軟體的防禦措施並不適合用來攔截這種新的媒介，但是有兩個免費工具可以提供很好的保護：

NoScript：NoScript瀏覽器擴充套件在資安界已經很有名了。這個出色的工具可以限制JavaScript和其他外掛在非受信任的網站上執行。
BrowserGuard：趨勢科技的BrowserGuard工具包括許多功能（包括先進的啟發式技術）可以阻止基於網頁的攻擊。

趨勢科技的報告 – 「HTML5概述：了解HTML5的攻擊方式」已經可以在這下載了。

＠原文出處：HTML5 – The Ugly作者：Robert （資深威脅研究員）

◎ 歡迎加入趨勢科技社群網站

HTML5所帶來不好的一面 3-2

2011 年 12 月 11 日2011 年 12 月 15 日趨勢科技 TrendMicro

這篇文章是HTML5迷你系列的第二篇。你也可以看看第一篇:探討新的HTML5標準。從那些能夠加強網站互動的新功能開始。

而在今天的文章裡，趨勢科技將帶領讀者看看這些HTML5功能可能被攻擊者如何的濫用。這裡並不打算詳盡的列舉出來，但是你如果有興趣知道更多的資訊，我們會在本系列第三篇發表關於HTML5攻擊的深入報告。

下面並沒有照特別順序的，我們要介紹五種可能會利用HTML5功能的攻擊：

點擊劫持（Clickjacking）更加容易：點擊劫持本身不是種新的攻擊。它的目的是竊取受害者的滑鼠按鈕點擊，然後導到攻擊者所指定的其他頁面。攻擊者的目的是讓使用者在不知情下點擊了隱藏的連結。目前，對於點擊劫持最好的伺服器端防禦措施之一，是被稱為Framekilling的技術。本質上來說，受到影響的網站可以利用JavaScript來看看自己是否在一個iframe中被執行，如果是的話，就拒絕顯示。這種技術已經在用在Facebook、Gmail和其他一些網站中。但是HTML5在iframe增加了一個新的沙箱屬性，這會讓網站停止執行JavaScript。在大多數情況下，這其實是比較安全的設定，但它也有缺點，就是會抵消目前對點擊劫持最好的防禦。

利用跨網域請求（Cross Origin Requests）或是WebSockets的端口掃描：有了HTML5，瀏覽器現在可以連到任何IP位址或網站（幾乎）的任何端口。雖然除非這目標的網站有特別的允許，不然並無法接收到連線的回應。但是研究人員已經表示，這類請求所花的時間可以用來判斷目標端口是打開還是關閉。這允許攻擊者可以直接利用瀏覽器對受害者的區域網路作端口掃描。

利用桌面通知做社交工程攻擊：我們在HTML5 好的一面的文章內有提到HTML 5的新功能 – 桌面通知。這些出現在瀏覽器之外的彈出視窗，其實是可以用HTML程式碼來客製化的。雖然這帶來了很不錯的互動可能性，但它也是社交工程攻擊，像是網路釣魚（Phishing）或是假防毒軟體等手法的寶庫。看看下面的圖片就可以想像攻擊者可以如何的利用這一個新功能了。

利用地理定位追蹤受害者：地理定位是HTML5新功能中最受注目的之一。因為安全和隱私考量，網站必須先得到使用者的允許才能夠獲得位置訊息。然而，就跟之前出現過的其他功能一樣，像是Vista的使用者帳戶控制，Android的應用程式權限，還有無效的HTTPS憑證等，這些需要使用者作決定的安全措施很少是有用的。而一旦有了授權後，網站不僅可以知道受害者的位置，而且還可以在使用者移動時也能即時的追踪他們。

表格篡改：另一個新功能讓攻擊者可以在被注入JavaScript的網站（例如XSS攻擊）改變該網頁上的表格行為。舉例來說，攻擊者可以改變一個網路商店的正常行為，不是將內容送到購買或是登入頁面，而是將使用者的身分認證送到攻擊者的網站。

這裡只列了五項 HTML5可能導致的新攻擊，趨勢科技只是概略的描述。請繼續收看這迷你系列的最後一篇 –HTML5所帶來醜惡的一面 3-3。

＠原文出處：HTML5 – The Bad作者：Robert（資深威脅研究員）

@延伸閱讀:

◎ 歡迎加入趨勢科技社群網站

假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費

2011 年 11 月 28 日2015 年 01 月 23 日趨勢科技 TrendMicro

在上個月底，趨勢科技報導了網路問卷騙局(Free Starbucks Coffee 星巴克FACEBOOK 臉書粉絲頁請你免費喝咖啡? 是山寨版!!當心手機費暴增)，還有這種威脅如何跨越平台，從社群網路延伸到了行動裝置上。那時候我們報導了一個透過Facebook來散播的網路詐騙，它會用提供免費星巴克咖啡的訊息來引誘使用者按下連結。