分類: 社交工程(social engineering )

“無法區分詐騙信件”網路釣魚得逞關鍵-從 eBay外洩百萬個資談社交工程

趨勢科技 TrendMicro

 

國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。

隱私 DLP pivacy

如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。

根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。

 

社交工程在eBay入侵外洩事件中扮演重要角色 

如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ,這已經成為網路犯罪戰略的一部分:

  • 社交工程,也就是用欺騙的方式,現在網路犯罪分子著重於金錢更甚於出名,所以大量的加以使用。它可能會用各種的形式出現。趨勢科技TrendLabs的報告 – 「社交工程如何運作」強調了常用的招數,例如假的「必點」社群媒體文章,要求立即採取行動的可疑電子郵件,和賽季或節日相關的太過優惠促銷等。
  • 與此同時,員工並沒有接受足夠的安全意識培訓。一份來自Enterprise Management Associates在2014年的研究發現,有超過一半的工作者沒有接受任何的安全意識培訓(SAT)。該報告調查了各種規模企業的600人。沒有安全意識培訓,人們可能容易在不安全的地方輸入認證資料或點入惡意連結
  • 並不是只有一般網路犯罪份子會利用社交工程(social engineering 。國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。 

在eBay案例中,社交工程(social engineering 做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。

攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。

eBay外洩事件的長期影響:更多社交工程 

社交工程(social engineering 會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。

社交工程(social engineering 會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。

「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」

魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。

企業可以做些什麼來避免像eBay這樣的事件?

eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:

  • eBay友善的請求其所有用戶重置密碼。在這種情況下,強迫大家改變登錄資料會是比較好的作法,因為如果可以自由選擇,很多人不會這樣做。 繼續閱讀

釣魚網站以世界盃足球賽為餌,收集信用卡等個資

趨勢科技 TrendMicro

針對2014年巴西世界盃足球賽的垃圾郵件(SPAM)  開始傾巢而出。比方說試圖用獎金500萬巴西幣(相當於220萬美元)的樂透彩來誘騙使用者。

世足賽 足球

圖一、彩券釣魚郵件

像這樣的典型網路釣魚(Phishing)攻擊分為三個階段。首先,使用者連上釣魚網站,個人資料被收集。在這起案例中,被竊取的資料包括:

  • 信用卡號碼
  • 信用卡檢查碼(CVV)
  • 到期月年
  • 發卡銀行
  • 網路銀行密碼
  • 使用者電子郵件地址 

在第二階段,一PHP檔案會將所有擷取的資料儲存在惡意網站上的一個文字檔。

圖二、PHP程式碼

在這起案例中,文字檔名為CCS.TXT。在第三階段,這檔案被寄到攻擊者所控制的一個電子郵件地址。

圖三、儲存的資料

趨勢科技已經發現有其他攻擊使用類似誘餌,但他們更明顯地跟世界盃相關。下面例子是我們在約一個月前首次看到:

圖四、世界盃相關的釣魚網站

繼續閱讀

世足賽詐騙:銀行木馬BANLOAD加入FIFA世界杯足球賽

趨勢科技 TrendMicro

本部落格發表一篇關於詐騙網站誘騙使用者購買熱門巴西世界杯足球賽門票的文章。最近又有另外一種威脅利用世界杯足球賽作為社交工程(social engineering 誘餌,這一次是銀行木馬程式。

世足賽

銀行木馬程式在拉丁美洲相當盛行,所以此種威脅也很及時地去利用世界盃的熱潮。一線上票務網站的客戶會收到一封電子郵件,內容是提供抽獎的機會。然而,令人驚訝的是,這郵件內包含收件者的個人資訊 – 收件者註冊時所輸入的相同資料。見下方郵件截圖:

圖一:郵件內容聲稱收件者可參加世界杯門票抽獎,透過點入連結開始。 繼續閱讀

世足賽詐騙:網購三張葡萄牙對德國的門票,結果一張票也沒收到

趨勢科技 TrendMicro

隨著2014年在巴西舉辦的世界杯足球賽接近,我們也看到越來越多威脅利用這賽事作為誘餌。我們最近談到巴西的網路犯罪分子利用此事件來散播惡意軟體,但我們發現還不只如此:我們看到了假FIFA網站在出售比賽門票。

世足賽

其中一網站甚至在不同國家有不同的子網域,如下圖所示:

 

圖一、詐騙網站的多個子網域

(點擊上圖放大)

在目標放在巴西使用者的網站上,球迷可以用8,630.20巴西幣(略低於3900美元)的價格買到最後決賽的門票。這價格比FIFA網站上的官方價格還要高出近4000%。

在一巴西的抱怨網站上,一名使用者說他在這網站上買了三張葡萄牙對德國的門票,結果一張票也沒收到。受害者還說此詐騙網站沒有留下聯絡號碼。同一網站上的另一名抱怨者說,要聯絡這詐騙集團的唯一方法是透過聊天室或電子郵件。 繼續閱讀

2014 巴西世界杯足球賽病毒搶先開踢

趨勢科技 TrendMicro

網路犯罪份子非常擅長去利用引起人們好奇心的世界性事件。最新鮮的例子就是即將到來的2014年巴西世界杯足球賽。雖然全世界都在等待它的到來,網路犯罪分子可不會浪費時間,現在就推出了新威脅在世界各地找尋受害者。

搜尋結果導致惡意軟體和廣告軟體

趨勢科技最近看到一個檔案名為Jsc Sport Live + Brazil World Cup 2014 HD.rar,裡面包含了檔案Brazil World Cup Streaming 2014.exe。這是一個被偵測為BKDR_BLADABIN.AB的後門程式。

這支後門程式是BLADABINDI的變種,咸信是由nJRAT所建立(一個已知的遠端存取工具)。它可以執行來自遠端惡意使用者的命令,有效地攻擊被感染的系統。它也可以進行螢幕截圖,用來截取敏感資料。

足球遊戲玩家們也成為了目標。進行世界杯相關搜尋會出現一個所謂的FIFA 2014遊戲序號產生器,但這所謂的序號產生器其實是被偵測為ADW_INSTALLREX的廣告軟體。

2014 巴西世界杯足球賽病毒搶先開踢

圖一、出現序號產生器的網站

繼續閱讀