隨著東京奧運賽事白熱化,臺灣選手們接連傳來捷報,詐騙集團也伺機搶搭奧運熱潮!根據全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 統計,今年7月已為全球攔截逾1億筆惡意網址,其中包括東京奧運開幕迄今,高達上萬筆與奧運相關的惡意網址四處流竄。
詐騙集團正利用民眾對於奧運賽事的高關注度,打造假冒的線上轉播串流平台,聲稱提供線上即時轉播服務,要求使用者付費進行金錢詐騙;或是在使用者點擊假的賽事轉播平台網址連結後,於未經同意或未知的狀況下,暗中在裝置上下載並安裝惡意廣告程式,讓使用者裝置暴露於風險之中!趨勢科技提醒民眾,請支持並使用合法轉播平台觀看賽事,切勿隨意點選可疑與來路不明的連結,避免裝置中毒與個資外洩的資安風險。
繼續閱讀詐騙集團看準民眾熱衷奧運賽事,不斷將慣用的假貼圖以各式手法重新包裝,推出LINE詐騙貼圖「世界球后戴資穎勇闖金牌戰」、「奧運黃金羽球麟洋配」企圖騙個資。除了當前的奧運熱,還有「媽祖防疫詐騙貼圖」及緊接而來的「父親節慶祝假貼圖」紛紛出籠,趨勢科技呼籲當民眾收到相關訊息時,應常保警覺心並多加留意真實性,避免落入陷阱,將個資與錢財雙手奉上給不肖份子!
「小女孩帶著呼吸面罩抱著無尾熊,身後全是野火蔓延」在廣為流傳的澳洲森林大火災情照片裡,這張在社群流傳的照片被發現根本是合成假照。
澳洲ACCC表示,野火相關的詐騙事件,從2019 年9月以來,就陸續接獲近百件的檢舉通報,包括假的線上募資平台,冒充野火的受災戶或甚至死者家屬,直接透過網路社群行騙。
去年的亞馬遜森林大火,同樣出現拿出處不明的動物屍體照極力渲染的假新聞。
2018年台灣也有一起「南部淹水,民眾分享10人,集團捐款千元」王品集團遭冒用」案例
這幾年國際間災難頻傳,從南亞海嘯到巴基斯坦地震、卡崔娜風災,成千上萬的善心捐款,卻讓網路釣客半途攔截。或出現偽造的紅十字會釣魚網站詐財
接到來路不明的電話,請你捐款或提供個人資料,請再三確認,不要輕易上當!!
趨勢科技提醒網友捐款時請直接輸入官方網址,不要直接從搜尋結果或是信件, FACEBOOK 分享中直接點選連結 。
每當災難發生時,各類利用人們愛心進行詐騙的案例層出不窮:
各類利用人們愛心進行詐騙的案例層出不窮:
2006 年泰國禽流感,木馬藏在紅十字會網站;2009年 H1N1新流感出現南美總統集體得 H1N1 新流感!? 假新聞連結,偷個人資料木馬藏匿其中,利用時事大作文章的不只是媒體的專長,更是駭客病毒的一貫伎倆, 311日本大地震時黑心詐騙紛出籠,假新聞,假募款,假臉書分享…;美國大選時的喝醉的歐巴馬”,和可能導致資料外洩的美國 2012 年總統大選 App 程式;在台灣則有這個文章看了讓你多活十年/新年度行政機關辦公日曆表( 這類搏感情的信件,誤點率很高) 。
當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候。 他們會建立假網站讓人們點擊、下載或開啟檔案,但實際上夾帶惡意軟體,可能用來偷看上網習慣,或在電腦裡開後門以及竊取個人資料。
當發生大新聞時,你可能會急著到網路上找尋更多相關消息。但這同時也是網路犯罪分子上工的時候
以下的歷年案例供大家提高警覺:
2004年起國際間災難頻傳,從南亞海嘯到巴基斯坦地震、卡崔娜風災,成千上萬的善心捐款,卻讓網路釣客半途攔截。2005 年2008年皆 出現偽造的紅十字會釣魚網站詐財,趨勢科技提醒網友捐款時請直接輸入官方網址,不要直接從搜尋結果或是信件, FACEBOOK 分享中直接點選連結.
詐騙集團用Facebook 與 Line 雙管齊下騙個資!這次還以南部水災愛心捐款為名,冒用王品牛排名義假募款騙個資!
相關報導:「南部淹水,民眾分享10人,集團捐款千元」王品集團遭冒用」
2015 年尼泊爾大地震
2015年趨勢科技發現一波藉由尼泊爾地震事件藉機詐騙捐款的信件:Spammers Use Earthquake in Nepal for Scam Donation Funds,信件出現: ‘Nepal earthquake’ 和 ‘Help Nepal’ 字樣,藉此讓用戶以為來自合法機構. ,一旦受害人依照指示回覆你想要捐款的數目,即會收到如何匯款的通知。
2013年波士頓馬拉松爆炸案也難逃一劫,緊接其後的一則德州爆炸案居然也被垃圾郵件集團拿來大做文章。
1:搜尋日本地震相關新聞,惡意網頁守株待兔
關心日本地震最新報導的網友,點擊相關新聞時,卻被事前埋伏的惡意網頁攻擊。趨勢科技已經發現了數個網址被植入假防毒軟體,一旦點選其中的頁面,會出現警告感染了惡意軟體的警訊。如果你同意下載任何一種他們促銷的防毒軟體,最後很有可能感染上的就是你試著要避開的惡意軟體。 這就是所謂的Black_Hat SEO 搜尋引擎毒化,簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站,一般我們叫 SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。
目前這個手法被假防毒軟體廣為採用,用當時網友關心的議題,使用Black_Hat SEO 搜尋引擎毒化手法,將含有假防毒軟體的惡意頁面利用暗黑手法排到搜尋結果頁面的前幾條。
2:FACEBOOK 上的惡意 Youtube 影片分享
臉書上有人分享日本大地震影片,像是“Japanese Tsunami RAW Tidal Wave Footage!”千萬不要輕易點擊,這個看似影片的連結只是張含有連結的圖片,該假頁面含有病毒HTML_FBJACK.A,會引導受害者到惡意網頁:
hxxp//www.{BLOCKED}u.fr/view.php?vid=Le-plus-gros-Tsunami-du-Japon-depuis-20-ans.
接著會要求使用者輸入手機號碼,還會自動幫受害者按下臉書的”讚(LIKE)”按鈕,然後自動幫你貼分享網址到你的塗鴉牆,企圖讓你的親友團受駭.
3:捐款詐騙,假冒聯合國兒童基金會 UNICEF:
‘HOPE FOR JAPAN NOW, DONATE TO THE EARTHQUAKE & TSUNAMI VICTIMS’
信件鼓勵收件者即使只有一分錢或一塊錢,對日本孩子而言都不嫌少
還在信中要求輸入收件者的電子郵件帳號和住址等私密資料. 趨勢科技呼籲大家提高警覺,根據以往的經驗四川大地震,南亞海嘯時也曾出現過冒用公益機構,如紅十字會名義的詐欺案例,大家的愛心千萬不要被利用
趨勢科技前瞻威脅研究 (FTR) 團隊最近取得了一個新的 Rootkit家族樣本。此 Rootkit 家族的名字叫做「Umbreon」(與第 197 號神奇寶貝「月精靈」同名),會攻擊 Intel 和 ARM 處理器的 Linux 系統,因此一些內嵌式裝置也可能遭殃。(註:此 Rootkit 還真符合這隻神奇寶貝的特性,因為月精靈喜歡躲在黑漆漆的夜裡,所以與 Rootkit 的特性吻合。)
我們已針對這個 Rootkit 進行了詳細分析,並且將樣本提供給業界來協助資安界攔截此威脅。
編按: Rootkit是一種技術,用途在修改系統核心以便隱藏特定的檔案或是處理程序,甚至是登錄值.也因此常常會被病毒拿來利用作為躲避追查的手法之一
Umbreon 的發展始於 2015 年初,但其作者至少從 2013 年起即活躍於網路犯罪地下網路。根據一些駭客在地下論壇和 IRC 頻道上的說法,Umbreon 非常難以偵測。我們的研究已找出該 Rootkit 的運作方式以及它如何躲藏在 Linux 系統當中。
Umbreon 是經由駭客手動安裝到受害裝置或伺服器上。安裝之後,駭客即可經由該程式來遙控受害裝置。
何謂 Ring 3 Rootkit?
Rootkit 是一種難以偵測及發現的持續性威脅。它的功用就是要讓自己 (與其他惡意程式) 能夠躲過系統管理員、資安分析師、使用者、掃瞄引擎、鑑識分析以及系統工具的偵測。此外,它也可用來開啟一道後門,或者透過幕後操縱 (C&C) 伺服器讓駭客從遠端暗中遙控及監控受害機器。
這類程式有幾種執行模式,分別具備不同的存取權限:
此外,一些研究也發展出一種在主機板或其他裝置的某些晶片上執行的 Rookit,這類 Rootkit 的執行模式為 Ring -3。在越底層執行的 Rootkit 就越難偵測及處理,但這並不表示 Ring 3 的 Rootkit 就很容易清除。
Ring 3 (也就是在使用者模式執行的) Rootkit 雖不會在系統上安裝一些系統核心物件,但卻會攔截 (hook) 系統的核心函式庫,這些函式庫是一般程式呼叫系統重要功能的介面,例如:讀/寫檔案、產生執行程序、傳送網路封包。因此,就算是在使用者模式下執行,這類 Rootkit 也可能有辦法監控甚至改變作業系統的運作。
在 Linux 系統上,當某個程式呼叫 printf() 這個函式時,該函式會再呼叫同一函式庫內一連串的其他函式,如:_IO_printf() 和 vprintf()。而這些函式最終會呼叫 write() 這個系統呼叫 (syscall)。一個 Ring 0 的 Rootkit 會直接在核心模式下攔截這個系統呼叫 (但這需要在系統當中插入核心物件/模組),反觀一個 Ring 3 的 Rootkit 只需攔截使用者模式下的某些中間函式,不需撰寫核心模式下的原生程式碼 (因為這有相當的難度)。
跨平台功能
Umbreon 可在三個不同平台上執行:x86、x86-64 和 ARM (Raspberry Pi)。這套 Rootkit 的可攜性非常高,因為它並未用到任何綁定平台的程式碼:這套 Rootkit 除了一些輔助工具是以 Python 和 Bash 等腳本語言撰寫之外,純粹是以 C 語言撰寫。
趨勢科技判斷作者應該是刻意這麼做,好讓 Umbreon輕鬆支援前述三種平台。
後門認證機制
Umbreon 在安裝過程當中會在 Linux 系統上建立一個使用者帳號讓駭客經由後門進出受害的系統。這個後門帳號可經由 Linux 支援的任何認證機制 (如 SSH) 來存取,只需透過一個外掛的認證模組 (PAM) 即可。
該使用者帳號的群組識別碼 GID (group ID) 很特別,因此可讓 Rootkit 判斷試圖經由它進入系統的是不是駭客本人。由於 Umbreon 已攔截了 libc 函式庫內的函式,因此系統管理員無法在 /etc/passwd 檔案中看到這個使用者帳號。下圖顯示透過 SSH 來存取此後門帳號時會看到的畫面:
圖 1:SSH 登入畫面。 繼續閱讀
奧林匹克這樣的全球運動賽事,一向是網路犯罪集團的最愛。對他們來說,沒有什麼比奧林匹克更適合用於垃圾郵件、網路釣魚或社群媒體詐騙的題材。奧運是一項真正全球化的運動競賽,因此以奧運為題材的網路攻擊也將行遍全球。
從網路犯罪分子的角度來看,以超級盃為題材的網路攻擊,除了美國之外無其他地區適用。以世界盃足球賽為題材的攻擊,則除了美國之外,幾乎全球適用。反觀以奧林匹克運動會為題材的網路攻擊,卻是全球通用,就連南極洲也肯定有一些忠實的觀眾。
巴西因為主辦2016年夏季奧運會而再次成為體育世界的焦點。巴西舉辦2014年世界杯足球賽的成功證明他們具備舉辦國際賽事的能力,也可以看出網路犯罪分子會去利用如此重大活動的潮流及能力。
像國際賽事這類重大活動往往也會引來社交工程攻擊或導致身份竊盜詐騙的惡意活動,證據就是在2014年看到一大堆跟世界杯足球賽有關的詐騙活動或惡意應用程式。
之前在2012年所舉辦的奧運會也是出現了相應的網路犯罪活動。攻擊者知道體育愛好者在這緊張興奮的重大活動時更容易中招,因為世界各地的粉絲都會在網路上訂位買票,再加上蜂擁而來的遊客可能並不熟悉東道國的語言或是風俗。
有各式各樣可能的陷阱 – 假的網路機票特賣,垃圾郵件和惡意軟體出沒的串流網站是最常見的威脅。我們可以預見今年的巴西賽事也會出現相同的攻擊,甚至更多。巴西駭客以專門從事銀行詐騙而著名,因為該國法律對於網路犯罪相當寬鬆。 繼續閱讀
