網路釣魚 - 資安趨勢部落格

連警察都敢駭!偽IG 官方私訊帳號違反著作權將被刪除,按申訴連結就上鉤

2020 年 09 月 08 日2020 年 09 月 08 日趨勢科技 TrendMicro

之前 IG 竊取帳號的手法是發出網路釣魚電子郵件要求使用者必須確認其帳號才能得到驗證徽章。目前新的手法是透過 Instagram 平台內的私訊,宣稱是由 Instagram 說明中心所寄出，指出受害人違反著作權，帳號將遭刪除,但可點選訊息中的上訴表單連結，但實際上卻會掉入網路釣魚陷阱。

去年趨勢科技發現了一些攻擊案例，專門竊取名人的 Instagram 帳號。現在，再次出現另一種手法類似的攻擊，但這次使用了新的誘餌來達到相同的目的。駭客將憑證網路釣魚電子郵件偽裝成 Instagram 發出的合法訊息，進而盜取 Instagram 帳號。

這群駭客專找一些尋常的目標下手，像是名人、新創企業業主，以及在社群媒體平台上有廣大追蹤者人數的其他實體等。我們先前曾研究過攝影師遭駭的案例，這次則是一位有超過 16,000 名追蹤者的警官受害，在此案例中我們發現了新的駭客伎倆。

這些受害者除了使用個人的社群媒體帳號，也利用 Instagram 頁面作為發揮影響力和企業經營的行銷工具。擁有龐大追蹤者人數的 Instagram 帳號，代表其擁有更高的可信度和影響力。因此這些帳號自然成為吸引攻擊者下手的目標，他們利用這些帳號進行各種惡意行為，像是勒索被害人、散佈詐騙，或甚至單純用來炫耀他們的駭客技術。

新舊詐騙伎倆相同，網路釣魚誘餌不同

先前的手法和新手法都採用相同的策略：先竊取憑證，然後利用憑證濫用 Instagram 的帳號復原流程，進而取得帳號。

上次的攻擊行動使用電子郵件要求使用者必須確認其帳號，使用者才能得到驗證徽章。但在使用者點選「驗證帳號」按鈕後，卻會連到網路釣魚頁面，這些頁面將收集他們的電子郵件地址、憑證和出生日期。竊取到這些資訊後，攻擊者便能取得修改資訊所需的一切詳細資料，進而取得遭竊的帳號。

在新的手法中，訊息並非透過電子郵件發送，而是透過 Instagram 平台內的私訊提供。訊息宣稱是由 Instagram 說明中心所寄出，指出有人指控帳號擁有者違反著作權，因此其帳號現在有遭刪除的風險。訊息中還會提供另一個連結，偽裝成可提出上訴的表單，但實際上卻是網路釣魚連結。

繼續閱讀

平均每天有三個人氣Facebook粉專被盜,逾百個山寨臉書官方帳號,散發網路釣魚警告訊息

2020 年 09 月 03 日2020 年 10 月 23 日趨勢科技 TrendMicro

本部落格介紹過國內名人粉專被盜事件,包含:
粉專遭盜事件頻傳要求驗證臉書帳戶民眾要注意 !
假冒臉書官方訊息,粉絲團頻傳「被消失」,如何預防?
根據趨勢科技調查其實不止台灣,印度、澳洲、加拿大和菲律賓都傳出相關事件,幕後黑手盜取帳號後，會在一天之內被發現前變更帳號名稱和假冒粉專發出官方訊息,甚至盜刷該帳號的廣告收費專用信用卡資料。

駭客偷人氣粉專帳密用來做什麼?

出售該粉專或接管粉專,建立另一個山寨 FB 官方釣魚帳號

自今年六月以來，趨勢科技發現有知名的Facebook粉絲專頁被盜的數量在增加。我們分析此狀況後發現有假Facebook官方帳號在粉絲專頁上貼出附有連結的通知聲稱其遭受駭客入侵。假帳號還會竊取所有者或管理員的帳密以出售該粉絲專頁、變更詳細資訊和名稱或冒用該粉絲專頁來建立另一個釣魚帳號。

根據觀察，目標的選擇似乎是依據粉絲數量，而最新研究發現平均每天有三個帳號被盜。分析顯示這些網路犯罪分子的目標是來自台灣、印度、澳洲、加拿大和菲律賓的臉書帳號和粉絲專頁。我們已將此狀況回報給Facebook，他們表示已經採取措施來保護被標記的帳號。

約120-180 山寨臉書官方帳號
散發網路釣魚警告訊息,盜粉專 — 約120-180 山寨臉書官方帳號散發網路釣魚警告訊息,盜粉專

約120-180 個山寨 facebook 官方帳號

以羅馬字母魚目混珠,如 Fəcebook 的 ”a” 被替換成” ə”

趨勢科技發現有大約 120 到 180 個假Facebook官方帳號使用相同名稱及看似正式的大頭貼照。不過名稱內包含了非ASCII字元，而這些非ASCII字元會在線上轉換成羅馬字母，如ə、ı和ɾ：

Prıvacy PoIicy
Fecebook and PrIvacy
Fəcebook System Corporation
Fəcebook Term Of Services Register Center Team
Fəcebook Sociəl Reconfirm Center Invitation
Fəcebook Servıce Corporation 01
Reconfirm Your Accounts
Re-confiɾm Facəbook

這些假帳號會在受害者的粉絲專頁上貼出警告訊息，聲稱這些網頁被其他使用者回報給平台。貼文中還包括透過外部連結來驗證這些帳號的說明。

繼續閱讀

《BEC 詐騙》高階主管請當心!Water Nue網路釣魚正鎖定Office 365帳號,準備海撈一票

2020 年 08 月 18 日2020 年 08 月 18 日趨勢科技 TrendMicro

自2020年3月以來,一連串針對Office 365帳戶發動的魚叉式釣魚攻擊,它的目標是全球超過1,000家企業的高階主管,最近這類的BEC 變臉詐騙活動，則是針對了美國和加拿大的高階人員。

我們將幕後的詐騙份子稱為”Water Nue”，它們會針對財務主管騙取財務詐騙用的帳號密碼。釣魚郵件會將使用者導向偽造的Office 365登入網頁。一旦取得帳密並成功入侵了帳號，就會向下屬發送包含篡改過銀行資訊發票檔案的電子郵件，試圖透過轉帳來騙取金錢。

Water Nue網路釣魚工具很基本，但卻更難被鑑識人員發現

這波攻擊活動背後的攻擊者很有意思，原因有幾個。儘管他們成功地在全球範圍內攻擊高層員工，不過他們的技術能力似乎很有限。他們的網路釣魚工具很基本（沒有後門、木馬程式和其他惡意軟體），不過會利用公共雲服務來進行操作。使用雲端服務讓他們可以託管基礎設施並混淆自己的運作，讓他們的活動更難被鑑識人員發現。這種策略在網路犯罪分子中變得越來越普遍。

趨勢科技一開始是從網路釣魚攻擊所用的大批電子郵件網域注意到此次活動。我們發現大多數收件者都是企業的高階主管，特別是財務部門。我們所遇到的第一波案例中就有一起是非洲銀行高階財務主管寄送PDF檔發票給同事並指定香港的銀行帳號。這封郵件來自攻擊者測試功能時所用釣魚網站的IP地址。

這波攻擊活動仍在進行中，當用過的網域被舉報或列入黑名單，駭客就會切換到新的基礎設施。

800 多個高階主管帳密已經得手

攻擊者使用雲端郵件寄送服務（如SendGrid）來寄送帶有連結的電子郵件，將目標導向假的Office 365網頁。（我們已經聯繫SendGrid並分享了我們的發現。）一旦目標進行登入，帳密就會被一個PHP腳本所記錄。

Figure 1. Water Nue attack scenario — *圖1. Water Nue攻擊情境*

Figure 2. Sample of recorded credentials — *圖2. 被記錄的帳密*

儘管這並不是什麼新技術，不過攻擊是成功的，直到本文撰寫時，已經從各公司的高階主管收集了800多個帳密。

偽造公司郵件網域的帳號名稱,主旨與發票有關

從七月寄給高階主管的電子郵件裡，我們發現基礎網域是U10450540[.]ct[.]sendgrid[.]net,，加上名稱*getting-panes[.]sfo2*。

Figure 3. Email header “from” field shows New York and various email accounts indicating “Swiftme@{company domain names}” — *圖3. 郵件標頭”From”欄位顯示出”New York”和加上郵件帳號”Swiftme*@{公司網域名稱}”

“Swiftme”出現在釣魚郵件標頭，並且加上偽造公司郵件網域的帳號名稱。顯示的郵件標頭”From”和主旨也偽裝成語音信箱服務。”Swiftme”可能是暗示跟電子轉帳或電匯有關，並在取得帳密後揭示了攻擊活動目的。

要注意的是SendGrid平台原本似乎沒有加上X-Mailer。帶有不同X-Mailer和標頭的電子郵件可能是透過會混淆掃描引擎的工具所加上。底下是我們所看到的一些X-Mailer：

X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu) X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I) X-Mailer: iPhone Mail (8A293) X-Mailer: Opera7.22/Win32 M2 build 3221 X-Mailer: ZuckMail [version 1.00] X-Mailer: CommuniGate Pro WebUser v5.3.2

Figure 5. A phishing site imitates Office 365 login — *圖5.一個偽裝成Office 365登入網頁的釣魚網站*

Water Nue測試/部署機器的原始IP保留在收集帳密用釣魚網站伺服器內的文字檔裡。

Figure 7. The landing page index.html has a dummy speech function — *圖7. 登入頁面index.html內有無用的語音功能*

Figure 8. While the main collection function resides in app.js, command and control (C&C) location is embedded in JavaScript code — *圖8. 主要收集功能位在app.js，將命令和控制（C&C）位置內嵌在JavaScript碼中*

Figure 9. jQuery method is used to post the target’s credentials to hosting site — *圖9. jQuery method被用來將目標帳密送到託管網站*

偽裝成主管寄送電匯請求，誘騙收件者將錢匯入犯罪分子的帳號

我們發現一封來自同一IP的BEC詐騙郵件。這封惡意郵件是具備合法郵件標頭的發票請求，這是BEC詐騙裡常見的伎倆。

Figure 10. An email sample with the same originating IP — *圖10. 來自相同IP地址的郵件樣本*

Figure 11. A sample fake PDF invoice in a BEC email — *圖11. BEC詐騙郵件內的假PDF發票*

如何抵禦BEC詐騙和其他網路釣魚攻擊?

跟其他網路犯罪技術不同，網路釣魚(Phishing)和變臉詐騙攻擊或稱為商務電子郵件入侵 BEC)因為是針對特定收件者而可能很難偵測。攻擊者試圖入侵電子郵件帳號來取得業務運作相關的財務資訊和其他敏感資訊。

以下是一些關於防範電子郵件詐騙的建議：

提供員工教育訓練。通過資訊安全教育訓練來降低公司遭受入侵的風險。從CEO到一般員工都必須了解各類型的詐騙及遇到時的處理方式（與對方進行確認並檢查郵件詳細資訊）。
使用其他管道確認要求。在處理敏感資訊時，員工必須遵循驗證系統來謹慎行事（如多重簽名或其他驗證協定）。
檢查所有郵件。小心包含可疑內容的非常規郵件，如可疑寄件者、網域名稱、寫作風格和緊急要求。

在這裡討論的案例中，攻擊者的郵件本身沒有夾帶典型的惡意軟體。這也導致傳統安全解決方案無法保護帳號和系統來抵禦此類攻擊。使用者也可以在電子郵件閘道來檢查寄件者”sendgrid[.]net”。

趨勢科技可以保護各規模的企業來抵禦網路釣魚和BEC詐騙等惡意郵件攻擊。趨勢科技Hosted Email Security解決方案結合了增強的機器學習功能和專家規則，能夠分析電子郵件標頭和內容來阻止BEC詐騙和其他類型的郵件威脅。對於來源驗證和身份驗證，它使用了寄件者策略框架（SPF）、網域金鑰標識郵件（DKIM）和以網域為基礎的進行郵件驗證、報告和一致性（DMARC）。

趨勢科技Cloud App Security解決方案增強了微軟Office 365和其他雲端服務的安全防護，透過沙箱惡意軟體分析來偵測BEC詐騙和其他進階威脅。它使用寫作風格DNA來偵測BEC詐騙的假冒行為並用電腦視覺來找出會竊取帳密的釣魚網站。它還會透過控制敏感資料使用狀況來保護雲端檔案分享抵禦惡意威脅和資料遺失等風險。

入侵指標（IoC）

惡意份子所管理的C&C網址：

https://highstreetmuch[.]xyz/hug/gate[.]php
https://takeusall[.]online/benzz/gate[.]PHP

MITER ATT&CK矩陣對應

A screenshot of a cell phone

Description automatically generated

@原文出處：Water Nue Phishing Campaign Targets C-Suite’s Office 365 Accounts 作者：Marshall Chen、Loseway Lu、Yorkbing Yap和Fyodor Yarochkin（趨勢科技研究團隊）

「你瀏覽色情網站，已被側錄」性愛勒索出現 LINE 版!

2020 年 06 月 23 日2020 年 06 月 23 日趨勢科技 TrendMicro

「你瀏覽色情網站，已被側錄」現在也出現 LINE 版了 😥
女網友說國一的弟弟LINE突然有不認識的人加入，還傳了一大堆A片，這竟然是悲劇的開始…..

過去性愛勒索相關個案幾乎都來自國外,但近日國內卻出現了 LINE 案例:
女網友在論壇發文說國一的弟弟收到陌生但卻是LINE朋友傳來的A片，沒有戒心地打開觀看，「駭客那些病毒駭入他平板，然後自動錄下他打手槍的畫面，對方傳影片來威脅要我們匯錢⋯我還接了他的電話錄了音，聽起來是大陸人的聲音，真的好可怕，陌生人的Line什麼的絕對不要加欸」

趨勢科技防詐達人表示這類主要手法有三種:

方法一（最常見）：透過交友軟體或網站，他們會先跟你配對成功，然後聊天，然後要求視訊
方法二：先引用民眾入群加入色情分享的群組，然後再分別私訊
方法三：透過社群先加好友後，傳遞假照片後再聊天

基本上和約會詐騙的不同點在於，只是色情，沒有感情，因為主要要拿到對方裸照或視訊,所以時間短，金額小;約會詐騙相對時間長，金額大。

除了前述的 LINE 之外,本文介紹兩個跟色情誘騙有關的案例:
一個是利用免費觀看成人網站為誘餌,誘騙使用者以手機掃描 QR Code看更多
另一個是警告受害者觀看色情影片過程已經被側錄
駭客只有一個目的:「給我錢!」

ChaosCC 駭客集團精心策劃性愛勒索騙局，要求受害者支付 700 美元的比特幣

案例一:見到 QR Code 就掃?! 當心遇到性愛勒索

第一個案例是日本色情業者利用行動條碼（QR Code）誘騙付費,關不掉的色情網站,讓愛看好料的網友有點尷尬。攻擊者會先發送垃圾郵件給受害者，郵件內包含一個免費影片網站的連結。這個網站會秀出聳動標題的免費影片來誘使點擊。但當出現一個「觀看更多」的連結時，會將使用者重新導到另一個要求註冊成為會員的頁面。

其中一個網址,包含了一個行動條碼（Quick Response，QR）和這訊息：「請利用手機來訪問這個網站」。

透過手機訪問後會跳出一個成人網站, 畫面顯示已經將受害者行動設備上的資料傳送出去,並要求支付 49,800日元 ,否則成人網站的視窗將無法關閉。

案例二:駭客集團精心策劃性愛勒索騙局，要求受害者支付 700 美元的比特幣

根據最近一篇報導，一個名為「ChaosCC」的駭客集團在一起電子郵件詐騙當中向受害者表示他們已經駭入受害者的電腦並錄下受害者在觀賞色情網站時的過程。根據 Bleeping Computer 的報導，在這起性愛勒索詐騙中，歹徒要求受害者支付價值 700 美元的比特幣 (Bitcoin)。

駭客反諷:下次逛色情網站時務必將裝置相機貼起來

這場性愛勒索騙局，受害者會先收到一封宣稱來自 ChaosCC 駭客集團的電子郵件 ,告訴受害者，他們在瀏覽色情網站時，裝置的相機已自動開啟並錄下他們觀賞色情內容的過程，並宣稱這段錄影已自動上傳到駭客集團的伺服器。最後，郵件會警告受害者如果不匯 700 美元到駭客的比特幣錢包，就要將這段錄影發給受害者通訊錄上的聯絡人。

繼續閱讀

竟在”已傳送”郵件資料夾內偵測到高風險 Qakbot 病毒?原來帳號被盜了!

2020 年 06 月 10 日2020 年 06 月 10 日趨勢科技 TrendMicro

1-5 月威脅醫療，製造和政府部門三大產業的 Qakbot 變種,透過帶有惡意連結的郵件散播，這些郵件看起來像是在回覆一串業務討論郵件。
除了收件匣外,還在”已傳送”郵件資料夾內偵測到惡意威脅,這意味著不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。
已知的惡意軟體會不停地以更新更複雜的變種面貌再次出現，再加上有完全未知的威脅冒出，這些都需要具備先進偵測及回應功能的解決方案。

Qakbot重出江湖，威脅醫療產業，製造業和政府部門

趨勢科技經由託管式偵測及回應（MDR）服務發現有許多威脅來自寄入的電子郵件。這些郵件經常包含了網路釣魚(Phishing)連結、惡意檔案或指示。而且從每日對電子郵件後設資料（metadata）的分析調查可以看出不止是寄入郵件，還可以從使用者自己的”已傳送”郵件資料夾內偵測到惡意威脅。顯示出不知情的使用者可能被盜用帳號來傳送夾帶惡意威脅的有害郵件。從這類事件裡，我們關聯出電子郵件入侵來散播Qakbot相關郵件。

已知此惡意軟體會經由網路分享、可移除磁碟或軟體漏洞進行散播。我們最近所看到的例子是透過帶有惡意連結的郵件散播。點入連結會下載包含VBS檔（偵測為Trojan.VBS.QAKBOT.SM）的zip檔案，接著會下載一個惡意執行檔（趨勢科技偵測為Backdoor.Win32.QBOT.SMTH）。

繼續閱讀