駭客針對數個人道救援組織及非政府組織發動了網路釣魚攻擊,包括了聯合國兒童基金會(UNICEF)、聯合國世界糧食計劃署以及其他知名組織如紅十字會與紅新月會國際聯合會。Lookout的研究人員揭示了這波網路釣魚攻擊。
這波攻擊活動從2019年3月以來就一直在進行,用來託管惡意軟體的兩個網域與之前也託管過惡意軟體的IP區塊及ASN(自治系統編號)有所關聯。
駭客所用的釣魚網頁包含了偵測使用者是否使用行動裝置的程式碼,這樣就能夠顯示特定內容給行動裝置。密碼欄位也包含了鍵盤側錄功能,所以即便網站訪客沒有完成登入程序,駭客也能夠取得密碼。再將密碼和使用者的郵件地址一起傳送到命令和控制(C&C)伺服器。
繼續閱讀
安全研究實驗室(SRL)的研究人員展示了應用程式(Amazon Alexa上的 Skills和Google Home上的 Actions)如何經由某些裝置功能來產生安全問題。
SRL的報告顯示可以利用下列方式來偷走帳號密碼或付款資訊等敏感資料:
總是在搜尋「免費線上看」、 「線上免費看電影」 等關鍵字嗎?詐騙集團聽到你的需求了,首波推出的是打著”李安與威爾史密斯聯手!「雙子殺手」(gemini man )線上看!”的假影音網站 。 該網址以短網址在 LINE 散播 hxxps://tinyurl.com/****3fr9,實際網址是 hxxps://linemestickershop.****ly.com/,請注意還用 「 https:// 」開頭,用戶應該多加留意這些神偽裝, APWG報告:近六成網路釣魚網站,使用 HTTPS 協定 ,目的就是魚目混珠,讓受害人降低戒心,開啟網站 。
為了讓受害人點入預先設定好的 假 LINE 登入頁面,網頁中除了跟播放相關的按鈕之外,無論是”喜歡看雙子殺手的人也喜歡看 ” 的推薦影片或是社群媒體分享按鈕,都沒有任何連結 。
該釣魚網站聲稱:「請於下方先登入 LINE 後完成連動,即可免費線上看高清影片 」 ,當你貢獻了你的 LINE 帳密,詐騙集團完成了任務,你什麼都沒看見,卻損失了個資。甚至你的 LINE 再也進不去了,詐騙集團開始冒用你的名字,招搖撞騙 。
她的 iPhone 被偷後,收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 連結。沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。
傳統犯罪與網路犯罪的結合,已使得傳統犯罪的受害者陷入更悲慘的境遇。最近的一個案例就是,一位女子在參加芝加哥一年一度的 Lollapalooza 音樂節時不慎 iPhone被偷。結果在她經由網路尋找 iPhone 時卻不小心誤觸盜賊的網路釣魚網站,導致 Apple ID 和密碼也被騙走。
這名受害者向當地的新聞媒體 CWBChicago 分享了這段經歷,希望不要再有其他人受害。如同一般的網路釣魚詐騙一樣,這名女子收到一則看似正常的簡訊,裡面提供了一個看似指向「尋找我的 iPhone」(Find My iPhone) 網頁的連結。但她直到自己的登入憑證被盜了之後才意識到這則簡訊以及剛剛登入的網頁很可能是假的,因為,沒過多久歹徒就進入了她的 iPhone 並且將資料徹底清除。
顯然,要是這名女子能一開始就識破那則網路釣魚訊息,這一切的悲劇就不會發生。這話說來容易,但歹徒就是有能力偽造出幾可亂真的網路釣魚頁面,就連最謹慎的用戶也可能被騙。
雖然網路釣魚活動在2019年上半年顯得較為平靜,但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動。
Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術,不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址,尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站,以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號;取得權限的攻擊者也可以存取受害者的Google雲端硬碟,甚至可能會危及連結帳號的Android裝置。因此,跟防護較高的企業郵件帳號比起來,這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。
Heatstroke操作者使用下列策略來隱藏自己的踪跡:
被偷的帳密會用圖像隱碼術(Steganography)(將資料隱藏或嵌入到圖檔裡)送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者,另一個則會竊取PayPal帳密。
繼續閱讀