網路釣魚 Phishing - 資安趨勢部落格

駭客愛用的5大Gmail詐騙釣魚郵件類型,九成五以上使用惡意網站連結手法

2017 年 05 月 25 日2022 年 09 月 17 日趨勢科技 TrendMicro

去年初，Google即宣布旗下Gmail郵件服務的全球活躍用戶已突破10億人，已然成為眾人普遍使用的郵件服務之一；然而近日Gmail釣魚郵件攻擊事件日益增加，如本月初發生的假冒熟人寄送Google Docs 邀請釣魚信件，就假以Google Doc服務之名要求存取受害者的通訊錄權限，帶給許多消費者很大的困擾。根據趨勢科技於今年1至5月的統計資料顯示，駭客最愛使用的5大Gmail釣魚郵件類型為下：

優惠折扣通知：過去曾發生駭客欺騙Apple 用戶可領取Apple Store「好康禮物卡」折扣優惠，再以此欺騙消費者填寫個人和財務資料。
銀行通知：駭客也可能假冒成銀行業者，以欺騙消費者安裝帳號安全管理系統為由，導引其連至一個釣魚網站並竊取用戶ID、密碼、信用卡資訊和聯繫資料。
社交網站通知：駭客仿冒社群網站的動態更新通知，如「點擊看看誰對你的照片說讚」，「誰將你加為朋友狀態說讚」等。
網購訊息通知：駭客偽裝成電子商務業者，從「訂單確認通知」、「付款通知」到「出貨通知」，這一連串的網購流程都有可能成為其動手腳的目標。
中獎通知：駭客可能以「免費抽iPhone 6s」為陷阱，當消費者點選查看信件中的「中獎名單」附檔，就有可能遭受勒索病毒攻擊。

綜觀上述案例，可知駭客主要利用三種方式進行Gmail網路釣魚郵件詐騙，一為直接在郵件正文提供惡意網站連結，導引消費者至其架設的釣魚網站，並輸入重要的個人或財務資訊；二為在信件中夾帶含惡意程式的檔案，吸引消費者點擊下載，最後還有利用郵件軟體或瀏覽器弱點，在信件中包含特殊腳本讓惡意程式在收件人開信後就自動下載後執行，無須點擊連結或開啟附件。而趨勢科技發現在這些Gmail釣魚郵件中，於信件中提供惡意網站連結者，占全部惡意郵件比例的最大宗95.3%，而排名第二的則是夾帶惡意程式檔案附件，發現數量約佔4.4%。繼續閱讀

Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用

2017 年 05 月 05 日2022 年 09 月 17 日趨勢科技 TrendMicro

近日爆發大規模假冒 Google Docs 邀請的釣魚信件，受害者會收到來自熟人的 Gmail 郵件，要求開放權限給「Google Docs」應用程式，一旦授權，歹徒不僅能讀取 Gmail信件，還能利用其名義發釣魚信給通訊錄中的每一個聯絡人，因此這個不肖程式短期內廣為擴散。無獨有偶,最新勒索病毒 Mole, 也利用 Google Doc 散播!

新型態網路釣魚,與激進駭客組織 Pawn Storm “偽裝 Gmail 的安全通知”手法雷同

這個冒牌的 Google Docs 應用程式有別於一般的網路釣魚攻擊，不會騙取使用者的帳號密碼，而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證，簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。

若您最近若收到看似正常的 Google Docs 文件連結，小心成為最新一波精密網路釣魚攻擊的受害者。在這波網路釣魚詐騙當中，歹徒假冒的 Google Docs ，因此較一般傳統網路釣魚（Phishing）更容易讓人失去戒心。

首先，歹徒會假借分享文件的名義，冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結，頁面上會列出使用者所擁有的全部帳號。接著，該網頁會請使用者選擇一個帳號，並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而，一旦使用者授權給該應用程式，該程式就能存取其電子郵件信箱和通訊錄，不僅能讀取信件，還能利用其名義發信。接著，該程式會讀取受害者的通訊錄，然後再用同樣的手法，發信給通訊錄中的每一個聯絡人。藉由這種複製方法，這個不肖程式短期內就能散布得非常廣。

冒牌的 Google Docs 應用程式，不會騙取帳號密碼，而是利用 OAuth機制登入使用者的帳號

這個冒牌的 Google Docs 應用程式有別於真正的網路釣魚攻擊，不會騙取使用者的帳號密碼，而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證，簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制，此機制的好處是使用者不須提供自己的帳號密碼，而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
儘管 OAuth 既方便又應用廣泛，但卻也可能讓使用者暴露於風險。駭客可只需設法通過服務供應商的背景審查，就能讓自己的應用程式通過驗證，成為可以合法使用 OAuth 機制的應用程式。接著駭客就能利用進階社交工程（social engineering ）詐騙來騙取使用者的 OAuth 認證碼。由於某些網路服務供應商只會要求第三方應用程式提供電子郵件地址和網站網址就能使用 OAuth。因此，像 Pawn Storm 這樣經驗豐富的駭客團體才能利用 OAuth 來從事網路釣魚詐騙。比如偽裝成來自 Gmail 的安全通知，要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式 (如下圖)………>>看完整報導

Google 在 Twitter 帳號上發表聲明

Google 是從Reddit 討論串聽到這項風聲，並隨即在一小時內將這個不肖應用程式下架。此外也在其官方 Twitter 帳號上發表以下聲明 (如圖)：繼續閱讀

按個讚,莫名貼情色文,還被移送法辦!每天有 100 次掉入網路釣魚陷阱,必學5招自保

2017 年 04 月 18 日2017 年 04 月 19 日趨勢科技 TrendMicro

☒「前往我的賣場」竟連結到網路釣魚網站?!

☒ 網址明明是 Google 官網,居然連到 Yahoo?!

☒ 搜尋 LINE跳出山寨 LINE 詐騙網站,意圖盜帳號密碼！

☒ 按個讚,莫名貼情色文, 23歲女被移送法辦 !

網路釣魚陷阱何其多,在2012年的 Black Hat USA安全大會上所做的調查顯示，69％的人表示每週都會有網路釣魚（Phishing）郵件進入到使用者的信箱。超過25％的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。

每天有100次掉進駭客陷阱的風險

根據趨勢科技統計，一般員工平均每個工作日會收到100封電子郵件，等於我們每天有100次掉進駭客陷阱的風險。它出現在網路購物平台也出現在社群網站,他們有個共同性:”以假亂真”。台灣最近發生的案例, 報導中的雲林縣鐘姓女子,日前上網看了色情網站影片連結，一不小心按了讚之後，沒想到卻中毒，臉書帳號遭盜後被用來轉貼了暗示性交易相關訊息，因而觸犯「妨害風化案及兒童及少年性剝削防制條例」被函送法辦！警方表示，有犯罪集團利用工具軟體，將色情圖片與木馬程式結合，一旦點選相關連結，就會被導向臉書網路釣魚登錄假頁面，導致帳號被盜。

上述只是網路釣魚陷阱中的一小部分,詐騙集團最常使用網路釣魚（Phishing)蒐集個資,網路釣魚會得逞，通常是因為受駭目標無法區分真偽,以下舉幾個相似度高達 90%以上的以假亂真案例:

病毒史上冒名案例一:臉書被髒話洗版,原來是朋友們中了臉書髒話病毒!

這不禁讓人連想到當年的”飆髒話病毒”:媽媽竟在臉書飆髒話”X!太失望,你看看” , 當時很多人臉書都被髒話洗版了,包含平日形象端莊慈愛的媽媽,原來是不小心按到惡意連結, 不但會中毒還會自動散發病毒連結給臉書上的所有朋友。

病毒史上冒名案例二::“12 小時內不驗證帳號,將被永久停權”訊息“

一封假冒 Facebook 安全中心:“12 小時內不驗證帳號,將被永久停權”訊息“受害人重登入遭盜刷 !!
點色情影片,還拖臉書朋友下水! 看FB好友私訊推薦影片,竟被木馬附身!

[延伸閱讀：最多人誤點的 FB 詐騙公告]

✔臉書被盜怎麼辦?

透過下列網站取回帳號掌控權 https://www.facebook.com/hacked

✔懷疑接到來自假冒 Facebook 的網路釣魚郵件或訊息?
Facebook 網路釣魚檢舉信箱 :phish@fb.com

病毒史上冒名案例三:令人恨得牙癢癢的冒名裝熟簡訊

繼續閱讀

企業可能遭遇的三種網路威脅:好大的胃口!網路捕鯨 (Whaling)專門鎖定企業高階主管

2017 年 04 月 18 日2017 年 04 月 19 日趨勢科技 TrendMicro

網路攻擊，不再是駭客獨自在黑漆漆的房間裡拼命敲著鍵盤…現代網路攻擊的實際樣貌

網路犯罪集團往往是跨國經營的財團，有能力執行深度的網路攻擊

資安軟體有時候會給你一種錯誤的安全感。根據《Information Age》的報導，金鑰與憑證管理解決方案廠商 Venafi 針對 500 名資訊長 (CIO) 做了一份調查，發現資訊長經常浪費數百萬美元在一些連合法與非法金鑰/憑證都無法分辨的網路資安解決方案。所以，才會有 90% 的受訪者表示他們的企業很可能遭到或已經遇到使用加密流量的網路攻擊。繼續閱讀

” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團….包含勒索病毒!

2017 年 04 月 13 日2017 年 04 月 18 日趨勢科技 TrendMicro

「陳○○女士,您的電信本月應繳費賬單,查詢電子帳單..」、「劉○○先生,你的露天商品已經送達門市..」、「許○○這是你那晚沒來的照片，我被整慘了…」、「謝○○我在墾丁拍的照片，你覺得哪張最好看?」、「林○○這是上次同學聚會的照片，大家都有來」 、「何○○這是上次聚會的照片，你好好 笑」….很多受害人因為收到標記有自己姓名的簡訊,而不疑有他的按下詐騙連結因而損失數千元不等 …繼裝熟簡訊之後,最近災情疫發不可收拾的勒索病毒,也起而效尤類似的社交工程手法。

會直呼你名字的勒索病毒 Zepto,大規模散發帶毒垃圾信

Zepto 是一個隨著一波垃圾郵件攻擊行動而迅速竄紅的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種，這波行動在短短四天之內至少散送了 13 萬封垃圾郵件(SPAM)。就目前所知，Zepto 與 Locky 勒索病毒家族有所淵源，此家族專門利用垃圾郵件 (及其他方式) 來大量散布。

這波挾帶勒索病毒的垃圾郵件行動運用簡單的社交工程social engineering技巧來誘騙使用者開啟附件檔案。這些電子郵件會直呼收件人的名字讓信件看來更親切，信件一旦開啟，就會在背後執行一個惡意的 Javascript，然後將使用者電腦上的檔案全部加密，並加上「.zepto」這個附檔名。

會直呼你名字的勒索病毒釣魚信不稀奇,還有知道你家地址的勒索病毒….

勒索病毒竟知道你家地址? 推測這些資料很可能來自一些外洩事件中失竊的資料庫。

BBC 報導指出一個叫做「Maktub」的勒索病毒(勒索軟體 / Ransomware)大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊，要求他們點郵件中的連結列印發票，而這個連結會讓電腦感染勒索病毒Ransomware。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。

值得注意的一點是，網路釣魚（Phishing）郵件內容當中不僅寫出了收件人的姓名，還附上了受害人的地址。包含 BBC 的工作人員在內，都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

勒索軟體 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資 — 勒索病毒 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資

一但看到勒索警告訊息，硬碟上有價值的檔案都已加密，過程不到幾秒宛若電腦版的搶劫

BBC 報導指出,有受害人擔心歹徒是從他們的 eBay 帳號取得這些資料，因為他們在 eBay 帳號中的住址寫法和歹徒網路釣魚郵件當中的寫法一模一樣。文中受訪的資安專家表示：「它的動作非常迅速，當畫面上出現警告訊息時，硬碟上有價值的檔案都已被加密，整個過程不到幾秒,就像是電腦版的搶劫，歹徒希望的就是快速拿到錢。」

幾乎跟所有的加密勒索病毒 Ransomware一樣,Maktub要求以比特幣（Bitcoin）支付贖金，而且贖金還會隨著時間而提高。超過三天贖金會從1.4 比特幣（Bitcoin）(約合 580 美元)提高到 1.9比特幣（Bitcoin）(約合 790 美元)。

趨勢科技表示,除了網路釣魚（Phishing）,當使用者不小心連上惡意網站時也可能被暗中下載到系統上。

Trend Labs，2016 年 4 月：99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

網路詐騙集團的供應商:專業地下市場的價格

一旦你的資料被竊取，就等於是開放給所有的網路詐騙集團。本部落格曾發表過16 個俄羅斯網路非法服務/地下經濟價目表以及失竊信用卡,竊取帳號價格下滑,因 ”供應量增加 ”:再訪俄羅斯地下世界,在有利可圖的情況下,被竊的個資在地下經濟市場流傳,許多部分都已經高度的專業化。網路犯罪份子不再需要去自己建立所有的攻擊工具，相反地，他可以和買家購買特定產品及服務。包含:

垃圾簡訊: 每一百至一萬則簡訊3到150美元,如果要加上號碼變換,單則價格單價約漲 5 倍
大量轟炸垃圾郵件服務: 一千封郵件3美元
郵件帳號:每一千至十萬筆地址7到500美元(依帳號來源定價不一)
信用卡重製:25 美金
偽造釣魚網站: 5–20美元
網路釣魚用網域:一年每個 50 美金
指定入侵帳號價格:Facebook 100 美金;Gmail 100 美金;Hotmail 100 美金
以非法手段影響搜尋引擎排名服務價格(Black_Hat SEO):6-295 美金