就是要你點進去!年終購物季小心四種網路詐騙標題

年終購物季正如火如荼展開,如同往常一樣,網路犯罪集團早已盯上全球瘋狂購物的消費者。

不過這並非什麼網路詐騙或網路犯罪最新趨勢。多年來,每到年終,消費者遭到詐騙的案件數量便邁入高峰。從  2008 年起,趨勢科技即開始追蹤專門騙取消費者信用卡資料與其他寶貴資訊的網站和垃圾郵件。年終購物潮期間,這類網站數量的增加完全在預料之內,但消費者只需了解歹徒的詐騙手法如何運作,就能保障自身安全。

就是要你點進去!年終購物季小心四種網路詐騙標題

四種引誘標題,就是要你點進去

今日,使用者已經越來越能分辨垃圾郵件,但網路犯罪集團也不是省油的燈,其社交工程(social engineering )技巧越來越細膩。許多社交工程誘餌看起來幾可亂真,甚至會精心仿冒一些使用者平常不加思索就會點進去的電子郵件或訊息。

最近我們經常看到歹徒利用下列四種標題來引誘使用者上當:

  1. 網購訂單或包裹相關的標題
  2. 帳單或發票
  3. 旅遊好康或優惠
  4. 虛構的促銷或假日特賣

以下是一個網路犯罪集團利用這類標題的範例:這封典型的垃圾郵件看起來很像一封郵局寄來的信件,裡面隨附了一個看似平常的連結,但該連結卻是指向專門散布惡意程式的網站: Continue reading “就是要你點進去!年終購物季小心四種網路詐騙標題”

購物季防詐9原則》阿里巴巴旗下AliExpress.com出現漏洞,恐讓信用卡個資外洩

安全研究人員在黑色星期五這週披露了阿里巴巴所擁有網路購物服務AliExpress.com(全球速賣通)的一個漏洞,這家公司在全球擁有超過1億的客戶。該網路購物網站被發現一個開放式重新導向(open redirect)漏洞,讓攻擊者能夠展示假優惠券給購物者,以騙取敏感資料。AliExpress在被通知的兩天內採取了行動並加以修復。

購物季防詐9原則》阿里巴巴旗下AliExpress.com出現漏洞,恐讓信用卡個資外洩

受駭者一旦執行包含惡意Javascript程式碼的AliExpress網頁連結,主畫面上會跳出假優惠券視窗來要求客戶提供信用卡資料。攻擊者控制了這個假視窗,使得信用卡資料直接送給攻擊者而非購物網站。

 

替此漏洞找出攻擊方法的安全研究人員指出,AliExpress只用了簡單的方法來阻止這類攻擊。這方法會檢查請求的referer標頭。如果referer沒有設定或不正確,請求會被伺服器拒絕。referer是用來標識請求來源網頁地址的HTTP標頭。

為了繞過AliExrpress的檢查網址來源的保護機制,研究人員送出會由許可且受信賴AliExpress網址導向的惡意連結。為了測試成功,研究人員找出AliExpress內會重新導向第二個AliExpress內連結的連結,讓惡意連結可以加以取代。研究人員將所選擇連結作成了短網址,好讓其看起來不會可疑。點擊這連結的客戶會被送到一個AliExpress登入畫面,接著會將JavaScript注入頁面並發出假優惠券。

防範網路釣魚攻擊

隨著購物季節的到來,攻擊者可能會趁這機會來利用網路釣魚攻擊賺一筆。如果你懷疑自己成為了網路釣魚騙局的受害者,請立刻變更所有帳號的密碼和個人識別碼。

以下是其他如何發現和防止網路釣魚詐騙的九個建議

  1. 將購物網站加入書籤。避免用搜尋引擎來找優惠。將你的搜尋結果限制在受信任且安全的購物網站,這能夠減少你連到詐騙網站的機會。
  2. 記得要檢查連結。在點入內嵌的連結前先將游標移到上面來確認網址是否正常。
  3. 詐騙郵件通常包含制式的問候語。同時收件者也可能只用使用者的郵件地址而沒有加上他/她的名稱,這是一個警訊。
  4. 注意不良的文法或拼寫錯誤。正常郵件不會出現明顯的錯誤。
  5. 識別設計完善的電子郵件。錯誤或不當的標誌和版面設計也可以看出郵件並非來自可信來源。
  6. 當網站要求輸入密碼時要小心謹慎。切勿將密碼或敏感資訊交給不受信任或第三方網站。
  7. 小心那些要求採取緊急行動的郵件或網站。有些郵件會包括緊急的行動要求,如點入某些連結或給出個人資料。
  8. 提防各種誇張得不真實的好康優惠。有一種說法是:“如果事情看起來好得太不真實,那可能就不是真的”,這同樣也適用於網路購物。小心那些用非常低價格提供的商品。
  9. 定期檢查信用卡帳單。注意未經授權的交易。

Continue reading “購物季防詐9原則》阿里巴巴旗下AliExpress.com出現漏洞,恐讓信用卡個資外洩”

這個聊天機器人專門用來”詐騙”網路釣魚詐騙集團

《AI人工智慧》人工智慧機器人 Re:scam 以毒攻毒對抗垃圾信

儘管電子郵件詐騙存在已久,但至今 網路釣魚(Phishing)依然氾濫,因為就是有人上當。絕大多數收到這類惡意郵件的人都能分辨,並且直接將它刪除,只有少數人會真的開啟這些郵件。不過有趣的是,紐西蘭一家網路安全推廣非營利機構 Netsafe 開發了一種專門用來「詐騙」網路詐騙集團的人工智慧 (AI) 機器人。

使用者只需將疑似詐騙的郵件寄到 Netsafe 的電子郵件地址:me@rescam.org 就能啟動「Re:scam」人工智慧機器人軟體來反將詐騙集團一軍。該公司在收到電子郵件之後,會再次確認是否真的為詐騙郵件。一旦確認,就會利用一個代理郵件地址來和詐騙集團聯繫。他們會讓人工智慧機器人會發送大量與該詐騙相關的各種不同郵件到寄信人的電子郵件地址。Re:scam 的目的是要浪費詐騙集團的時間,因為其信件內容自然而不做作,看起來就像真的受害者上當之後回應歹徒詐騙的信件一樣。 Continue reading “這個聊天機器人專門用來”詐騙”網路釣魚詐騙集團”

從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?

幾年前,金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號,在金融時報內部發送網路釣魚郵件,進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時,立刻透過郵件通知所有使用者,並附上一個連結讓使用者更改密碼。問題是,駭客也看到了 IT 人員的這封信,因此又重發了一次該信,但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼,不過最後,駭客覺得金融時報只是個小咖,因此轉而攻擊其他媒體機構。

案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

案例二:內部 Office 365 登入憑證網路釣魚,詐財匯款得逞

案例三:駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇

 

今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚(Phishing)攻擊,也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一,駭客通常先讓使用者裝置感染惡意程式,以便掌控使用者的電子郵件信箱,或取得使用者的帳號密碼。接著,歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊,進而竊取企業資訊或從事勒索。除此之外,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁,因此收件者很容易不疑有詐。

案例一:竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

今年稍早遭到起訴的「Eye Pyramid」犯罪集團,多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件,他們會先入侵一位使用者的帳號,然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料,並將資料傳送給駭客,其中也包括電子郵件地址,因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為,但其實只是一位義大利核子工程師和他妹妹而已,兩人單純只是想靠竊取資料發財而已。

Continue reading “從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?”

《魚叉式網路釣魚》 一封假的 PDF工作邀請函, 網路間諜集團鎖定 G20 高峰會各國代表

G20 數位經濟工作小組高峰會即將來臨,網路間諜集團 Turla 提早部署後門程式

主要針對政府,高級官員和外交官的 Turla 網路間諜集團,這次鎖定G20 數位經濟工作小組,根據 媒體報導,該網路間諜集團目前正緊盯著即將在德國漢堡舉行的 G20 數位經濟工作小組高峰會,並提早部署一個叫作 KopiLuwak 的後門程式 (趨勢科技命名為 TROJ_KOPILUWAK.A、 JS_KOPILUWAK.A 和  JS_KOPILUWAK.B),專門鎖定所有受邀人員、來賓及各國代表。此後門程式除了會竊取資料之外,還會下載更多惡意程式到受感染的電腦上執行,或者執行其他指令。資安研究人員已經通知德國電腦緊急應變聯合中心 CERT-Bund。

[延伸閱讀:何謂魚叉式網路釣魚,您該如何防範?]

假的 G20 工作小組高峰會 PDF邀請函,引誘受害者開啟

根據觀察,Turla 的最新行動很可能會利用水坑式攻擊魚叉式釣魚攻擊(SPEAR PHISHING)郵件並利用一個假的 G20 工作小組高峰會邀請函來引誘受害者開啟。這項會議即將在 10 月舉行,資安專家發現,前述魚叉式網路釣魚郵件所挾帶的 PDF 文件 (檔名「Save the Date G20 Digital Economy Taskforce 23 24 October.pdf」) 似乎是個正常檔案,但卻只是個分散注意力的誘餌。此外它會在系統植入一個惡意 JavaScript 檔案,解密之後會在受感染電腦記憶體內執行 KopiLuwak。

[延伸閱讀:APT10/menuPass 的網路間諜行動 Operation Cloud Hopper 攻擊託管式服務供應商]

Turla 網路間諜集團曾將攻擊指令隱藏在小甜甜IG照片留言中

Continue reading “《魚叉式網路釣魚》 一封假的 PDF工作邀請函, 網路間諜集團鎖定 G20 高峰會各國代表”

短短 6天之內海撈 70 萬美元 !重大網路釣魚頻傳,FBI 發出警告

從近期重大攻擊事件,看網路釣魚手法

儘管網路釣魚(Phishing)相對於今日媒體上經常看到的精密攻擊似乎已經過時,但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產,甚至破壞營運基礎架構。

phishing

7月初全球第四大數位貨幣交易所 Bithumb 的一位員工 遭駭,歹徒偷走了一批聯絡人電話、電子郵件地址等等,接著,歹徒利用偷來的資訊發動一波網路釣魚攻擊,但卻使用以往罕見的手法。同樣地,數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導,駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。

除了數位貨幣之外,美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注,並發出警告通知各機關嚴加防範。根據 媒體報導,這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。

趨勢科技為了協助使用者了解並防範這些新的威脅,以下將詳細介紹最近幾次攻擊所用的手法和技巧:

陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元

傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄,接著,不是誘騙受害者輸入帳號密碼,就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧:語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料, 假冒成 Bithumb 高階主管打電話給受害者,謊稱受害者的帳戶遭駭客入侵,要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導,受害者損失超過數十億韓元  (該交易所位於南韓)。

語音釣魚不像網路釣魚那樣大家耳熟能詳,而且它比其他詐騙手法更加仰賴社交工程技巧,因此,歹徒能否得逞全看他是否露出破綻,是否能完全掌控受害者的心理。在該案例中,歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵,因為歹徒在撥打電話時,已明確掌握受害者帳戶的詳細資訊,因此會讓人覺得相當可信,且不易露出破綻。

小眾網路論壇釣大魚: 假冒論壇管理員名義,通知論壇成員檢查自己的帳戶,騙帳號密碼 Continue reading “短短 6天之內海撈 70 萬美元 !重大網路釣魚頻傳,FBI 發出警告”

冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門,讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難,尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊,每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構(包括銀行)和礦業公司。值得注意的是,攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫(DLL)樣本最早在2017年6月6日被上傳到VirusTotal,這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊(SPEAR PHISHING)攻擊活動。

 

圖1、惡意電子郵件活動的攻擊鏈

 

圖2、送給一個目標的不同惡意電子郵件(時間順序為自左向右,順時針方向)

Continue reading “冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業”

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客,員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證,以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南:處理自帶設備(BYOD)環境所面臨的威脅

自帶設備(BYOD)在過去幾年大大地盛行,因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處,但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

 

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分,企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

 

防禦惡意應用程式:對於行動設備,企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案,可以偵測應用程式是否可以安全使用。此外,企業解決方案應該包含設備管理和應用程式管理功能,讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外,企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式,可以透過網路活動來先一步偵測惡意軟體。

 

網路釣魚

雖然網路釣魚(Phishing)並不僅是BYOD的問題,但它在BYOD生態系造成特別顯著的威脅,因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊,但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊,可能會影響到他們自己的設備。 Continue reading “太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?”

變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

 

目前,鍵盤側錄程式仍是變臉詐騙最常用來竊取受害者帳號密碼的工具,且效果良好。但是,想要利用電子郵件來散布執行檔,在今日已經不太容易,因為垃圾郵件過濾軟體通常很快就會發現這類危險郵件並加以標註。反觀 HTML 檔案沒有立即的危險性,除非該檔案被判定為網路釣魚頁面,否則並不會被標註。

 

變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

傳統上,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)都是利用鍵盤側錄程式來從受害電腦竊取使用者的帳號密碼。但是,使用附件方式來夾帶執行檔,通常會讓使用者起疑而不會點選附件檔案,因為執行檔有很高的機率是惡意程式。因此,趨勢科技最近發現一波改用 HTML 網頁為附件的網路釣魚(Phishing)郵件出現。

 

圖 1:夾帶 HTML 附件檔案的網路釣魚郵件。

一旦開啟該 HTML 附件檔案,就會啟動瀏覽器並顯示如下內容:

圖 2:HTML 網路釣魚頁面。 Continue reading “變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!”

OSX 更新畫面出現山寨版!網路釣魚夾帶惡意軟體,劫持 Apple OS X使用者網路流量

OSX_DOK惡意軟體(趨勢科技偵測為OSX_DOK.C)具備像濫用憑證和躲避防毒軟體等進階技術來感染Apple OSX作業系統電腦。這個惡意軟體專門針對瑞士銀行的用戶,利用網路釣魚(Phishing)攻擊來植入惡意軟體,最終利用中間人(MITM)攻擊來劫持使用者的網路流量。OSX_DOK.C就好像是另一個版本的WERDLOD(趨勢科技偵測為TROJ_WERDLOD,被用在Emmental行動的惡意軟體)。我們在本文章中會進一步探討這有趣的關聯。

 

《延伸閱讀》當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

 

網路釣魚信偽裝成蘇黎世警官,聲稱無法成功連絡到收件者

抵達方式和感染流程

圖1:OSX_DOK.C對Mac系統的感染流程

 

OSX_DOK.C會透過包含特定.zip或.docx檔案的網路釣魚郵件到達。趨勢科技所分析的樣本偽裝成蘇黎世警官,聲稱無法成功連絡到收件者。該郵件還夾帶兩個聲稱關於詢問使用者問題的檔案:一個是.zip檔案,這是個假 OSX應用程式,而另一個則是用 WERDLOD 針對Windows作業系統的.docx檔案。這兩個樣本都是銀行木馬程式,有著類似的功能。

郵件附件檔所用的檔案還包括以下例子:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • 2017.docx

 

刪除系統上的 App Store,出現全螢幕的假 OSX更新畫面

一旦點開網路釣魚郵件內的 docx 檔案,就會跳出一個警告視窗:

圖2:OSX上的警告視窗

 

之後會刪除系統上的App Store,接著出現全螢幕的假OSX更新畫面。

圖3:假 OSX更新畫面

Continue reading “OSX 更新畫面出現山寨版!網路釣魚夾帶惡意軟體,劫持 Apple OS X使用者網路流量”