《魚叉式網路釣魚》 一封假的 PDF工作邀請函, 網路間諜集團鎖定 G20 高峰會各國代表

G20 數位經濟工作小組高峰會即將來臨,網路間諜集團 Turla 提早部署後門程式

主要針對政府,高級官員和外交官的 Turla 網路間諜集團,這次鎖定G20 數位經濟工作小組,根據 媒體報導,該網路間諜集團目前正緊盯著即將在德國漢堡舉行的 G20 數位經濟工作小組高峰會,並提早部署一個叫作 KopiLuwak 的後門程式 (趨勢科技命名為 TROJ_KOPILUWAK.A、 JS_KOPILUWAK.A 和  JS_KOPILUWAK.B),專門鎖定所有受邀人員、來賓及各國代表。此後門程式除了會竊取資料之外,還會下載更多惡意程式到受感染的電腦上執行,或者執行其他指令。資安研究人員已經通知德國電腦緊急應變聯合中心 CERT-Bund。

[延伸閱讀:何謂魚叉式網路釣魚,您該如何防範?]

假的 G20 工作小組高峰會 PDF邀請函,引誘受害者開啟

根據觀察,Turla 的最新行動很可能會利用水坑式攻擊魚叉式釣魚攻擊(SPEAR PHISHING)郵件並利用一個假的 G20 工作小組高峰會邀請函來引誘受害者開啟。這項會議即將在 10 月舉行,資安專家發現,前述魚叉式網路釣魚郵件所挾帶的 PDF 文件 (檔名「Save the Date G20 Digital Economy Taskforce 23 24 October.pdf」) 似乎是個正常檔案,但卻只是個分散注意力的誘餌。此外它會在系統植入一個惡意 JavaScript 檔案,解密之後會在受感染電腦記憶體內執行 KopiLuwak。

[延伸閱讀:APT10/menuPass 的網路間諜行動 Operation Cloud Hopper 攻擊託管式服務供應商]

Turla 網路間諜集團曾將攻擊指令隱藏在小甜甜IG照片留言中

Continue reading “《魚叉式網路釣魚》 一封假的 PDF工作邀請函, 網路間諜集團鎖定 G20 高峰會各國代表”

短短 6天之內海撈 70 萬美元 !重大網路釣魚頻傳,FBI 發出警告

從近期重大攻擊事件,看網路釣魚手法

儘管網路釣魚(Phishing)相對於今日媒體上經常看到的精密攻擊似乎已經過時,但它仍是一項持續不斷的威脅。歹徒依然能夠透過一些新的手法來竊取企業的重要資料、珍貴資產,甚至破壞營運基礎架構。

phishing

7月初全球第四大數位貨幣交易所 Bithumb 的一位員工 遭駭,歹徒偷走了一批聯絡人電話、電子郵件地址等等,接著,歹徒利用偷來的資訊發動一波網路釣魚攻擊,但卻使用以往罕見的手法。同樣地,數位貨幣 Ethereum (乙太幣) 的用戶也在同月遭到攻擊。根據報導,駭客藉由網路釣魚手法在短短 6天之內海撈了 70 萬美元。

除了數位貨幣之外,美國能源機構與關鍵基礎架構也遭到持續性網路釣魚攻擊。其嚴重程度甚至引起美國聯邦調查局 (FBI) 和國土安全部 (Homeland Security) 的關注,並發出警告通知各機關嚴加防範。根據 媒體報導,這些網路釣魚電子郵件使用了一項罕見的技巧來蒐集受害者資訊。

趨勢科技為了協助使用者了解並防範這些新的威脅,以下將詳細介紹最近幾次攻擊所用的手法和技巧:

陳年伎倆:語音釣魚,導致南韓數位貨幣交易所損失超過數十億韓元

傳統的網路釣魚詐騙都是假冒知名機構的名義發出電子郵寄,接著,不是誘騙受害者輸入帳號密碼,就是將受害者重導至惡意網站。但前面提到的 Bithumb 攻擊案例卻用了一個陳年的老技巧:語音釣魚 (vishing)。歹徒利用從 Bithumb 員工偷來的資料, 假冒成 Bithumb 高階主管打電話給受害者,謊稱受害者的帳戶遭駭客入侵,要求受害者提供密碼和其他重要的帳戶安全資訊。根據媒體報導,受害者損失超過數十億韓元  (該交易所位於南韓)。

語音釣魚不像網路釣魚那樣大家耳熟能詳,而且它比其他詐騙手法更加仰賴社交工程技巧,因此,歹徒能否得逞全看他是否露出破綻,是否能完全掌控受害者的心理。在該案例中,歹徒從 Bithumb 偷到的資訊或許是他們的成功關鍵,因為歹徒在撥打電話時,已明確掌握受害者帳戶的詳細資訊,因此會讓人覺得相當可信,且不易露出破綻。

小眾網路論壇釣大魚: 假冒論壇管理員名義,通知論壇成員檢查自己的帳戶,騙帳號密碼 Continue reading “短短 6天之內海撈 70 萬美元 !重大網路釣魚頻傳,FBI 發出警告”

冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門,讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難,尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊,每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構(包括銀行)和礦業公司。值得注意的是,攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫(DLL)樣本最早在2017年6月6日被上傳到VirusTotal,這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊(SPEAR PHISHING)攻擊活動。

 

圖1、惡意電子郵件活動的攻擊鏈

 

圖2、送給一個目標的不同惡意電子郵件(時間順序為自左向右,順時針方向)

Continue reading “冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業”

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客,員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證,以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南:處理自帶設備(BYOD)環境所面臨的威脅

自帶設備(BYOD)在過去幾年大大地盛行,因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處,但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

 

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分,企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

 

防禦惡意應用程式:對於行動設備,企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案,可以偵測應用程式是否可以安全使用。此外,企業解決方案應該包含設備管理和應用程式管理功能,讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外,企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式,可以透過網路活動來先一步偵測惡意軟體。

 

網路釣魚

雖然網路釣魚(Phishing)並不僅是BYOD的問題,但它在BYOD生態系造成特別顯著的威脅,因為企業偏好將重點放在自己網路內設備的安全防護。網路犯罪分子往往先從安全鏈最脆弱的一環著手 – 最終使用者。網路釣魚攻擊是誘騙員工將惡意電子郵件或訊息誤以為正常的有效方法。

雖然有許多公司都會部署安全解決方案來有效過濾自己系統上可能的網路釣魚攻擊,但極少數會對員工設備做相同的事。這讓他們面臨針對個人帳號的攻擊,可能會影響到他們自己的設備。 Continue reading “太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?”

變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

 

目前,鍵盤側錄程式仍是變臉詐騙最常用來竊取受害者帳號密碼的工具,且效果良好。但是,想要利用電子郵件來散布執行檔,在今日已經不太容易,因為垃圾郵件過濾軟體通常很快就會發現這類危險郵件並加以標註。反觀 HTML 檔案沒有立即的危險性,除非該檔案被判定為網路釣魚頁面,否則並不會被標註。

 

變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

傳統上,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)都是利用鍵盤側錄程式來從受害電腦竊取使用者的帳號密碼。但是,使用附件方式來夾帶執行檔,通常會讓使用者起疑而不會點選附件檔案,因為執行檔有很高的機率是惡意程式。因此,趨勢科技最近發現一波改用 HTML 網頁為附件的網路釣魚(Phishing)郵件出現。

 

圖 1:夾帶 HTML 附件檔案的網路釣魚郵件。

一旦開啟該 HTML 附件檔案,就會啟動瀏覽器並顯示如下內容:

圖 2:HTML 網路釣魚頁面。 Continue reading “變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!”

OSX 更新畫面出現山寨版!網路釣魚夾帶惡意軟體,劫持 Apple OS X使用者網路流量

OSX_DOK惡意軟體(趨勢科技偵測為OSX_DOK.C)具備像濫用憑證和躲避防毒軟體等進階技術來感染Apple OSX作業系統電腦。這個惡意軟體專門針對瑞士銀行的用戶,利用網路釣魚(Phishing)攻擊來植入惡意軟體,最終利用中間人(MITM)攻擊來劫持使用者的網路流量。OSX_DOK.C就好像是另一個版本的WERDLOD(趨勢科技偵測為TROJ_WERDLOD,被用在Emmental行動的惡意軟體)。我們在本文章中會進一步探討這有趣的關聯。

 

《延伸閱讀》當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

 

網路釣魚信偽裝成蘇黎世警官,聲稱無法成功連絡到收件者

抵達方式和感染流程

圖1:OSX_DOK.C對Mac系統的感染流程

 

OSX_DOK.C會透過包含特定.zip或.docx檔案的網路釣魚郵件到達。趨勢科技所分析的樣本偽裝成蘇黎世警官,聲稱無法成功連絡到收件者。該郵件還夾帶兩個聲稱關於詢問使用者問題的檔案:一個是.zip檔案,這是個假 OSX應用程式,而另一個則是用 WERDLOD 針對Windows作業系統的.docx檔案。這兩個樣本都是銀行木馬程式,有著類似的功能。

郵件附件檔所用的檔案還包括以下例子:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • 2017.docx

 

刪除系統上的 App Store,出現全螢幕的假 OSX更新畫面

一旦點開網路釣魚郵件內的 docx 檔案,就會跳出一個警告視窗:

圖2:OSX上的警告視窗

 

之後會刪除系統上的App Store,接著出現全螢幕的假OSX更新畫面。

圖3:假 OSX更新畫面

Continue reading “OSX 更新畫面出現山寨版!網路釣魚夾帶惡意軟體,劫持 Apple OS X使用者網路流量”

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件,” Download Now “藏玄機, ,當心帳號密碼被盜

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜

釣魚網站竊取個資案件層出不窮,現在釣魚信件捲土重來,持續騙取被害者的網站登入帳號密碼等等資料。趨勢科技日前接獲回報,發現幾起釣魚信件的案件。

以往釣魚信件常直接將釣魚網站的惡意網址連結置於內文中,或將惡意連結偽冒為正常網址連結,誘使受害人信任而連線至釣魚網站,進而騙取受害人帳號密碼等個資。
此次的釣魚信件案件與前述案件不同,釣魚信件中夾帶惡意附件,駭客誘使受害者下載執行附件後,再連線至釣魚網站。

「釣魚信件」運作模式

〈案例一〉釣魚信件假冒 Word 檔案,誘使受害者點選,實為釣魚網站連結。

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜

點選檢視或下載,會連線至釣魚網站誘使受害者輸入帳號密碼等資訊。

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜

〈案例二〉釣魚信件夾帶惡意附件 pdf 檔。

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜

下載並執行附件後,打開 pdf 檔,裡面要求使用者下載瀏覽 pdf 檔案的程式。

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜

將滑鼠游標移至下載連結上方,發現真實連結網址並不是連線至 ADOBE 的網 站,而是釣魚網站。

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜

「釣魚信件」的5 個防範之道

  1. 點選信件中的網站連結前,移動滑鼠檢查真實連結網址
  2. 確認信件來源,切勿輕易下載附加檔案
  3. 收到要求提供個人資料的電子信件要小心
  4. 檢查信件內是否有拼寫錯誤和語法錯誤
  5. 自行連線至官方網站再輸入資料

安裝具有防範網路釣魚技術的資安/防毒軟體

PC-cillin 封鎖惡意網站 主動偵測並預警來自網站、社群網路和電子郵件中的惡意連結,防範您的上網裝置感染病毒、勒索病毒或間諜程式等網路威脅;防堵網路詐騙自動偵測並封鎖網路釣魚詐騙郵件和垃圾信,防範您的個人資料被騙或遭駭客竊取》即刻免費下載
PC-cillin 封鎖惡意網站 主動偵測並預警來自網站、社群網路和電子郵件中的惡意連結,防範您的上網裝置感染病毒、勒索病毒或間諜程式等網路威脅;防堵網路詐騙自動偵測並封鎖網路釣魚詐騙郵件和垃圾信,防範您的個人資料被騙或遭駭客竊取》即刻免費下載

 

 


 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數 【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜 【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜 【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件," Download Now "藏玄機, ,當心帳號密碼被盜

駭客如何反將組織一軍?

伺機而動:駭客如何反制防護策略並用於攻擊

在運動電影、戰爭故事和犯罪情節當中,總會出現下列主軸:知己知彼,百戰百勝。

人們在層層設定 (包括網路安全領域) 中,採用了這種戰術,且通常成功率很高。安全研究人員不斷努力徹查並瞭解駭客使用的技術,以便打造可防禦特定威脅的目標式防護。不過,大多數人都沒有發現到,在防護端另一側的敵人,也正發展出相同的策略趨勢。

惡意的駭客與白帽駭客一樣,都持續精進自己的技術。再者,現在有些攻擊者並不會採用已知的系統漏洞,反而想利用組織部署的惡意行動封鎖防護措施,來反將組織一軍。

這些安全措施本應讓消費者與企業用來保護最重要的資料與內容,為何反被網路罪犯作為攻擊武器?接下來,讓我們來看看目前駭客會使用的幾個狡猾技術。

員工平日訓練有素? 駭客總有辦法突破心防

許多企業的安全防禦基礎之一,是對員工進行專業的特殊培訓。這有助員工瞭解如何找出具有攻擊徵兆的惡意活動,並掌握自己在公司整體資料防護中所扮演的個別角色。許多的培訓課程都教導員工,除非獲得授權人或團體的許可,否則都不要提供個人或公司的敏感詳細資料。

對此,駭客可偽造冒牌電子郵件,引誘受害者點選會干擾內部系統的惡意連結。

擬定這個策略後,駭客即開始利用網路釣魚(Phishing),該技術會依靠仿真的訊息,說服受害者提供敏感資訊。在這類攻擊當中,攻擊者可能會偽造來自權威機構 (例如銀行或執法部門) 且看似合法的訊息。

在某些案例中,當攻擊者鎖定特定企業的成員時,駭客會竭盡所能地瞭解這些對象,並偽造出一封與他們高度相關的訊息。其中可能包括該對象的姓名、公司職稱和其他詳細資料,以吸引閱信者的目光,並誘使他們點選惡意連結或足以干擾系統的附件。 Continue reading “駭客如何反將組織一軍?”

騙取 Google 帳號存取權限的新式網路釣魚郵件正夯

最近出現了大量專門騙取 Google 帳號存取權限的新式網路釣魚郵件,其會存取受害人的電子郵件信箱和聯絡人,進一步詳細資訊,請參閱 The VergeQuartzArs Technica 網站。這一波網路釣魚是駭客大規模竊取使用者帳號存取權限最惡毒的手法。

Google Docs連結暗藏危機!一點開帳號全都露

騙取 Google 帳號存取權限的新式網路釣魚郵件正夯

在這波攻擊當中,受害者會收到一封看似正常的電子郵件,裡面附了一個「在 Docs 中開啟」(Open in Docs) 的按鈕。此按鈕背後是一個完全正常的連結,它會連上 Google 的 OAuth 認證服務。駭客會先設計好一個不肖應用程式,然後經由網路釣魚電子郵件散布前述連結來誘騙使用者在 Google 的 OAuth 服務上授權應用程式存取使用者的帳號。

首先,歹徒會假借分享文件的名義,冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結,頁面上會列出使用者所擁有的全部帳號。接著,該網頁會請使用者選擇一個帳號,並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而,一旦使用者授權給該應用程式,該程式就能存取其電子郵件信箱和通訊錄,不僅能讀取信件,還能利用其名義發信。接著,該程式會讀取受害者的通訊錄,然後再用同樣的手法,發信給通訊錄中的每一個聯絡人。藉由這種複製方法,這個不肖程式短期內就能散布得非常廣。

這項技巧非常高明,因為歹徒不需在電子郵件當中夾帶惡意檔案。而且因為這個連結是指向 Google 的服務,因此一般過濾軟體也不會加以攔截。所以,要防範這類攻擊,非常依賴使用者自己的安全意識。

《延伸閱讀》:Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用

「Google Defender」宣稱可以保障使用者的帳號安全,但其實是新型的網路釣魚手法!

一般的網路釣魚攻擊,目標都是希望駭入使用者的電腦。但這類網路釣魚的目標,卻是進入使用者的 Google 帳號。

我們曾經見過一個叫「Pawn Storm」的駭客團體使用過這類技巧。在那次攻擊中,駭客設計了一個名叫「Google Defender」的不肖應用程式,宣稱可以保障使用者的帳號安全,但其實正好相反!

Pawn Storm 的攻擊同樣也是利用使用者對 OAuth 服務的不了解。當駭客的目標是您的 Google 帳號時,歹徒的攻擊就很難防範,也很難偵測。

《延伸閱讀》:登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

 

Google Defender 發出的存取權限允許請求:偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式
惡名昭彰的Pawn Storm 網路間諜攻擊,也曾偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式

Continue reading “騙取 Google 帳號存取權限的新式網路釣魚郵件正夯”

真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆

儘管網路釣魚是最古老的網路詐騙手法之一,但至今仍是企業和個人頭痛的問題。事實上,其數量似乎仍在不斷成長。根據網路釣魚防治工作小組 (Anti-Phishing Working Group) 的報告,2016 年估計高達 1 億以上的用戶,因為網路釣魚信件而被導向一個散布 Locky勒索病毒 的網站。網路犯罪集團不斷假冒各種知名服務,例如 Netflix 影音網站的用戶即曾經成為 網路釣魚攻擊的目標,許多人都被騙走了帳號和密碼。

⊙延伸閱讀:勒索病毒再度盯上追劇族,利用Netflix 帳號產生器當誘餌

 

有鑑於網路釣魚如此盛行,使用者務必學會如何分辨網路釣魚郵件。儘管犯罪集團會盡可能讓網路釣魚郵件看起來像真的一樣,但使用者仍有一些蛛絲馬跡可循。以下提供幾個假冒全球知名網站的網路釣魚郵件真實案例來說明使用者該注意哪些地方:

案例 1:LinkedIn -歹徒覬覦該社群網站的企業員工個人資訊

LinkedIn是一個專業人士聚集和建立人脈的社群網站,也因此成了網路犯罪集團覬覦的重要目標,歹徒覬覦它擁有上億用戶的企業員工的個人資訊。

Continue reading “真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆”