網路釣魚 Phishing - 資安趨勢部落格

53% 的上班族在工作時網購禮物, 企業也該當心購物詐騙!

2017 年 12 月 15 日2017 年 12 月 11 日趨勢科技 TrendMicro

假日購物季節已經到來，消費者們也在尋找關於熱門玩具、電子產品和服裝等的特別折扣。雖然這季節會出現很棒的優惠和禮品，不過也有來自惡意攻擊者狡猾複雜的威脅。駭客們利用大增的購賣慾望和網路活動來發動無數的假日購物詐騙。

購物旺季 企業也該留心的四項威脅

消費者不只是在自己的個人時間進行購物。根據CareerBuilder的一項研究發現，有53%的企業員工在工作時選購禮物。這之中有43%承認自己在網路購物上花超過了一個小時。

這樣一來，假日購物詐騙影響到的不只是個人，使用企業網路的工作者也會將企業基礎設施帶入危險。隨著消費旺季的到來，這裡提供該注意的四項常見威脅：

1.讓人不由自主點進去的網路釣魚郵件

“雖然消費者中有91%表示自己意識到網路釣魚威脅，還是有五分之二的美國人被騙。”

網路釣魚攻擊在年度購物季節橫行，大部分都是針對想尋找優惠的消費者。駭客針對這點來加以利用，製作包含折扣、優惠券、禮物卡等誘人內容的電子郵件。而這些電子郵件往往夾帶了惡意連結，會讓受害者電腦感染惡意軟體或是騙取個人資料。

根據USA Today的報導，雖然消費者中有91%表示自己已經意識到網路釣魚威脅，但還是有五分之二的美國人受騙。

要發現網路釣魚攻擊，可以檢查寄件者地址是真的來自該公司。此外，在點擊電子郵件連結前先將滑鼠游標移到上面來確認會被導到想去的網站。

繼續閱讀

就是要你點進去!年終購物季小心四種網路詐騙標題

2017 年 12 月 13 日2017 年 12 月 11 日趨勢科技 TrendMicro

年終購物季正如火如荼展開，如同往常一樣，網路犯罪集團早已盯上全球瘋狂購物的消費者。

不過這並非什麼網路詐騙或網路犯罪最新趨勢。多年來，每到年終，消費者遭到詐騙的案件數量便邁入高峰。從 2008 年起，趨勢科技即開始追蹤專門騙取消費者信用卡資料與其他寶貴資訊的網站和垃圾郵件。年終購物潮期間，這類網站數量的增加完全在預料之內，但消費者只需了解歹徒的詐騙手法如何運作，就能保障自身安全。

四種引誘標題,就是要你點進去

今日，使用者已經越來越能分辨垃圾郵件，但網路犯罪集團也不是省油的燈，其社交工程（social engineering ）技巧越來越細膩。許多社交工程誘餌看起來幾可亂真，甚至會精心仿冒一些使用者平常不加思索就會點進去的電子郵件或訊息。

最近我們經常看到歹徒利用下列四種標題來引誘使用者上當：

網購訂單或包裹相關的標題
帳單或發票
旅遊好康或優惠
虛構的促銷或假日特賣

以下是一個網路犯罪集團利用這類標題的範例：這封典型的垃圾郵件看起來很像一封郵局寄來的信件，裡面隨附了一個看似平常的連結，但該連結卻是指向專門散布惡意程式的網站：繼續閱讀

購物季防詐9原則》阿里巴巴旗下AliExpress.com出現漏洞,恐讓信用卡個資外洩

2017 年 12 月 01 日2017 年 11 月 28 日趨勢科技 TrendMicro

安全研究人員在黑色星期五這週披露了阿里巴巴所擁有網路購物服務AliExpress.com(全球速賣通)的一個漏洞，這家公司在全球擁有超過1億的客戶。該網路購物網站被發現一個開放式重新導向（open redirect）漏洞，讓攻擊者能夠展示假優惠券給購物者，以騙取敏感資料。AliExpress在被通知的兩天內採取了行動並加以修復。

受駭者一旦執行包含惡意Javascript程式碼的AliExpress網頁連結，主畫面上會跳出假優惠券視窗來要求客戶提供信用卡資料。攻擊者控制了這個假視窗，使得信用卡資料直接送給攻擊者而非購物網站。

替此漏洞找出攻擊方法的安全研究人員指出，AliExpress只用了簡單的方法來阻止這類攻擊。這方法會檢查請求的referer標頭。如果referer沒有設定或不正確，請求會被伺服器拒絕。referer是用來標識請求來源網頁地址的HTTP標頭。

為了繞過AliExrpress的檢查網址來源的保護機制，研究人員送出會由許可且受信賴AliExpress網址導向的惡意連結。為了測試成功，研究人員找出AliExpress內會重新導向第二個AliExpress內連結的連結，讓惡意連結可以加以取代。研究人員將所選擇連結作成了短網址，好讓其看起來不會可疑。點擊這連結的客戶會被送到一個AliExpress登入畫面，接著會將JavaScript注入頁面並發出假優惠券。

防範網路釣魚攻擊

隨著購物季節的到來，攻擊者可能會趁這機會來利用網路釣魚攻擊賺一筆。如果你懷疑自己成為了網路釣魚騙局的受害者，請立刻變更所有帳號的密碼和個人識別碼。

以下是其他如何發現和防止網路釣魚詐騙的九個建議：

將購物網站加入書籤。避免用搜尋引擎來找優惠。將你的搜尋結果限制在受信任且安全的購物網站，這能夠減少你連到詐騙網站的機會。
記得要檢查連結。在點入內嵌的連結前先將游標移到上面來確認網址是否正常。
詐騙郵件通常包含制式的問候語。同時收件者也可能只用使用者的郵件地址而沒有加上他/她的名稱，這是一個警訊。
注意不良的文法或拼寫錯誤。正常郵件不會出現明顯的錯誤。
識別設計完善的電子郵件。錯誤或不當的標誌和版面設計也可以看出郵件並非來自可信來源。
當網站要求輸入密碼時要小心謹慎。切勿將密碼或敏感資訊交給不受信任或第三方網站。
小心那些要求採取緊急行動的郵件或網站。有些郵件會包括緊急的行動要求，如點入某些連結或給出個人資料。
提防各種誇張得不真實的好康優惠。有一種說法是：“如果事情看起來好得太不真實，那可能就不是真的”，這同樣也適用於網路購物。小心那些用非常低價格提供的商品。
定期檢查信用卡帳單。注意未經授權的交易。

繼續閱讀

這個聊天機器人專門用來”詐騙”網路釣魚詐騙集團

2017 年 11 月 20 日2017 年 11 月 17 日趨勢科技 TrendMicro

《AI人工智慧》人工智慧機器人 Re:scam 以毒攻毒對抗垃圾信

儘管電子郵件詐騙存在已久，但至今網路釣魚（Phishing）依然氾濫，因為就是有人上當。絕大多數收到這類惡意郵件的人都能分辨，並且直接將它刪除，只有少數人會真的開啟這些郵件。不過有趣的是，紐西蘭一家網路安全推廣非營利機構 Netsafe 開發了一種專門用來「詐騙」網路詐騙集團的人工智慧 (AI) 機器人。

使用者只需將疑似詐騙的郵件寄到 Netsafe 的電子郵件地址：me@rescam.org 就能啟動「Re:scam」人工智慧機器人軟體來反將詐騙集團一軍。該公司在收到電子郵件之後，會再次確認是否真的為詐騙郵件。一旦確認，就會利用一個代理郵件地址來和詐騙集團聯繫。他們會讓人工智慧機器人會發送大量與該詐騙相關的各種不同郵件到寄信人的電子郵件地址。Re:scam 的目的是要浪費詐騙集團的時間，因為其信件內容自然而不做作，看起來就像真的受害者上當之後回應歹徒詐騙的信件一樣。繼續閱讀

從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?

2017 年 11 月 10 日2017 年 11 月 03 日趨勢科技 TrendMicro

幾年前，金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號，在金融時報內部發送網路釣魚郵件，進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時，立刻透過郵件通知所有使用者，並附上一個連結讓使用者更改密碼。問題是，駭客也看到了 IT 人員的這封信，因此又重發了一次該信，但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼，不過最後，駭客覺得金融時報只是個小咖，因此轉而攻擊其他媒體機構。

案例一：竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

案例二：內部 Office 365 登入憑證網路釣魚,詐財匯款得逞

案例三：駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇

今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚（Phishing）攻擊，也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一，駭客通常先讓使用者裝置感染惡意程式，以便掌控使用者的電子郵件信箱，或取得使用者的帳號密碼。接著，歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊，進而竊取企業資訊或從事勒索。除此之外，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁，因此收件者很容易不疑有詐。

案例一：竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

今年稍早遭到起訴的「Eye Pyramid」犯罪集團，多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件，他們會先入侵一位使用者的帳號，然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料，並將資料傳送給駭客，其中也包括電子郵件地址，因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為，但其實只是一位義大利核子工程師和他妹妹而已，兩人單純只是想靠竊取資料發財而已。

繼續閱讀