網路釣魚 Phishing - 資安趨勢部落格

社交網站一向是網路犯罪者各種不同惡意活動經常使用的媒介，其手法大多利用網路釣魚（Phishing）和垃圾郵件(SPAM)。而 Blackhole 漏洞攻擊套件 (簡稱 BHEK) 垃圾郵件正是讓網際網路使用者困擾已久的此類攻擊之一。BHEK 垃圾郵件行動專門利用知名品牌與網站來誘騙使用者。

正因如此，最近看到 BHEK 垃圾郵件開始侵襲 Pinterest 網站與該網站的使用者，其實一點也不令人意外。該網站在遭遇這波攻垃圾郵件攻擊行動之前，就曾經遭受過其他威脅，例如問卷調查詐騙與專門將使用者導向惡意網站的垃圾郵件。

目前趨勢科技已採集到這波垃圾郵件的樣本，並且分析其感染過程，以下是整個感染過程的詳細步驟：

使用者的信箱收到垃圾郵件，垃圾郵件看起來就像 Pinterest 所發出的電子郵件通知，告訴使用者其密碼已變更成功，並且附上一個連結讓使用者查看新的密碼。
使用者若點選了該連結，就會被重導至一系列的網站，此重導程式碼就是趨勢科技所偵測到的 HTML_IFRAME.USR。
HTML_IFRAME.USR接著下載另一個惡意程式到系統上：TROJ_PIDIEF.USR，後者又在系統上植入 BKDR_KRIDEX.KA。這個最後植入的程式是一個後門惡意程式，能夠執行遠端駭客所下達的指令，使系統出現安全漏洞。繼續閱讀

錯誤的資料外洩通知個案:Ubisoft 資料外洩通知信件

2013 年 07 月 12 日2013 年 07 月 12 日趨勢科技 TrendMicro

倘若您的企業不幸必須通知客戶有關資料外洩的情況，千萬不要在密碼重設通知信件當中提供連結，這等於鼓勵客戶養成不安全的習慣，使得他們很容易在這類事件發生之後遭到網路釣魚（Phishing）攻擊。請務必建議客戶自行前往您的網站，然後依照畫面上很容易找到的指示操作。

Rik Ferguson | 趨勢科技全球安全研究副總

我收到一封來自遊戲出版商 Ubisoft 的資料外洩通知信件,信件內容表示：

「最近我們發現駭客入侵了我們其中一個網站，並且擅自存取了我們的線上系統。我們立即採取了必要措施來阻止存取，同時亦著手調查此次事件，並且復原遭入侵的系統。

在這過程當中，我們發現我們的帳號資料庫已遭非法存取，包括：使用者名稱、電子郵件地址，還有已加密的密碼。請注意，Ubisoft 並未儲存任何個人付款資訊，因此您的扣款卡/信用卡資料並未受到此次入侵影響。

有鑑於此，我們建議您修改下列帳號的密碼：<帳號名稱>。」

此外，Ubisoft 部落格上的進一步說明指出，駭客使用了偷來的帳號密碼來非法存取該公司的系統。
接著，通知郵件表示：「為了謹慎起見，我們也建議您至任何您使用相同或類似密碼的網站上修改密碼。」這一點在這類情況之下確實是一項良好建議，但若仔細推敲 Ubisoft 的部落格內容就會發現，其情況可能比「為了謹慎起見」更加危急。

該公司的部落格文章表示：「密碼並非以純文字方式儲存，而是以編碼過的數值儲存。這些數值無法逆向解開，但卻可以強行破解，尤其是當密碼強度不足時。這就是為何我們建議使用者修改密碼。」繼續閱讀

駭客組織 Anonymous匿名者發動Operation Petrol攻擊意圖大量癱瘓石油國家與企業網站

2013 年 06 月 20 日2013 年 06 月 20 日趨勢科技 TrendMicro

中東地區特定政府網站疑已遭攻擊關閉 政府及企業應加強戒備以防受骇

【2013年06月20日 台北訊】駭客組織「 Anonymous匿名者」於月初宣稱將於今日發動代號為「Operation Petrol」的攻擊行動，鎖定全球主要石油產業相關的政府及企業，趨勢科技(TSE:4704)分析該組織很可能已經在五月即開始部署可發動目標性攻擊的惡意行動，以達到癱瘓大量網站目的。目前已知部分中東政府網站與特定企業也已遭攻擊，趨勢科技呼籲全球政府與企業都應提高警覺，建議企業與政府於近期進行內部IT資安防護能力檢測，確實更新修補元件、提高對網路與電子郵件釣魚的警覺心，以防成為此波攻擊受害者。

駭客團體「 Anonymous匿名者」於月初表示為了抗議石油交易以美金計價，嚴重剝奪石油產出國權益，預計於6月20日發動一波代號為「Operation Petrol」的攻擊，攻擊對象遍及全球主要國家，多數為該組織認為「石油美金」既得利益國家政府與石油產業網站，匿名者組織更進一步公布已經掌握一千個網站、三萬五千個email帳號密碼，以及十萬個Facebook帳號密碼，彰顯其具備癱瘓大量網站的能力。

根據趨勢科技病毒防治中心TrendLabs的分析，該組織已經於五月開始佈局，透過遠端C&C伺服器控制遭後門程式CYCBOT感染的電腦形成殭屍網路，駭客將可運用殭屍網路發動DDOS攻擊，癱瘓大量網站。目前已知沙烏地阿拉伯與科威特部分政府網站已經遭到零星攻擊而暫時關閉，亦有數家被駭客鎖定的機構已確定遭到攻擊。

繼續閱讀

數家韓國網銀出現網路釣魚網站

2013 年 06 月 20 日2013 年 07 月 04 日趨勢科技 TrendMicro

作者：Roddell Santos（威脅分析師）

網路銀行的相關威脅已經流行了好幾年，不過最近它們似乎下定決心要擴大目標範圍。在過去幾個禮拜、幾個月內，趨勢科技看到利用各類技術的多種攻擊將目標放在韓國銀行。

我們所看到的最新一次攻擊，會使用木馬程式將幾家韓國銀行使用者導向到惡意的網路釣魚（Phishing）網站。它通過修改系統的HOSTS檔案來做到這一點，好將使用者導到位在日本的一個IP地址。這起攻擊所用的木馬程式為TSPY_QHOST.QFB，而相關的批次檔（實際用來修改HOSTS檔案的程式）被偵測為BAT_QHOST.QFB。（這種技術已經被其他的銀行威脅使用多年了）

繼續閱讀

間諜軟體發送下載Skype授權憑證通知信, 發動雙重陷阱 ,監控使用者裝置, 竊取機密個資

2013 年 06 月 03 日2013 年 06 月 03 日趨勢科技 TrendMicro

接獲Skype授權通知的信件?小心已經成為間諜軟體的攻擊目標。趨勢科技發現國外已經出現網路犯罪者假冒Skype官方通知電子郵件，並宣稱須盡快點選信中連結下載「官方授權憑證」，否則使用者的Skype帳號將會被刪除，點選該網址後將下載TSPY_DELPBANK.EB間諜軟體，該軟體會監控並竊取受感染裝置上的網頁瀏覽資訊、滑鼠活動記錄以及系統資料等資訊，更會於使用者瀏覽特定國外銀行網頁時，跳出看似該銀行要求提供個資的假視窗，不成功獲得使用者個資絕不罷休。

MSN與Skype的合併改變民眾多年的網路通訊軟體使用習慣，適應嶄新的Skype介面以及悼念MSN小綠人離去的同時，趨勢科技發現國外已經出現有心人士假Skype官方名義廣泛發送「要求使用者即刻下載授權憑證」電子郵件的案例，郵件內文提醒使用者若不盡快下載所謂的「授權憑證」，其Skype帳號將被停權。

假冒Skype官方名義發送的假「要求下載授權憑證」信件樣本

該間諜軟體會收集以下資料:

網頁瀏覽資訊
滑鼠活動紀錄
鍵盤活動紀錄
桌面截圖
系統資訊

當間諜軟體在傳送上述資料時,會出現以下 Skype 更新畫面,藉以掩人耳目

犯罪者設計彈出視窗，使用者容易誤以為Skype正在更新，誰知間諜病毒正在入侵。

除了上述行為外，當使用者連到特定國外銀行網站時，該間諜程式會跳出看似安裝「 Gbplugin」的視窗，讓使用者誤以為需要下載此程式才能瀏覽網站，一旦點選下載，將會看到顯示下載完成的視窗，接著就被導向假冒該銀行的網頁，網頁中要求使用者提供許多個人資料，不排除可能會造成個人姓名、電話，信用卡個資等相關資訊外洩。

第二重陷阱：假冒特定銀行網頁，誘騙使用者提供許多機密資訊。

趨勢科技資深顧問簡勝財表示：「這是一個多層設計的電子郵件社社交工程陷阱( Social Engineering)手法，結合Skype與MSN合併的議題讓使用者降低戒心，一旦點選後將遭植後門程式，除了使用行為以及電腦系統資訊遭監控外，歹徒煞費苦心的最後目標仍是鎖定使用者較為機密的個人資料，以圖謀利或是冒用使用者身分進行不法行為，不排除之後可能出現使用相同手法並針對華語地區的攻擊出現。」

趨勢科技用戶請放心, PC-cillin 2013雲端版會封鎖該垃圾郵件，同時也會封鎖所有相關的惡意網址和惡意軟體。