網路銀行的相關威脅已經流行了好幾年,不過最近它們似乎下定決心要擴大目標範圍。在過去幾個禮拜、幾個月內,趨勢科技看到利用各類技術的多種攻擊將目標放在韓國銀行。
我們所看到的最新一次攻擊,會使用木馬程式將幾家韓國銀行使用者導向到惡意的網路釣魚(Phishing)網站。它通過修改系統的HOSTS檔案來做到這一點,好將使用者導到位在日本的一個IP地址。這起攻擊所用的木馬程式為TSPY_QHOST.QFB,而相關的批次檔(實際用來修改HOSTS檔案的程式)被偵測為BAT_QHOST.QFB。(這種技術已經被其他的銀行威脅使用多年了)
接獲Skype授權通知的信件?小心已經成為間諜軟體的攻擊目標。趨勢科技發現國外已經出現網路犯罪者假冒Skype官方通知電子郵件,並宣稱須盡快點選信中連結下載「官方授權憑證」,否則使用者的Skype帳號將會被刪除,點選該網址後將下載TSPY_DELPBANK.EB間諜軟體,該軟體會監控並竊取受感染裝置上的網頁瀏覽資訊、滑鼠活動記錄以及系統資料等資訊,更會於使用者瀏覽特定國外銀行網頁時,跳出看似該銀行要求提供個資的假視窗,不成功獲得使用者個資絕不罷休。
MSN與Skype的合併改變民眾多年的網路通訊軟體使用習慣,適應嶄新的Skype介面以及悼念MSN小綠人離去的同時,趨勢科技發現國外已經出現有心人士假Skype官方名義廣泛發送「要求使用者即刻下載授權憑證」電子郵件的案例,郵件內文提醒使用者若不盡快下載所謂的「授權憑證」,其Skype帳號將被停權。
假冒Skype官方名義發送的假「要求下載授權憑證」信件樣本
該間諜軟體會收集以下資料:
當間諜軟體在傳送上述資料時,會出現以下 Skype 更新畫面,藉以掩人耳目
犯罪者設計彈出視窗,使用者容易誤以為Skype正在更新,誰知間諜病毒正在入侵。
除了上述行為外,當使用者連到特定國外銀行網站時,該間諜程式會跳出看似安裝「 Gbplugin」的視窗,讓使用者誤以為需要下載此程式才能瀏覽網站,一旦點選下載,將會看到顯示下載完成的視窗,接著就被導向假冒該銀行的網頁,網頁中要求使用者提供許多個人資料,不排除可能會造成個人姓名、電話,信用卡個資等相關資訊外洩。
第二重陷阱:假冒特定銀行網頁,誘騙使用者提供許多機密資訊。
趨勢科技資深顧問簡勝財表示:「這是一個多層設計的電子郵件社社交工程陷阱( Social Engineering)手法,結合Skype與MSN合併的議題讓使用者降低戒心,一旦點選後將遭植後門程式,除了使用行為以及電腦系統資訊遭監控外,歹徒煞費苦心的最後目標仍是鎖定使用者較為機密的個人資料,以圖謀利或是冒用使用者身分進行不法行為,不排除之後可能出現使用相同手法並針對華語地區的攻擊出現。」
趨勢科技用戶請放心, PC-cillin 2013雲端版會封鎖該垃圾郵件,同時也會封鎖所有相關的惡意網址和惡意軟體。
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
◎ 歡迎加入趨勢科技社群網站
本部落格介紹過報稅相關有趣調查:25%的人寧願看牙醫、塞在車陣裡或在急診室裡等待,也不想準備報稅瑣事,即使如此我們還是得面對要在五月完成報稅這個事實。
根據趨勢科技PC-cillin 生活調查小組近日做的一份線上調查,近75%的民眾表示今年都將選擇使用網路進行報稅;近60%民眾認為報稅所需個人資料一旦被駭客盜取,後果將不堪設想,顯見台灣民眾對於個資隱私的重視程度。事實上,報稅所需個人資料是駭客眼中販賣獲利的搖錢樹,針對報稅個資保護,趨勢科技提倡「五要二不e守則」,並提供免費 PC-cillin 雲端版 版本,陪伴民眾「稅稅平安」。
根據此份網路調查報告顯示,超過75% 的民眾對於報稅抱持著「早報早超生」的態度,並且有近40%的民眾選擇在報稅截止日前一周才進行報稅。隨著網路的盛行,有近75%的台灣民眾今年都將採取網路作為報稅的管道,顯見現今多數民眾已經擁抱網路報稅的便利性;但同時又有60%的民眾認知到個資外洩的後果不堪設想,顯見台灣民眾對於報稅個資的安全性具有高度意識。
網路詐騙份子看來找到了個新的關注目標:Apple ID。在最近幾天,趨勢科技看到想要竊取Apple ID的網路釣魚(Phishing)網站大量的增加。
當檢視這些網址時,趨勢科技注意到這些網路釣魚(Phishing)的網址都有著統一的模式。它們都位在資料夾~flight底下。有趣的是,如果嘗試去直接瀏覽該資料夾,就會出現底下網頁:
如前所述,該資料夾包含了偽裝得非常像的Apple ID登錄網頁:
我們已經確認了一百一十個淪陷的網站,都代管在IP地址 – 70.86.13.17,被註冊在休士頓的網路服務供應商。幾乎所有的這些網站都還沒有被清除乾淨。
上圖顯示了針對Apple ID的網路釣魚(Phishing)在增加。我們看到了這些攻擊不僅是針對美國使用者,同時也針對了英國和法國的使用者。某些版本的攻擊不僅會要求使用者提供Apple ID登錄資料,也會要求他們的帳單地址和其他個人資料和信用卡資訊。最終會被導到一個顯示存取已經恢復的網頁,不過資訊也被偷了。可以在下圖看到它是如何要求提供信用卡資訊:
使用者可能是透過垃圾郵件(SPAM)被導到這些釣魚網站,它會顯示使用者的帳戶將到期,除非提供資訊接受審查,這不僅會讓使用者去點入連結,也會讓他們更願意去提供一些資料。
有一種方法可以識別這些網路釣魚(Phishing)網站,就是這些假網站不會出現任何跡象顯示你位在安全的網站(像是出現在工具列的鎖頭和「Apple Inc. [US]」),你可以看看正常網站的截圖:
一封假冒銀行交易的網路釣魚信件,導致南韓爆發史上最大駭客攻擊,這就是APT 目標攻擊最愛採用魚叉式網路釣魚攻擊手法。魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊,想辦法盡可能看起來真實。在大多數情況下,這些郵件不包含惡意軟體。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。
作者:Vic Hargrave
網路釣魚在網際網路的威脅環境裡是種始終存在的危險。在我的部落格文章 – 對抗釣魚郵件中,我提到了你可以如何做來對抗傳統的網路釣魚(Phishing)。傳統指的是,這些郵件利用社交工程技術來讓你點入郵件裡通往惡意網站的連結,你可能會被要求輸入有價值的個人資料 – 信用卡號碼、帳號登錄資料等等。
正如我之前所指出的,這些攻擊很容易偵測。大多數瀏覽器和電子郵件客戶端都提供某種程度的保護。當然,像PC-cillin 2013雲端版這樣的安全解決方案也在封鎖已知惡意網站,打擊網路釣魚(Phishing)方面做了很好的工作。
但在過去一年裡,趨勢科技威脅研究人員觀察到,魚叉式網路釣魚(Phishing)的趨勢正在上升。根據趨勢科技安全報告 – 「魚叉式網路釣魚郵件:APT攻擊最愛用的誘餌」,它在二〇一二年二月到九月間所收集的資料顯示,有91%的目標攻擊用到魚叉式網路釣魚攻擊手法,誘騙受害者打開惡意檔案或網站。
魚叉式網路釣魚看起來像什麼
和傳統撒下大網,希望達到受害者數量最大化的網路釣魚(Phishing)不同,魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊,想辦法盡可能看起來真實。在大多數情況下,這些郵件不包含惡意軟體或我之前提過的網路釣魚郵件品質。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。
如果你在安全或業務相關部落格上讀過魚叉式網路釣魚(Phishing),可能會讓你認為這種攻擊只限於公司內部的人。但趨趨勢科技的垃圾郵件(SPAM)威脅研究員 – Jon Oliver跟我分享了一些魚叉式網路釣魚(Phishing)的有趣案例,將會讓你有新的想法。第一個是來自Verizon的通知郵件,第二個似乎是來自美國國稅局的通知。
這些郵件看起來很像真的,不是嗎?國稅局那封簡直讓人嚇壞了。很多人會被騙去點入這些偽造郵件內的連結,但這樣做的後果比以前更可怕。隨著越來越多惡意攻擊套件在網路犯罪地下世界內流通和使用(像是黑洞漏洞攻擊包),只需要一指點入魚叉式網路釣魚郵件內的一個連結,你的瀏覽器就會載入惡意軟體,進而危害到你的電腦。
