資料外洩/個資外洩 - 資安趨勢部落格

” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團….包含勒索病毒!

2017 年 04 月 13 日2017 年 04 月 18 日趨勢科技 TrendMicro

「陳○○女士,您的電信本月應繳費賬單,查詢電子帳單..」、「劉○○先生,你的露天商品已經送達門市..」、「許○○這是你那晚沒來的照片，我被整慘了…」、「謝○○我在墾丁拍的照片，你覺得哪張最好看?」、「林○○這是上次同學聚會的照片，大家都有來」 、「何○○這是上次聚會的照片，你好好 笑」….很多受害人因為收到標記有自己姓名的簡訊,而不疑有他的按下詐騙連結因而損失數千元不等 …繼裝熟簡訊之後,最近災情疫發不可收拾的勒索病毒,也起而效尤類似的社交工程手法。

會直呼你名字的勒索病毒 Zepto,大規模散發帶毒垃圾信

Zepto 是一個隨著一波垃圾郵件攻擊行動而迅速竄紅的勒索病毒 Ransomware (勒索軟體/綁架病毒)變種，這波行動在短短四天之內至少散送了 13 萬封垃圾郵件(SPAM)。就目前所知，Zepto 與 Locky 勒索病毒家族有所淵源，此家族專門利用垃圾郵件 (及其他方式) 來大量散布。

這波挾帶勒索病毒的垃圾郵件行動運用簡單的社交工程social engineering技巧來誘騙使用者開啟附件檔案。這些電子郵件會直呼收件人的名字讓信件看來更親切，信件一旦開啟，就會在背後執行一個惡意的 Javascript，然後將使用者電腦上的檔案全部加密，並加上「.zepto」這個附檔名。

會直呼你名字的勒索病毒釣魚信不稀奇,還有知道你家地址的勒索病毒….

勒索病毒竟知道你家地址? 推測這些資料很可能來自一些外洩事件中失竊的資料庫。

BBC 報導指出一個叫做「Maktub」的勒索病毒(勒索軟體 / Ransomware)大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊，要求他們點郵件中的連結列印發票，而這個連結會讓電腦感染勒索病毒Ransomware。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。

值得注意的一點是，網路釣魚（Phishing）郵件內容當中不僅寫出了收件人的姓名，還附上了受害人的地址。包含 BBC 的工作人員在內，都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

勒索軟體 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資 — 勒索病毒 Maktub 網路釣魚信中,含有受害人發票寄送地址的個資

一但看到勒索警告訊息，硬碟上有價值的檔案都已加密，過程不到幾秒宛若電腦版的搶劫

BBC 報導指出,有受害人擔心歹徒是從他們的 eBay 帳號取得這些資料，因為他們在 eBay 帳號中的住址寫法和歹徒網路釣魚郵件當中的寫法一模一樣。文中受訪的資安專家表示：「它的動作非常迅速，當畫面上出現警告訊息時，硬碟上有價值的檔案都已被加密，整個過程不到幾秒,就像是電腦版的搶劫，歹徒希望的就是快速拿到錢。」

幾乎跟所有的加密勒索病毒 Ransomware一樣,Maktub要求以比特幣（Bitcoin）支付贖金，而且贖金還會隨著時間而提高。超過三天贖金會從1.4 比特幣（Bitcoin）(約合 580 美元)提高到 1.9比特幣（Bitcoin）(約合 790 美元)。

趨勢科技表示,除了網路釣魚（Phishing）,當使用者不小心連上惡意網站時也可能被暗中下載到系統上。

Trend Labs，2016 年 4 月：99% 的勒索病毒都是透過電子郵件或網站連結進行散播攻擊

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載

網路詐騙集團的供應商:專業地下市場的價格

一旦你的資料被竊取，就等於是開放給所有的網路詐騙集團。本部落格曾發表過16 個俄羅斯網路非法服務/地下經濟價目表以及失竊信用卡,竊取帳號價格下滑,因 ”供應量增加 ”:再訪俄羅斯地下世界,在有利可圖的情況下,被竊的個資在地下經濟市場流傳,許多部分都已經高度的專業化。網路犯罪份子不再需要去自己建立所有的攻擊工具，相反地，他可以和買家購買特定產品及服務。包含:

垃圾簡訊: 每一百至一萬則簡訊3到150美元,如果要加上號碼變換,單則價格單價約漲 5 倍
大量轟炸垃圾郵件服務: 一千封郵件3美元
郵件帳號:每一千至十萬筆地址7到500美元(依帳號來源定價不一)
信用卡重製:25 美金
偽造釣魚網站: 5–20美元
網路釣魚用網域:一年每個 50 美金
指定入侵帳號價格:Facebook 100 美金;Gmail 100 美金;Hotmail 100 美金
以非法手段影響搜尋引擎排名服務價格(Black_Hat SEO):6-295 美金

PC-cillin雲端版主動封鎖竊個資釣魚網頁,不讓個資全都露》即刻免費下載

在中國地下市場之旅中,我們也發現中國的地下市場跟其他正當合法的經濟市場一樣：它提供各式各樣的產品和服務，以及不同的價格區段。所提供的服務包括：網路釣魚（Phishing）工具包及竊盜使用者資料…等等。在這些交易底下，有著一個強大和健全的生態系，網路犯罪分子可以用不同的價格購買他們所選擇的產品。

趨勢科技PC-cillin 雲端版主動預警並封鎖詐騙、網路釣魚惡意網頁, 》即刻免費下載

CloudFlare漏洞造成潛在的大規模資料外洩

2017 年 03 月 01 日2017 年 03 月 01 日趨勢科技 TrendMicro

全球最大型網路服務公司的程式碼出現嚴重缺陷，導致敏感資料會被外洩到網路上。在部落格的事後檢討文章中，CloudFlare詳細說明了其邊際伺服器如何受到緩衝區溢出的影響，導致對使用CloudFlare服務的網站所發出的請求會返回隨機資料位元，這可能包含了私密資訊如API金鑰、使用者憑證、cookies甚至是私人訊息。外洩資料也被搜尋引擎所暫存，增加了被用在惡意用途的可能性。這個漏洞已經被非正式地稱為「CloudBleed」，因為它跟早期的HeartBleed漏洞有相似之處。

「CloudBleed」一開始是由Google研究人員Travis Omandy所發現，他在觀察到對使用CloudFlare服務的網站所發出HTTP請求的異常行為時回報了此一問題。經過分析，CloudFlare將問題追查至其新的cf-html HTML解析程式。具體地說，這個問題跟存在其舊Ragel解析程式內多年的程式碼錯誤有關，不過問題會浮現是因為切換到新解析程式改變了緩衝機制，導致資料外洩的發生。

CloudFlare的即時回應是停用使用有資料外洩問題HTML解析程式的相關功能。此外，也組成了一個團隊來找出和修復解析程式內的錯誤，他們會設法在短時間內完成任務，在資料被更廣泛擴散前將潛在的傷害最小化。

網路使用者應該擔心嗎？

考量到使用CloudFlare服務的網站數量和資料可能遭到外洩的有效時間長度（最早可能從2016年9月），這似乎是件應該擔心的事情，特別是對經常使用CloudFlare相關網站的使用者來說。不過該公司也說明了資料外洩所造成的影響並沒有那麼大。據估計，在2月13日至18日期間所造成的資料外洩影響最大，透過CloudFlare所進行的3,300,300個HTTP請求中有約1個（0.00003%）可能會導致記憶體資料外洩。

這一點再加上CloudFlare對此事件的快速回應，顯示出資料外洩的影響應該很小。不過這起事件還是提醒了所有網路使用者必須要做好準備來保護自己最重要的數位資產 – 特別是包含敏感資料的部分。

因為主要問題並非使用者所能夠控制，所以使用者能做的最佳行動是變更使用CloudFlare基礎設施網站上的密碼。除了變更密碼，這或許也是個好時機讓使用者去採用更有效的驗證方法，如雙因子身份認證。

＠原文出處：CloudFlare Flaw Causes Potential Major Data Leak

外洩嗶聲! 攻擊者監視呼叫器通訊, 收集電話號碼、員工姓名，甚至高階目標的電子郵件

2017 年 01 月 05 日2016 年 12 月 19 日趨勢科技 TrendMicro

許多公司都會想辦法在網路上隱藏自己的電話目錄及公司電子郵件地址模式。然而，這些努力卻會被仍在使用中的舊技術所破壞，因為攻擊者可以監視呼叫器通訊而從中找到這些聯絡資訊

趨勢科技在「外洩嗶聲」系列的前幾期中討論了醫療體系和工業控制系統透過傳呼通訊協定POCSAG和FLEX發送了明文形式的訊息。當我們探討醫療體系的呼叫器(或稱傳呼機或 BB.Call)使用時，很驚訝地發現內容包含病患的敏感資料。同時也對工業環境內使用POCSAG和FLEX進行無線通訊的自動化系統數量感到吃驚。這讓有心攻擊的人能夠取得足夠的資訊在未來進行攻擊。

在進行研究的過程中，我們再次看到IT系統會用明文向公司基礎設施發送重要訊息。包括會發送傳呼訊息來記錄誰打電話給公司內部員工的系統。由於這是用明文發送並且能夠被遠端觀察，攻擊者可以收集電話號碼、員工姓名，及在某些情況下包括可能高階目標的電子郵件地址。

在現今這個時代，許多公司都會想辦法在網路上隱藏自己的電話目錄及公司電子郵件地址模式。然而，這些努力卻會被仍在使用中的舊技術所破壞，因為攻擊者可以監視呼叫器通訊而從中找到這些聯絡資訊。

帶有個人資訊的傳呼範例

筆者還記得小時候去父親的辦公室時，看到IT人員為了警報和通訊目的而攜帶呼叫器。當我開始在IT部門工作時，仍會看到一些呼叫器的使用，但我認為只是一些老IT人員習慣於使用呼叫器作為通報機制。隨著時間的過去，手機變得越來越受歡迎。當我們開始這項研究時，並沒有預期到會看到來自IT系統的訊息。例如，來自伺服器或網路入侵偵測系統的syslog訊息：繼續閱讀

呼叫器/傳呼機會洩漏機密？

2016 年 11 月 17 日2016 年 11 月 14 日趨勢科技 TrendMicro

「外洩嗶聲」是趨勢科技的系列研究，用意在凸顯呼叫器/傳呼機技術(台灣一般稱為B.B.Call或Call機)的弱點及它如何讓受影響公司的重要活動面臨危險。這個研究檢視了仍在日常運作中使用呼叫器/傳呼機的不同產業。系列文章從醫療單位使用的呼叫器/傳呼機開始 – 外洩嗶聲：醫療產業內的未加密傳呼機訊息，不過醫院並非最後一個還在用呼叫器/傳呼機的產業。

查看外洩嗶聲：業界環境內未加密的傳呼機訊息

我們對美國和加拿大等國家未加密傳呼訊息的分析顯示，關鍵基礎設施如核電廠、變電所、發電廠、化工廠、國防承包商，及其他工業環境如半導體廠、製造廠及暖通空調（HVAC）公司等至今都仍在使用傳呼機。

不幸的是，趨勢科技發現傳呼機所使用的通訊並不安全。由於傳呼訊息通常沒有加密，所以攻擊者甚至可以遠距離地看到傳呼訊息 – 攻擊者所需要的只是對軟體定義無線電（SDR）有些了解，以及一個價值20美元的工具。

這項研究檢視惡意分子能用外洩的傳呼訊息來獲取被動情報的方法。被動情報代表的是連網或連線組織無意間洩露的資訊。我們發現，大量企業通常認為機密的資訊令人不安地會透過未加密傳呼訊息輕易地取得。像是我們可以看到下列工廠/運作的相關訊息：

警報/事件通知（關於外洩、機械故障、偏差等）
診斷訊息（顯示感應器數值，設定等）
設施相關狀態更新（可用來識別所使用的工業控制系統 – ICS或監視控制和資料擷取 – SCADA設備）
電子郵件地址
主管姓名
電話號碼
專案代碼

任何具有動機的攻擊者都可以利用這些資料來進行有效的社交工程攻擊。因此，每個組織都有被進行針對式攻擊的危險，可能後果包括了產業間諜、失去客戶忠誠度和信任，以及更極端的情況如破壞公共設施造成傷亡的恐怖攻擊。

這份研究包含數個案例研究，說明我們在傳呼訊息所看到的資訊，第三方可以如何加以使用及對仍使用傳呼機之組織的建議。到這裡觀看關於傳呼機的全部報告 – 查看外洩嗶聲：業界環境內未加密的傳呼機訊息。

＠原文出處：Are Your Industrial Plant Beepers Leaking Secrets?

還用公司的電子郵件帳號註冊社群網站嗎? 駭客拿到你的帳密,可能發生哪些事?

2016 年 10 月 19 日2016 年 10 月 27 日趨勢科技 TrendMicro

□你用公司的電子郵件帳號註冊社群網站嗎?

□為何一個帳密被盜,其他帳密也連鎖整串失守?

□你有定期檢查你的對帳單嗎?

許多人會用公司電子郵件地址註冊LinkedIn,Facebook和Adobe等網站,被竊的憑證可能讓攻擊者進入公司內部網路。

攻擊者假設使用者會在多個網站上重複使用密碼，因此請確保為不同的帳號使用高強度和個別的密碼。刑事局曾破獲歹徒將生日、電話等個資，破解數百名 Yahoo！等網站用戶密碼，再以同一帳號密碼登入其他網站。為了防止帳號不再被盜，每次註冊新程式時，最好設定不同的帳號/密碼！

延伸閱讀:相同帳密惹禍 ! 淘寶 2059 萬筆帳號遭測試攻擊

下文將告訴你一旦駭客拿到你帳號密碼，可能發生的七件事和如何保護你的帳號密碼。包含為何要定期檢查你的信用卡或金融簽帳卡。

大量資料外洩事件連環爆,你必須懂的帳密被竊七個流向與七個保護密訣

從買衣服和付帳單到溝通和求職，人們越來越常使用這些讓生活更加方便的網站和線上服務。網路娛樂的使用度也在成長，人們放棄了傳統電視而轉向訂閱隨選服務，像是Netflix、Hulu和Amazon。甚至音樂也來自線上服務，如Spotify和Apple Music。雖然這些服務的價格合理且方便，但在消費者使用前必需給出一定的資料 – 至少需要電子郵件地址或電話號碼，以及信用卡資料和付費帳單地址。

這些服務都是為了方便、快速而設計，安全性可能就沒有列在優先考慮之中。最近大量的大規模資料外洩事件顯示多麼容易就能夠在網路上竊得個人資料。就在上個月，雅虎證實約有5億筆帳號被竊，讓5億人蒙受一連串可能的安全問題。在地下市場可以輕易地找到Netflix密碼，還有PayPal、Ebay、Dropbox和其他熱門網站的用戶憑證。網路犯罪分子取得帳戶資料並打包銷售。

他們可以得到什麼？純粹的利益。你可以到這裡計算網路犯罪分子可以從各種不同網站憑證中賺得多少。

用竊來的使用者名稱和密碼破解其他網站上的帳號

憑證填充（Credential stuffing）或者說用竊來的使用者名稱和密碼,破解其他網站上的帳號,是使用這些遭竊憑證的方法之一。顯然地，許多使用者會重複使用密碼，這說明了為什麼這種作法被證實很容易成功。外洩的電子郵件地址還會給受害者帶來許多其他風險。個人電子郵件帳號常用來驗證其他網路帳號，這讓網路犯罪分子可以用一組憑證來存取其他網站。繼續閱讀