報告數據 - 資安趨勢部落格

十大駭客最愛網釣誘餌，淘寶、花旗銀行、萬事達卡、Paypal 皆入榜

2013 年 01 月 23 日2015 年 06 月 02 日 Trend Labs 趨勢科技全球技術支援與研發中心

最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行

簡單方便是使用者喜愛網路購物的主要原因，雖然方便，但網路購物也可能讓使用者的認證資料和個人身份資料（PII）陷入危險，因為網路犯罪分子可以輕易地設計出網路釣魚（Phishing）攻擊來竊取資料。

<最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行>來自中國的淘宝网在購物網站中排名第一而Paypal 則居網路交易平台冠軍

趨勢科技主動式雲端截毒服務 Smart Protection Network和其他專門技術，我們辨識出二〇一二年十二月的首要網路釣魚（Phishing）網站。下面是針對五十個流行品牌的偽造網站圖表。

最常被網路釣客攻擊的電子商務網站(知名銀行/信用卡公司) 排行前 10名

根據我們所收集的資訊，電子商務網站 – PayPal是最被針對的公司，有17,573個偽造網站利用它的名字，緊接在後的是美國富國銀行（Wells Fargo）。使用者如果被誘騙連上偽PayPal網站，就可能讓系統感染TROJ_QHOST.EQ。到目前為止，這惡意軟體已經感染了台灣、泰國和美國的系統。正如下表所示，排名前十位的詐騙網站差不多都是知名銀行或信用卡公司。

公司名稱/網站	釣魚網站數量
PayPal	18947
富國銀行（Wells Fargo）	2049
Visa	1661
花旗銀行	1628
美國銀行（Bank of America）	1477
萬事達卡	986
Chase	656
Bancolombia	369
Natwest	324
Cielo	310

花旗銀行也是最常被偽造的公司之一，可能是因為黑洞漏洞攻擊包（BHEK）攻擊活動的原因。BHEK最被為人所知的就是會利用有名的公司（如花旗銀行）來引誘使用者打開垃圾郵件，然後點入郵件內夾帶的惡意連結。

某些BHEK攻擊活動會偽裝成花旗銀行來誘騙使用者下載WORM_CRIDEX.CTS，這是一個已知會竊取敏感資料的惡意軟體（如網路銀行憑證）。透過趨勢科技主動式雲端截毒服務 Smart Protection Network，我們確認有277個系統感染這惡意軟體，其中有88％位在美國。

此外，單單在十二月，我們就發現有四個BHEK攻擊活動利用花旗銀行。在最後一次的攻擊活動中，我們發現使用者電腦感染了TROJ_CDOWN.A、SWF_BLACOLE.BBB、JAVA_DLOADR.XM和WORM_CRIDEX.EZ。被偵測為JAVA_DLOADR.XM的JAR檔案出現3,095次，主要受影響使用者位在美國和日本。

公司名稱/網站	釣魚網站數量
AOL	1475
Yahoo	1349
Hotmail	1205
Gmail	1200
其他	188

網路釣魚（Phishing）網站數量最多的購物/拍賣網站是淘寶網

另一方面，網路釣魚（Phishing）網站數量最多的購物/拍賣/交易網站最多的是淘寶網、eBay和Amazon。來自中國的淘寶網在電子商務網站列為最常被偽造成釣魚網頁的第一名。

公司名稱/網站	釣魚網站數量
淘寶網	1691
eBay	504
Amazon.com	251

在我們的研究中，我們也發現下列攻擊會影響世界各地的行動用戶。

我們看到偽裝成丹麥電子支付公司 – Nets Group的攻擊正在增加中。這威脅通常透過電子郵件，要求使用者確認更新或啟動帳號。
針對日本使用者的萬事達卡網路釣魚攻擊活動正在進行中。在986個偽萬事達卡網站中，有717（72％）個是為日本使用者而設計。在十二月，這717個網站吸引了2,029次點擊量，大多來自日本。

針對日本用戶的信用卡釣魚網站

特定惡意集團偽造出902個REMAX網站（一個跨國房地產公司）。
在世界的另一端，巴西仍然充斥著內藏木馬的偽造網站，通常是TROJ_BANLOAD變種，最為人所知的行為是會下載TSPY_BANKER變種。這種攻擊通常透過偽稱來自布拉德斯科銀行、巴西銀行等的電子郵件出現。電子郵件還會夾帶連往惡意網站的短網址，通常來自像bit.ly的短網址服務。位在哥倫比亞的使用者也被被趨勢科技偵測為TSPY_BANKER.TGF的惡意銀行木馬軟體所攻擊。這個惡意軟體利用微軟Excel圖示，並且以免費禮物卡為餌來誘騙使用者執行惡意執行檔案。
不幸的，行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址，所以會讓使用者輕易地認為自己瀏覽的是正常網站。

我們還發現一個帶有附加檔案的垃圾郵件針對大通銀行。趨勢科技將這附加檔案偵測為TROJ_DLOADER.YZX。一旦被執行，這惡意軟體會下載大量其他惡意軟體，如TSPY_ZBOT.MDN、TSPY_ZBOT.LOA和TROJ_FAKE.BMC。

如果我們可以從這些威脅趨勢中學到什麼，那就是我們必須保持小心謹慎，防範網路釣魚攻擊，特別是在假節期間或有其他特殊事件時。想知道如何在這些網路購物的日子裡保護自己，可以參考我們的電子指南 – 「網路購物更簡單」和「享受無憂無慮的行動購物體驗！」還有我們的資料圖表 – 「網路購物小秘訣」。

想知道如何區分偽造的網路釣魚（Phishing）跟正常郵件，就要檢查下列蛛絲馬跡：

繼續閱讀

為你的 FACEBOOK 換顏色?當心被網路釣魚

2013 年 01 月 11 日2013 年 01 月 11 日趨勢科技 TrendMicro

選擇你愛的Facebook佈景主題,網路釣客等你上鉤

可能是2011年二月偽Facebook情人節主題的化身，我們看到兩起詐騙號稱可以替Facebook更換顏色主題。第一個騙局號稱有紅色或黑色的Facebook的主題。這騙局甚至散播到Tumblr上。

第二個詐騙則提供使用者更多顏色選擇。儘管所提供的選擇不同，但感染鏈在本質上是一樣的。一旦使用者點入連結，就會出現了一連串的重新導向，最終進入網路釣魚（Phishing）頁面。

繼續閱讀

2013資安關鍵十大預測:多元平台挑戰數位生活安全 , APT攻擊和雲端隱私成為企業雙重隱憂

2013 年 01 月 09 日2013 年 01 月 09 日趨勢科技 TrendMicro

【台北訊】全球雲端資訊安全領導廠商趨勢科技(東京證券交易所股票代碼：4704) 今日發表2013年「資安關鍵十大預測」(10 Threat Predictions for 2013)。報告中指出在2013年各種裝置、中小型企業與大型企業網路的安全管理將比以往更加複雜。除了消費端的多元平台挑戰，企業端的 IT 消費化、虛擬化及雲端平台的發展，也將面臨如何抵禦APT的強化攻擊和保護業務資訊兩大難題。聚焦台灣資安市場，面對雲端應用的逐漸普及，以及駭客針對性攻擊的雙重挑戰，如何更精確的保障消費端和企業端用戶的資訊安全，是趨勢科技2013年的重要任務。

惡意與高風險的 Android App 程式數量預計在 2013 年當中將達140萬，相較於2012年攀升達四倍之多。Android 就像過去十年Windows的角色般，正逐漸主宰行動運算領域。趨勢科技台灣及香港區總經理洪偉淦表示：「隨著數位科技在生活中扮演越來越重的角色以及行動裝置快速普及，消費者已經正式走出個人電腦獨占的局面，擁抱多元平台。每一種平台都有自己的介面、作業系統和安全機制。這也意味著資安威脅將出現在更多令人意想不到的地方。我們同時發現，除了個人電腦以及行動裝置，連網電視等其他具備網際網路連線功能的裝置，也可能成為未來新式的攻擊管道。因此，如何在多元平台下，確保消費者的資訊安全，將是趨勢科技2013年消費性資安防護的重要目標。」

趨勢科技2013資安預測也顯示，不論是否使用雲端儲存，資料儲存基礎架構都將成為資料竊盜攻擊的目標。隨著企業開始導入公有雲服務或建置企業私有雲來存放機密資訊，企業需要檢視原先的資安解決方案是否適用於雲端環境並已提供完整的防護。

另一項由CNET與趨勢科技所進行的2012亞太地區企業資安調查報告指出，台灣對於BYOD的支持態度較整體亞太區的表現更為正面，而資料外洩防護是台灣企業最重視的資訊安全問題第二名，但要如何有效防範惡意程式透過各種管道如行動裝置入侵企業內部亦是相當重視。

針對上述未來預測和趨勢觀察，洪偉淦進一步分析：「BYOD趨勢的逐步發展，代表著使用多種運算平台和裝置也將成為企業端用戶的新趨勢，在此同時，因為雲端儲存的穩健發展，許多企業也將因採用公共雲端服務而得以降低成本、提升服務易用度以及穩定度。但對於資安防護而言，保護這些裝置將變得複雜又困難。此外，於2012年造成企業資安嚴重威脅的APT攻擊，未來也將更深更廣地持續擴大與強化，攻擊能力不容小覷。因此，除了網路犯罪者將繼續利用雲端犯罪，APT攻擊持續擴張和雲端資料外洩是2013年預測中的兩大企業資安威脅，也是趨勢科技持續精進企業端解決方案的關鍵！」

「2013資安關鍵十大預測」

趨勢科技所發布的「2013資安關鍵十大預測」報告，內容包含企業、個人數位生活與雲端發展上將會面臨的威脅與分析，如下摘要：

一、 惡意與高風險的 Android App 程式數量在 2013 年將突破百萬。

惡意與高風險的 Android App 程式數量預計在 2012 年底達到 350,000 個，這項數字在 2013 年當中將攀升四倍，大致上與該作業系統本身的成長率成正比。惡意與高風險的 Android App 程式將越來越複雜。

二、 APT攻擊廣度以及深度持續擴大成為企業資安防禦重點。

Gartner 於2011年8月正式發表進階式目標攻擊(APT)因應策略報告後，如何防禦APT威脅已成企業資安規畫的重點。然而，駭客的攻擊廣度及深度將更為擴大，並且可能有更多的駭客及不法組織會持續投入。

三、 網路犯罪者將大量濫用正當的雲端服務。

許多企業和個人都因為改用雲端來滿足其運算需求而受惠。企業因為採用公共雲端服務而得以降低成本、提升易用度、提高穩定度。2013 年必定將出現更多正當服務遭人用於非法用途的情況。

四、 隨著數位科技在生活中越來越重要，資安威脅將出現在令人意想不到的地方。

「數位生活方式」使得消費者的生活與網際網路的連結越來越緊密，而新技術則提供了新的攻擊管道。除了個人電腦、平板電腦或智慧型手機等，其他具備網際網路連線能力的裝置(如連網電視)，若並非以安全性為最高設計考量，很容易就被有心的駭客入侵。

五、 消費者將使用多種運算平台和裝置，而保護這些裝置將變得複雜又困難。

在以往同質性高的運算環境當中，使用者教育相對上單純，因為裝置只有幾種。但 2013 年將不再如此，每一種行動裝置平台都需要一種不同的安全防護。同樣地，隨著 App 程式的功能開始逐漸取代瀏覽器，資訊安全與隱私權問題就更難有通用的建議。

六、 以政治為動機的電子化攻擊將變得更具破壞性。

2013 年，我們將看到更多專門修改或破壞資料的網路攻擊，甚至對某些國家的硬體基礎建設造成破壞。這樣的發展，是網路犯罪者在蒐集資訊之後自然而然的下一步行動，不論是獨立的駭客團體或是由政府資助的團體。

七、 不論是否使用雲端儲存，資料外洩依然是 2013 年的威脅之一。

隨著企業開始將機密資訊移到雲端存放，企業將會發現，那些用來預防企業伺服器遭到大規模資料竊盜的解決方案，到了雲端環境將無法發揮應有效果。IT 系統管理員必須確保雲端安全解決方案設定正確，並且在這方面擁有充分的防護能力。

八、 解決全球網路犯罪問題的力量至少需要二年以上的時間來完成全面部署。

儘管某些國家已經成立了網路犯罪防治組織，但大部分的工業化國家至少必須等到 2015 年之後才能有效地強制執行網路犯罪防治法律。企業仍必須在自己的IT 基礎架構上採取更主動的預防措施，對於高風險的企業來說，威脅情報將成為標準防禦的重要一環。

九、 傳統的惡意程式威脅將緩慢演進，全新的威脅只是少數，而攻擊的部署方式將日趨精密。

惡意程式2013 年的發展將著重於改進現有工具或回應資訊安全廠商的防堵。網路犯罪者將發現，能夠成功潛入受害者的電腦而不引起懷疑，比運用特定技術來發動攻擊更加重要。2013年，不同網路犯罪地下團體之間的彼此合作也將更加普遍。他們將專精於自己的特殊專長、攻擊手法與目標。

十、 非洲將成為網路犯罪者新的避風港。

非洲是傳奇的「419」網際網路詐騙的發源地，同時也逐漸成為精密網路犯罪的溫床。執法不嚴格的地區，向來就是網路犯罪的溫床，尤其當歹徒能夠對當地經濟有所貢獻，卻又不會攻擊當地的居民或機關團體就更受歡迎。

透過「2013資安關鍵十大預測」報告，讓消費者和企業端更能掌握未來資安發展趨勢，提早做好萬足準備。趨勢科技資深產品經理吳韶卿分享到：「為了有效應對2013的資安挑戰，一般使用者須遵守的五大須知包括：一、定時自動更新電腦；二、網路交易、下載和郵件的處理更為謹慎；三、行動裝置防護不可少；四、密碼管理不可輕忽。而企業端則要秉持三大原則積極以對：一、使用有效的解決方案來保護企業；二、標準化的政策保護客戶利益；三、建立、實行有效的 IT 使用準則。」

如欲下載完整版的趨勢科技「2013資安關鍵十大預測」報告，請至

https://tw.trendmicro.com/imperia/md/images/tw/support/2013_preditions.pdf
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎延伸閱讀

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題：為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路，到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

虛擬化的無代理防護也適用於雲端嗎？

會攻擊VMware虛擬機器的新病毒:Crisis（又稱為Morcut）

Cirsis/MORCUT 惡意軟體掛載虛擬機器

《趨勢專家談雲端運算》軟體定義網路重新洗牌：VMware收購Nicira，Oracle收購Xsigo

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

《趨勢專家談雲端運算》目標攻擊在Web 3.0的演變

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

◎即刻加入趨勢科技社群網站,精彩不漏網

《APT攻擊》 2013年目標攻擊的三個預測

2013 年 01 月 07 日2013 年 06 月 28 日趨勢科技 TrendMicro

作者：Nart Villeneuve（資深威脅研究員）

APT

現在對於目標攻擊的認識，包括APT進階持續性威脅 (Advanced Persistent Threat, APT)已經在廣大的安全社群內成為主流。我預計到了2013年，我們的認知將會面臨到挑戰。我們在過去幾年間看到所謂「技術上不複雜」的攻擊是如何被成功的運用，我認為他們也將會繼續這樣做。他們的伎倆會盡可能的發揮在人的因素上，其次才是技術部分。

趨勢科技技術長 – Raimund Genes的2013年預測中，他認為惡意軟體攻擊將會變得越來越複雜，這並不一定是指惡意軟體本身的技術部分，而是如何去佈署攻擊。此外，他認為這類攻擊將會有越來越多具備破壞能力，使得做屬性分析時更加困難。基於這些觀點，以下是我對於2013年的趨勢預測：

越來越多針對性地區性目標攻擊尤其是有些知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動日漸公開。我們將會看到本地化攻擊的增加，像是除非符合一定條件，不然惡意軟體不會執行。比方說語言設定，或是只會影響某些地區，甚至特定網段的水坑攻擊(Watering Hole )攻擊。
更多帶有破壞性的間諜活動:我們現在都認為目標攻擊的動機是間諜活動，但在2013年將會看到有更多攻擊帶有破壞性質。將會有越來越多目標攻擊所使用的惡意軟體具備破壞能力。無論這是它的主要企圖（即破壞），或是作為清理攻擊者蹤跡的手段。這功能很可能是時間性攻擊的一部分，運用在明確的政治（或是軍事）目的上。
故佈疑陣,讓判斷更困難: 繼續閱讀

2012年目標攻擊/ APT 攻擊回顧

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

作者：Nart Villeneuve（趨勢科技資深威脅研究員）

經過了整個2012年，我們研究了各式各樣的目標攻擊，包括好幾個APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊活動（像LuckyCat和Ixeshe），也更新了一些已經運行一段時間的攻擊活動（像Lurid/Enfal和 Taidoor）。資安社群在今年有許多關於目標攻擊的精采研究發表，我將這些有意思的研究集結起來，分成六個我認為可以代表2012年目標攻擊趨勢的主題：

目標和工具 –
雖然在2011年，目標攻擊幾乎就等同於APT進階持續性威脅 (Advanced Persistent Threat, APT)。在2012年出現了各式各樣的攻擊，特別是在中東地區，包括沙烏地阿拉伯的Shamoon，Mahdi攻擊活動，GAUSS和Wiper/Flame，這些都被卡巴斯基所記錄起來。還有一些攻擊和中東地區衝突有關，最顯著的是敘利亞、以色列和巴勒斯坦（參考Norman的研究分析）。APT活動在2012年仍然是個重大的問題，Dell SecureWorks發表了一份集結各種APT活動的報告，還有關於Mirage和SinDigoo的報告來闡述問題的影響範圍。彭博社發表了一系列關於「Comment Crew」的文章，詳細介紹了APT攻擊活動的廣度和影響。還有針對俄羅斯、台灣、韓國、越南、印度和日本的活動也相當活躍。除了目標地理位置的擴張之外，我們也看到了所針對技術的擴展，包括Android行動設備和Mac平台。來自Citizen Lab的Seth Hardy在SecTor上作了一場很棒的演講，介紹了今年所新興的各種Mac相關遠端存取木馬（RAT）（SabPub、MacControl、IMULER/Revir和Dokster）。雖然我們在過去看過智慧卡的相關攻擊，不過感謝來自Sykipot和AlienVault的精采分析，提供蓄意用智慧卡做目標攻擊的技術細節。
隱匿性和持久性 –
這些是主要的趨勢之一，根據Mandiant在2012年的文件，APT活動之所以不只是惡意軟體，正因為確保持久存取會使用正常應用程式（例如VPN）。此外，雖然許多進行中的APT攻擊活動所用的惡意軟體可以經由網路流量分析而偵測，微軟發現一個舊惡意軟體組件會在NDIS（網路驅動程式介面規範）層建立一個隱蔽的後門，讓偵測變得更加困難。除了隱身在網路層，我們也看到在某些案例中，出現有數位簽章的惡意軟體讓檔案系統層級的偵測變得更加困難。有數位簽章的惡意軟體當然不是新伎倆，還有個大量被用在目標攻擊上的遠端存取木馬（被稱為PlugX），使用一種DLL搜尋路徑劫持（這技術本身也不是新的）。
另一個出現在Mandiant報告中的HiKit工具也會利用DLL搜尋路徑隱藏在檔案系統層級，同時會在網路層竊聽進入流量（像是早期的遠端存取木馬），而非只是對外連接到命令和控制伺服器。Flame惡意軟體則會利用MD5碰撞攻擊，劫持Windows Update功能來散播。將隱匿性及持久性帶到另一個境界。
社交工程陷阱( Social Engineering) –
毫無意外地，魚叉式網路釣魚郵件仍然是目標攻擊主要用來傳遞惡意軟體的機制。但其他技術，像是「Watering Hole」攻擊也讓人極為注目。Shadowserver發表了被他們稱之為「策略性網站入侵（Strategic Web Compromises）」的研究分析，利用了Java和Flash的漏洞攻擊碼，而RSA報告中所提到的VOHO攻擊活動，也使用了相同的技術。但在2012年，另一個有趣的社交工程伎倆就是利用安全廠商對惡意軟體的分析做為誘餌，來傳播惡意軟體。不過，魚叉式網路釣魚郵件和淪陷網站並不是唯一的攻擊途徑。即時通（被認為用在針對Google的Aurora攻擊）也提供了另一條攻擊路線。Skype也被報導提到用在敘利亞衝突的DarkComet RAT攻擊內。
攻擊是最好的防禦 –
在2012年，有個新興資安公司 – Crowdstrike提出了「攻擊是最好的防禦」概念，雖然這概念常被狹隘地理解為「駭回去」，但我卻想從David Dittrich所謂的「主動回應連續（Active Response Continuum）」背景下來理解這件事。有各種戰術可以應用，滲透，強迫下線（不管是通過技術手段、回報濫用行為、策反、點名和羞辱、法律機制或和執法單位合作）或是欺敵行動，好來進行反擊，而不是只能「駭回去」。這些都是經常用來對付犯罪份子的行動，但也可以應用在這裡。在一定程度上，針對基礎設施的攻擊，通常都是國家默許或國家資助的。所以這些措施以外的反擊作法也很吸引人，因為有國家資助的案例通常是不適用於法律途徑的，所以我們也開始看到這樣的行動出現。在2012年的一個案例中，CERT-GOV-GE不僅取得存取「Georbot」殭屍網路命令和控制伺服器的能力，還誘使殭屍網路運營者去偷取一個惡意檔案。執行之後，就讓CERT-GOV-GE可以遠端錄下運營者的影像。
「超限」武器交易 –
這個備受爭議的話題 – 販賣零時差漏洞攻擊碼及搭配的惡意軟體，在2012年已經是個公開的祕密。美國公民自由聯盟的Christopher Soghoian在VB2012大會上用這題目做了主題演講。除了會買賣漏洞和攻擊碼之外，也有惡意軟體的交易是在政府授意下。Morgan Marguis-Boire發表了被稱為FinFisher的產品（也可用來偵查智慧型手機）是如何被英國政府散播的相關資料。還有被義大利公司所散播的後門程式，據報導是被政府用來監控異議份子。另外Dell SecureWorks的Joe Stewart發現「一個由位在某亞洲國家（非中國）的私營電腦安全公司所經營的龐大網路間諜活動針對國外軍事單位」，進一步說明了問題的嚴重程度。繼續閱讀