<小廣和小明的資安大小事>男友拒絕放入網路購物車的洋裝 !

資安漫畫 online shopping

自動儲存 ID /密碼的優點與缺點

使用網路銀行或網路購物時,您是否曾經於登入網站時,在輸入ID/密碼的輸入欄位(表單)中輸入第一個字,就自動顯示您所要輸入的ID/密碼?IE(Internet Explorer)等網頁瀏覽器具有儲存使用者在表單或搜尋欄位中所輸入字串的功能。若在IE中啟用所謂的「自動完成」功能,即可節省輸入繁瑣的ID/密碼的時間,非常便利。

但是,自動完成功能有可能將你在表單輸入的資訊外洩給其他人。我們原本就不建議於網咖等多人使用的電腦中輸入個人資料,但不得已時,務必先關閉自動完成功能。

以 IE 為例,若要關閉IE11的自動完成功能,請按一下右上角的齒輪圖示,然後選擇「網際網路選項」。開啟網際網路選項之後,按一下「內容」標籤,然後按一下自動完成的「設定」。取消勾選「表單」或「表單上的使用者名稱和密碼」等不希望IE儲存的項目,然後按一下「確定」。

ie1

Continue reading “< 廣和小明的資安大小事>男友拒絕放入網路購物車的洋裝 !"

《網路釣魚》HTTPS 鎖頭保證是安全網站的識別標誌?

隨著越來越多網站使用 SSL以提升在 Google搜尋中的排名,使用者將必須瞭解到 HTTPS 鎖頭不再是他們存取安全網站時的識別標誌。他們必須在輸入認證資料和個人識別資訊(PII)前先檢查憑證。此外,也建議除了使用合法來源的授權應用程式外,不要使用行動設備進行交易。

 資料外洩 信用卡 信上購物 網路銀行 網路釣魚 Credict Card1

根據報導,Google將會改善 HTTPS網站在他們搜尋引擎的排名。這可能會鼓勵網站所有者從HTTP切換到 HTTPS。不過網路犯罪分子也會加入了此項轉換。比方說,我們最近發現一起案例,當使用者搜尋安全版本的遊戲網站時,會反而被導到網路釣魚(Phishing)網站。

趨勢科技研究了使用HTTP S而且在2010年到2014年間被趨勢科技的網頁信譽評比技術所封鎖的釣魚網站。根據調查結果顯示,釣魚網站的數量在增加,我們預期它在2014年後半因為假期季節的到來會有倍數的成長。

圖1、2010年到2014年的HTTPS釣魚網站數量

 

這一高度成長的原因之一是對網路犯罪分子來說,很容易就可以建立使用HTTPS的網站:他們可以入侵已經使用HTTPS的網站或是利用使用HTTPS的合法代管網站或其他服務。所以網路犯罪份子不需要去取得自己的SSL憑證,他們只要去濫用或入侵具備有效憑證的伺服器。

這種利用HTTPS的手法也出現在行動網路釣魚(Phishing)。就在最近,趨勢科技發現一個Paypal釣魚網頁使用HTTPS和有效的憑證。看起來這詐騙網頁是放在一合法網站上,顯示該網站可能已經淪陷。

要偵測一特定網站是否為釣魚網站,使用者需要檢查憑證的有效性和檢查一般名稱(CN),它通常會和網域名稱相符。在螢幕擷圖中,mobile.paypal.com是一般名稱(CN)和組織是Paypal, Inc。釣魚網站的憑證則沒有這些特徵。

圖2-3、合法網站(左)和釣魚網站(右)的截圖

 



Continue reading “《網路釣魚》HTTPS 鎖頭保證是安全網站的識別標誌?"

超過 4000 個針對行動裝置平台潛在的網路釣魚風險

趨勢科技警告:偵測發現超過4000個針對行動裝置平台潛在的網路釣魚風險

趨勢科技6步驟 保你不上駭客鉤

 

超過4000個針對行動裝置平台潛在的網路釣魚風險
超過4000個針對行動裝置平台潛在的網路釣魚風險

2013 4 1 台北訊】全球消費性數位資訊安全領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 公布最新2012年行動裝置網路釣魚威脅研究報告中發現,有超過 4,000 個網路釣魚網址是專門針對行動裝置而設計,顯示智慧型手機與平板電腦等行動裝置已成為駭客網路釣魚攻擊的鎖定目標。

根據最近一項研究顯示[1],美國使用者每 5 人就有 4 人會使用智慧型手機上網購物;更有 52% 的使用者會透過行動裝置來瀏覽網站[2],也有 39% 會上社交網站或部落格。趨勢科技全球病毒防治中心 TrendLabs 研究員 Paul Oliveria 指出:「行動裝置的方便性,讓使用者逐漸改變行動裝置的使用習慣。網路犯罪者也利用這股消費新趨勢設計網路釣魚活動,假冒正常網站來誘騙使用者提供敏感的個人資訊,希望擷取更多個資,進而牟利。」

趨勢科技也發現,在 2012 年當中,有四成三針對行動裝置網路釣魚網址都是假冒知名的銀行或金融機構網站,例如:英國 Barclays 銀行;而其中的 PayPal 和 eBay 則為最常被假冒的電子商務與購物網站。一旦使用者受騙,在釣魚網站上提供帳號和密碼,歹徒就會暗中進行金融交易,或使用受害者的帳號購物, 輕則金錢損失,重則可能帳號被冒用從事不法行為。
Continue reading “超過 4000 個針對行動裝置平台潛在的網路釣魚風險"

十大行動釣魚詐騙:PayPal 奪冠有;75%偽裝成知名銀行金融單位

當網路釣魚進入行動世界

保護你的資料和設備並不只是鎖定手機那麼簡單

作者:Gelo Abendan

根據趨勢科技在2012年所觀察到的網路釣魚(Phishing)數量,可以看出網路犯罪份子已經開始針對新目標 – 行動設備。

CNN 報導指出:Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄),網路釣魚郵件送出後,行動用戶通常是第一個連上的網站的設備

在2012年,趨勢科技發現有4000個 網路釣魚(Phishing)網址是為了行動平台而設計。雖然這數字還不到該年度所有釣魚網址的百分之一,但還是可以看出行動設備(智慧型手機、平板電腦等)的確是會面臨網路釣魚(Phishing)攻擊的平台。

網路犯罪分子利用偽裝成正常網站的網路釣魚(Phishing)站來誘騙使用者透露出敏感資訊,像是使用者名稱、密碼,甚至是帳戶的詳細資料。

更值得擔心的是,這些網路釣魚攻擊偽裝成什麼樣的網站。在2012年,有75%的行動釣魚網址偽裝成知名銀行或金融單位網站。一旦使用者被誘騙洩露出這些網站的登錄資料,網路犯罪份子就可以利用這些偷來的資料,透過受害者帳號來進行未經授權的交易及購物。

Continue reading “十大行動釣魚詐騙:PayPal 奪冠有;75%偽裝成知名銀行金融單位"

十大駭客最愛網釣誘餌,淘寶、花旗銀行、萬事達卡、Paypal 皆入榜

最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行

簡單方便是使用者喜愛網路購物的主要原因,雖然方便,但網路購物也可能讓使用者的認證資料和個人身份資料(PII)陷入危險,因為網路犯罪分子可以輕易地設計出網路釣魚(Phishing)攻擊來竊取資料。

來自中國的淘宝网在購物網站中排名第一而Paypal 則居網路交易平台冠軍
<最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行>來自中國的淘宝网在購物網站中排名第一而Paypal 則居網路交易平台冠軍

趨勢科技主動式雲端截毒服務  Smart Protection Network和其他專門技術,我們辨識出二〇一二年十二月的首要網路釣魚(Phishing)網站。下面是針對五十個流行品牌的偽造網站圖表。

 

五十個流行品牌的網路釣魚偽造網站表
五十個流行品牌的網路釣魚偽造網站表。

 

最常被網路釣客攻擊的電子商務網站(知名銀行/信用卡公司) 排行前 10名

根據我們所收集的資訊,電子商務網站 – PayPal是最被針對的公司,有17,573個偽造網站利用它的名字,緊接在後的是美國富國銀行(Wells Fargo)。使用者如果被誘騙連上偽PayPal網站,就可能讓系統感染TROJ_QHOST.EQ。到目前為止,這惡意軟體已經感染了台灣、泰國和美國的系統。正如下表所示,排名前十位的詐騙網站差不多都是知名銀行或信用卡公司。

 

公司名稱/網站 釣魚網站數量
PayPal 18947
富國銀行(Wells Fargo) 2049
Visa 1661
花旗銀行 1628
美國銀行(Bank of America) 1477
萬事達卡 986
Chase 656
Bancolombia 369
Natwest 324
Cielo 310

花旗銀行也是最常被偽造的公司之一,可能是因為黑洞漏洞攻擊包(BHEK)攻擊活動的原因。BHEK最被為人所知的就是會利用有名的公司(如花旗銀行)來引誘使用者打開垃圾郵件,然後點入郵件內夾帶的惡意連結。

某些BHEK攻擊活動會偽裝成花旗銀行來誘騙使用者下載WORM_CRIDEX.CTS,這是一個已知會竊取敏感資料的惡意軟體(如網路銀行憑證)。透過趨勢科技主動式雲端截毒服務  Smart Protection Network,我們確認有277個系統感染這惡意軟體,其中有88%位在美國。

此外,單單在十二月,我們就發現有四個BHEK攻擊活動利用花旗銀行。在最後一次的攻擊活動中,我們發現使用者電腦感染了TROJ_CDOWN.A、SWF_BLACOLE.BBB、JAVA_DLOADR.XM和WORM_CRIDEX.EZ。被偵測為JAVA_DLOADR.XM的JAR檔案出現3,095次,主要受影響使用者位在美國和日本。

公司名稱/網站 釣魚網站數量
AOL 1475
Yahoo 1349
Hotmail 1205
Gmail 1200
其他 188

網路釣魚(Phishing網站數量最多的購物/拍賣網站是淘寶網

另一方面,網路釣魚(Phishing)網站數量最多的購物/拍賣/交易網站最多的是淘寶網、eBay和Amazon。來自中國的淘寶網在電子商務網站列為最常被偽造成釣魚網頁的第一名。

公司名稱/網站 釣魚網站數量
淘寶網 1691
eBay 504
Amazon.com 251

在我們的研究中,我們也發現下列攻擊會影響世界各地的行動用戶。

  • 我們看到偽裝成丹麥電子支付公司 – Nets Group的攻擊正在增加中。這威脅通常透過電子郵件,要求使用者確認更新或啟動帳號。
  • 針對日本使用者的萬事達卡網路釣魚攻擊活動正在進行中。在986個偽萬事達卡網站中,有717(72%)個是為日本使用者而設計。在十二月,這717個網站吸引了2,029次點擊量,大多來自日本。

針對日本用戶的信用卡釣魚網站

針對日本用戶的信用卡釣魚網站  
  • 特定惡意集團偽造出902個REMAX網站(一個跨國房地產公司)。
  • 在世界的另一端,巴西仍然充斥著內藏木馬的偽造網站,通常是TROJ_BANLOAD變種,最為人所知的行為是會下載TSPY_BANKER變種。這種攻擊通常透過偽稱來自布拉德斯科銀行、巴西銀行等的電子郵件出現。電子郵件還會夾帶連往惡意網站的短網址,通常來自像bit.ly的短網址服務。位在哥倫比亞的使用者也被被趨勢科技偵測為TSPY_BANKER.TGF的惡意銀行木馬軟體所攻擊。這個惡意軟體利用微軟Excel圖示,並且以免費禮物卡為餌來誘騙使用者執行惡意執行檔案。
  • 不幸的,行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址,所以會讓使用者輕易地認為自己瀏覽的是正常網站。

 

PayPal 真假網站比較(右邊是真的,左邊是釣魚網站)
PayPal 真假網站比較(右邊是真的,左邊是釣魚網站)

 

  • 我們還發現一個帶有附加檔案的垃圾郵件針對大通銀行。趨勢科技將這附加檔案偵測為TROJ_DLOADER.YZX。一旦被執行,這惡意軟體會下載大量其他惡意軟體,如TSPY_ZBOT.MDN、TSPY_ZBOT.LOA和TROJ_FAKE.BMC。

如果我們可以從這些威脅趨勢中學到什麼,那就是我們必須保持小心謹慎,防範網路釣魚攻擊,特別是在假節期間或有其他特殊事件時。想知道如何在這些網路購物的日子裡保護自己,可以參考我們的電子指南 – 「網路購物更簡單」和「享受無憂無慮的行動購物體驗!」還有我們的資料圖表 – 「網路購物小秘訣」。

想知道如何區分偽造的網路釣魚(Phishing)跟正常郵件,就要檢查下列蛛絲馬跡:

Continue reading “十大駭客最愛網釣誘餌,淘寶、花旗銀行、萬事達卡、Paypal 皆入榜"