我的一位朋友在街上被人扒走了他的 iPhone 手機。像這樣的狀況,在巴西這類國家的大城市裡,實在是司空見慣。他後來又新買了一支手機,為了方便起見,仍然沿用原來的電話號碼。一開始並沒有什麼異樣,直到他發現自己的 Facebook 密碼被人篡改。
所幸,他的 Facebook 帳號有綁定電話號碼,因此才能救回帳號。不過這件事不太尋常,因為扒手竟然會進入受害者的 Facebook 帳號。歹徒為何對受害者的 Facebook 帳號有興趣?小偷行竊通常只是為了擁有某樣東西或者拿去變賣。災難還沒結束,隔天,我的朋友在他新的手機上收到了一封網路釣魚(Phishing)簡訊。
整起事件令人聯想到的是,傳統犯罪與網路犯罪的界線似乎開始變得模糊,尤其,傳統竊賊和網路犯罪集團未來若彼此合作,其犯罪手法將變得更加複雜。
這是一封葡萄牙文的簡訊,意思大概是說:「親愛的使用者,您遺失的裝置已經找到了,請點選這裡來查看它上次所在的位置:」。訊息後面還附上連結:hxxp://busca-devices.pe.hu。經過我們查證,這是一個網路釣魚網頁,會要求使用者輸入 Apple ID 登入憑證。
後來我們又上網查了一下這隻失竊手機最後的位置,官方 iCloud 網站確實顯示其最後位置就是手機被偷的地點。
圖 2:要求使用者輸入 Apple ID 登入憑證的網路釣魚網頁。
解析歹徒犯案手法
從各種線索我們可以拼湊出歹徒的犯案手法大致如下:
一、偷取受害者的手機 (由於手機還在使用當中,因此沒有上鎖,歹徒還能進入)
二、找出手機的電話號碼
三、透過手機上的社群網站 (以及電子郵件) 應用程式修改受害者的密碼 (或許未來可以用來勒索受害者)
四、盡快將手機關機。
接下來,駭客再利用社交工程簡訊,並搭配假冒 Apple 的網路釣魚網頁,試圖騙取受害者的 Apple ID 登入憑證。歹徒若能取得 Apple ID 登入憑證,除了冒用身分之外,還能關閉 iOS 裝置中「尋找我的 iPhone」的啟用鎖定功能,這樣就能將手機內容清除乾淨,然後再拿來利用。
犯罪份子大方刊登廣告:出租 iCloud 網路釣魚網頁
圖 3:巴西地下市場上刊登的 iCloud 網路釣魚網頁廣告。
有趣的是,最近趨勢科技竟然在巴西地下市場上看到一則出租 iCloud 網路釣魚網頁的廣告,要價 135 巴西幣,約合 43 美元 (根據 2017 年 5 月 4 日匯率)。這個網頁出租廣告還拍了一段教學影片來讓買家知道該如何使用這項服務。這是巧合嗎?或許兩者之間並無直接關聯,但由於 Apple 登入憑證是巴西網路地下市集的熱門商品之一,因此如果有人剛好也遇到和我朋友同樣的情況,其實一點也不意外。事實上,巴西早在 2015 年就曾接獲這類案件通報。
主動採取防範措施
我朋友的親身經歷可以給我們什麼啟示?傳統犯罪與網路犯罪事實上並不相違背,因此可以互相結合並相輔相成。還有呢?實體安全和網路資安也是相輔相成。不僅對一般人來說是如此,對企業也是。企業都知道,如果工作場所的門禁不夠嚴密,就會像虛擬邊界不夠嚴密一樣危險。
其實,今日的犯罪越來越精密,也越來越大膽,不論網路或真實世界皆然。因此,我們必須更主動採取防範措施,例如:學習分辨網路釣魚詐騙徵兆、保護行動裝置應用程式隱私權、養成 BYOD 裝置良好使用習慣等等。除此之外,更應妥善照顧好自己的行動裝置,例如:設定密碼來保護重要文件、使用生物特徵認證、或者設定較複雜的 PIN 碼來防止裝置應用程式遭不明人士存取。
此外,採用一套多層式行動資安防護對使用者也有所幫助,例如: 趨勢科技行動安全防護可監控及攔截網路釣魚攻擊與其他惡意網址。至於企業,尤其是採用 BYOD 裝置的企業,趨勢科技企業版行動安全防護 提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。
在趨勢科技 PhishLabs 網路釣魚實驗室同仁的努力下,我們已讓前述的網路釣魚網頁被撤下。此外,我們也向 Apple 通報了這項威脅。而趨勢科技在這項詐騙中所發現的相關網域,也都列在這份附錄當中供您參考。