疫苗接種未普遍的國家,恐成惡意活動新目標
當疫情迫使企業和使用者必須去適應不同變化的同時,趨勢科技也持續在監控利用新冠肺炎(COVID-19)疫情狀況的網路威脅。隨著Covid-19疫苗的發展,網路犯罪分子對接種流程越來越感興趣,從散播假消息等錯誤資訊造成大眾恐慌,到乘勢利用疫苗進行網路惡意活動。今年五月止,台灣共發生了 2,1860 起疫苗相關攻擊事件,名列全球疫苗相關資安威脅第 15 名。
趨勢科技提醒因為新冠肺炎(COVID-19)變種在世界各地爆發,網路犯罪分子可能會在未來幾個月內利用來作為誘餌。尚未為民眾接種疫苗的國家很可能成為此類型惡意活動的下一個目標,因為這些惡意活動會趁著政府排除萬難想讓更多人接種疫苗時出現。
疫苗相關詐騙:
🔻聲稱幫個人預約登記疫苗接種的惡意APP
🔻第一隻支援雙SIM卡的手機病毒,散播分配疫苗等誘騙簡訊
🔻竊取疫苗接種登記者敏感資訊的假 app
🔻在Facebook 、Telegram上賣假疫苗竊個資
🔻假疫苗接種證明,會使用者導向其他網頁來竊取個人資訊
🔻疫苗冷鏈內主要參與者(如製造商,物流公司及其客戶)的網路釣魚騙局逐漸增多
趨勢科技的感測器追蹤了圍繞此一主題的活動,發現偵測數量在去年第三季有顯著增加,在2020年最後一季達到高峰。從下圖利用Covid-19疫苗作誘餌的惡意活動偵測數量可以看出自2020年9 月起,網路犯罪分子開始大量利用疫苗認識、生產和分配的發展作誘餌來針對企業和消費者,去年10月達到最高峰:402,443 起,今年的高峰來到一月,有 236,370 起,逐漸和緩後,在 5 月又有攀升的趨勢。
亞洲和非洲的目標也有顯著增加。由於這兩個地區第一季和第二季的感染率出現了新的紀錄,網路犯罪份子可能會冒充個人或公司來請求或分配援助。他們轉變作案手法的另一個可能原因是,疫苗尚未普及到這兩大洲人口較多的一些國家。
這些惡意活動包括(但不限於)網路釣魚(Phishing)、詐騙、後門程式、假應用程式和惡意軟體(如勒索病毒Ransomware)以及它們的手機版變種等。除了重複運用之前的手法來利用疫苗資訊誘騙使用者外,網路犯罪分子也可能預期大眾對疫苗測試最後階段或任何進行中的分配計劃等新聞越來越感興趣。
2021年1-5月疫苗相關資安攻擊,台灣居全球第15名
特定國家的疫苗相關資安威脅數量激增,不由得讓人思考,為什麼這些國家會成為目標?例如,美國仍是用疫苗作為誘餌的首要目標。在這種情況下,鑑於美國在冷鏈中的位置,它成為目標很可能是因為兩家主要的疫苗廠商總部都設在那裡。
在歐洲和亞洲,法國和日本是惡意軟體威脅和攻擊最嚴重的目標。從次數和目標數量來看,我們認為今年備受期待的賽事活動可能吸引了網路犯罪分子的關注。這些活動有法國公開賽、環法自行車賽、橄欖球世界盃和奧運會。兩國都已經宣布賽事的觀眾和參賽者都必須要有疫苗接種證明(如疫苗護照)。此外,隨著各國努力迎接遊客以推動經濟復甦,法國和日本都率先宣布將採用新技術來對外國遊客進行通關檢查以減少與機場移民官的接觸,如臉部識別和生物識別技術。
亞洲和非洲的目標也有顯著增加。由於這兩個地區第一季和第二季的感染率出現了新的紀錄,網路犯罪份子可能會冒充個人或公司來請求或分配援助。他們轉變作案手法的另一個可能原因是,疫苗尚未普及到這兩大洲人口較多的一些國家。
從下圖可以發現,台灣名列全球疫苗相關資安威脅第 15 名,從今年1月-5月止,共發生了 2,1860 起攻擊事件,而日本和法國的被攻擊次數高達20萬次以上更是惡意軟體威脅受害最嚴重的國家,
[延伸閱讀: 手機/電腦中毒、物聯網裝置遭駭,會出現哪些症狀?保護你在家工作環境]
疫苗分配詐騙釣魚網站和惡意軟體覬覦個資
根據我們的資料,我們發現了一些社交工程(social engineering )攻擊利用全球疫苗接種狀況做為誘餌來進行各種惡意軟體部署活動、詐騙和攻擊。
詐騙活動也持續在擴散,目標是想尋找更多疫苗相關資訊、取得疫苗方法或紓困申請方案如就業機會及失業補助的一般大眾。雖然有關當局已經取締了一些偽裝成非政府組織(NGO)或疫苗分配相關公司的假網站,但我們仍然發現有更多想騙取個人資訊的釣魚網站出現。
第一隻支援雙SIM卡的手機病毒,散播分配疫苗等誘騙簡訊
駭客還會利用簡訊來誘騙人們傳送個人資訊給他們,誘餌包括會分配疫苗或是提供給老年人、失業者甚至陷入困境企業的紓困方案。例如,推特上提到有一種在印度的簡訊蠕蟲。當受害者點入簡訊內的連結時,蠕蟲病毒會利用受害者的聯絡人進行散播。披露此一詐騙活動的Twitter留言指出,這可能是第一隻支援雙SIM卡的手機病毒。值得注意的是,該惡意軟體會用識別的第一個電信商來散播蠕蟲病毒。
聲稱幫個人預約登記疫苗接種的惡意APP
趨勢科技發現偽裝成疫苗註冊管道的行動應用程式,它們以印度使用者作為目標來散播蠕蟲病毒。有假冒CoWIN平台的疫苗接種登記網頁和假冒Sahaita基金會的應用程式。(右也有聲稱會幫個人預約登記國家疫苗接種的MyVaciRegist應用程式。
在眾多惡意應用程式中,我們發現有幾個互相關聯,只是使用不同的誘餌,可能是針對印度的使用者。我們還發現偽裝成Covid-19檢測登記的應用程式。包括V-Alert COVID-19(趨勢科技偵測為AndroidOS_Cerberus.HRXC)和Covid-19 Test(趨勢科技偵測為AndroidOS_Anubis.GCL)。兩者都使用之前所提過惡意軟體類似的命令和控制(C&C)伺服器來散播銀行惡意軟體Anubis和Cerberus。進一步研究Cerberus的部署後,趨勢科技還發現相同的Cerberus 變種偽裝成Google更新來針對日本和德國的使用者。
還有偽裝成印度政府CoWIN網頁的應用程式,目的是安裝FakeApp惡意軟體(趨勢科技偵測為AndroidOS_FakeApp.NGPF)並竊取疫苗接種登記者的敏感資訊。此外,我們對假TikTok和register laptop應用程式的分析顯示出這些應用程式從2020年7月開始散播FakeApp,而最近的假CoWIN註冊網頁則是從2021年4月底開始散播。FakeApp背後的網路犯罪分子不僅利用了盡可能讓更多人民接種疫苗的舉措,又利用了印度不斷上升的感染人數。不幸的是,這些惡意活動會趁著政府排除萬難想讓更多人接種疫苗時趁虛而入。
非法市場和假疫苗接種證明, 在Facebook 、Telegram上賣假疫苗竊個資
自2020年第四季以來,有關當局一直在努力逮捕不法團體並取締銷售假疫苗和治療方法的網站。此外,雖然我們報導了Facebook等社群網站和Telegram等即時通平台上銷售假疫苗的網頁散播,但我們也看到出現更多賣家網頁提供假疫苗。此外,調查人員還在調查涉嫌在全球販賣假疫苗的合法電子商務網站。有關當局警告說,這些不法份子可能只是為了使用者的銀行、信用卡資訊以及個人詳細資訊來進行身分竊盜。這些惡意份子也有可能向毫無戒心的受害者賣出可能造成更大傷害的東西。
在逐漸恢復正常的過程中,有越來越多人表達了對假疫苗接種證明的興趣,目的可能是為了虛報自己的疫苗接種狀況。據報導,賣家一直在利用社群媒體上可找到的資料來製作假證明。有關當局已多次要求合法接種疫苗的使用者不要在社群媒體上張貼自己的證明照片,原因有二:一是防止身份竊盜,二是防止詐騙份子了解該如何偽造此類證明。必須強調的是,從長遠來看,偽造這些證明可能造成損害和致命後果,因為如果未完全接種疫苗的人使用偽造證明來進行虛假陳述,有可能會延長疫情流行的時間,讓全世界解封的時間更加延後。
◼延伸閱讀:改名「鮭魚」和上傳身分證,都需要三思
尚未為民眾接種疫苗的國家很可能成為此類型惡意活動的下一個目標
由於惡意程式的數量在今年第一季有所減少,這可能代表網路犯罪分子正在等待下一個發展或更多關於疫情的消息,好讓他們能夠加以利用。趨勢科技也會持續監測這些程式和技術,因為全球進行中的疫苗接種活動,所以這些惡意活動不太可能很快消退。網路犯罪分子的注意力和目標很可能只是轉移到其他國家或大事件。此外,因為新冠肺炎(COVID-19)變種在世界各地爆發,網路犯罪分子可能會在未來幾個月內利用來作為誘餌。
因此,尚未為民眾接種疫苗的國家很可能成為此類型惡意活動的下一個目標。惡意團體和網路犯罪分子會去利用當地的情況變化。還可能會利用任何新發展來在網路上散播更多關於治療方法和藥物的假資訊。
偽造疫苗接種記錄相關證件可能會在地下市場大肆出現
疫情相關證件和技術也可能成為目標。隨著越來越多的人期待商務和休閒旅行,偽造證件的販賣和服務可能會在地下市場大肆出現,檢查人們健康和疫苗接種記錄的技術也將成為網路攻擊的目標。
事實上,網路犯罪分子會繼續利用人們對新資訊的需求和渴望,尤其是在感染率已處於下降趨勢的國家裏暗示「恢復正常」的傳言。因此,錯誤資訊和假新聞很可能在疫苗接種後仍然猖獗,包括可能吸引尚未接種或選擇不接種民眾的假資訊。
◼延伸閱讀:疫情詐騙》肺炎疫苗接種詐騙全球蔓延,暗網出現非法疫苗交易
疫苗冷鏈內主要參與者(如製造商,物流公司及其客戶)的網路釣魚騙局逐漸增多
冷鏈(cold chain)是指連續物流與管理服務,確保溫控產品在冷藏環境生產、儲存、運輸和配送,以保持完整性和品質。特別是疫苗冷鏈,每個環節都需要接受過處理、儲存和運輸這些貨物培訓的人員,由訓練有素的專業人員監督和管理,並且要遵守管理程序、特殊規定和法律要求。
因為這條供應鏈的重要性,我們注意到針對疫苗冷鏈內主要參與者(如製造商,物流公司及其客戶)的網路釣魚騙局逐漸增多。我們追蹤了這些會竊取敏感資訊的惡意檔案、電子郵件和網頁。主要的目標是電信、銀行、零售業、政府和金融部門,被選中的原因可能是它們大量參與了疫苗接種流程。
惡意軟體運營商也會利用冷鏈攻擊供應鏈下游的合作夥伴,針對有興趣大量採購的其他國家或公司,甚至是正在尋找工作的使用者。儘管Emotet集團已經在全球被瓦解,我們的感測器仍然觀察到來自不同國家的大量偵測,它們利用新冠肺炎(COVID-19)疫苗、醫療報告或資訊更新作為郵件誘餌。這顯示仍有尚未完全清除乾淨的受Emotet感染電腦存在,我們預計威脅會隨著殘餘感染電腦被處理而逐漸消除。我們還觀察到來自孟加拉和美國的Lokibot變種內嵌在垃圾郵件裏,這些垃圾郵件冒充成疫苗廠商來提供關於疫苗和推出時間表的更新資訊。與其他人的報告一樣,我們感測器的勒索病毒偵測也包括主要來自美國和德國的Vaggen勒索病毒,而大多數冷鍊釣魚攻擊都可以追溯到荷蘭和奧地利的伺服器。
◼延伸閱讀:430萬筆帳號被入侵的 Emotet 殭屍網路被瓦解後
◼延伸閱讀:應對洗劫數百萬美元的勒索病毒,企業的七個預防對策]
如何保護自己免於Covid-19詐騙和惡意活動影響?
網路犯罪集團會繼續尋求最有效的技術來感染和攻擊系統,以不知情的個人為目標,從他人身上獲利。以下是一些減少風險和保護自己免於這些威脅和詐騙的最佳做法:
- 僅從官方平台或網站下載應用程式、軟體和檔案。
來自非官方平台的應用程式或軟體可能會被嵌入惡意組件,或可能偽裝成熱門應用程式作誘餌。也可能具備與其宣稱目的無關的功能。 - 避免點入聲稱緊急或來自未知寄件者的電子郵件或簡訊內的連結。
這些連結可能是為了存取裝置、竊取敏感或財務資訊、散播惡意軟體而嵌入的網路釣魚或簡訊釣魚(SMShing)網址。它們也可能導向惡意網站來感染裝置,以便隨後進行隱蔽通訊。 - 避免點入和散播假新聞、廣告或未經證實的資訊,尤其是在社群媒體上。
假新聞都會使用騙點擊的標題:它們會危言聳聽來吸引讀者的興趣,喚起強烈的情緒好進行操縱。這些網頁可能會將你導向到竊取資訊或傳播惡意軟體的惡意網站。在分享前先搜尋是否有其他可靠知名的媒體發布相同內容,以驗證資訊的準確性。
趨勢科技解決方案
趨勢科技會繼續監控所有可能危害你業務和裝置的Covid-19相關攻擊和惡意活動。同時建議採用多層次防護來保護好各個層面,防止使用者連到可能會散播惡意軟體的惡意網域。趨勢科技端點解決方案(如Smart Protection Suites和 Worry-Free Business Security )可以偵測並封鎖惡意軟體及其使用的惡意網域。
作為多一層的防禦,Trend Micro Email Security可以阻止垃圾郵件及其他電子郵件攻擊。它提供了持續更新的防護,保護系統抵禦新舊攻擊。趨勢科技InterScan Messaging Security提供全面性的保護,可阻止傳入的威脅和保護傳出的資料,並且能阻止垃圾郵件和其他電子郵件威脅。
趨勢科技Phish Insight可以幫助員工和使用者提伸安全意識和資訊,識別對組織及自身的惡意威脅。這些關於最新威脅和技術的模擬演練可以透過易於使用的平台,使用真實世界裏的網路釣魚活動樣本來進行客製化訓練,能夠幫助提高網路安全意識和改變行為。防詐達人還可以幫助偵測錯誤資訊、詐騙和類似的網路威脅。這是一款由人工智慧(AI)驅動的免費多平台工具,提供了詐騙連結偵測,電子郵件安全檢查,文字、語音和視覺的事實檢查來識別錯誤資訊和新聞媒體可信度驗證。自推出以來,它已經識別出超過200萬個詐騙活動和300萬筆錯誤資訊。
使用者還可以利用能阻止隱藏廣告軟體的安全解決方案(如趨勢科技行動安全防護),可以封鎖惡意應用程式。使用者還可以利用其多層次安全防護功能,保護裝置所有者的資料和隱私,並且保護他們免於勒索病毒、詐騙網站和身份竊盜的侵害。
對於企業,趨勢科技的行動安全防護企業版提供了裝置、合規性和應用程式管理,資料保護和設定配置,同時能夠保護裝置抵禦漏洞攻擊,防止對應用程式未經授權的存取,偵測並封鎖惡意軟體和詐騙網站。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習(Machine learning,ML)技術來涵蓋Android和iOS上的威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
◼[延伸閱讀:後疫情時代的八個資安情勢]
入侵指標(IOC)
可以連到此處來取得IOC的完整列表。
@原文出處:Threats Ride on the Covid-19 Vaccination Wave 作者:Paul Pajares
