專門攻擊成人影片偏好者的「誘騙付費攻擊(one-click billing fraud)」

在2012年的1月18日,京都網路警察部門宣布逮捕違反日本網路犯罪法的相關嫌疑人。這次事件據稱跟誘騙付費攻擊(one-click billing fraud)有關。根據初步報告,有6人被逮捕,受害金額約為日幣1200萬(相當於148,800美元)。

誘騙付費攻擊會將受害者誘導進特製的網站後,接著註冊跟付費給特定服務。根據公告,這些網路犯罪的嫌疑犯製作惡意程式,並且散播給使用者。當使用者訪問某些網站(包括成人網站),想要點「播放」鍵去播放影片時,結果卻會執行其他檔案。

有118個網站被確認跟誘騙付費攻擊(one-click billing fraud)有關。趨勢科技與警方合作去分析在這攻擊中所使用的程式。

看起來誘騙付費攻擊(one-click billing fraud)還在繼續進行中。今天在Google用關鍵字「one-clickware」來搜尋,會出現超過一百萬個網頁在談論這個惡意軟體。它會盛行的原因之一是因為很容易去修改一個誘騙付費程式來避免被安全軟體所偵測。誘騙付費攻擊背後的網路犯罪分子可以檢查是否資安公司可以偵測自己的程式,並加以修改。

這讓執法單位和網路犯罪分子進行像是貓捉老鼠的遊戲。不幸的是,目前看來似乎是壞人跑在前面。傳統安全軟體依賴特徵碼比對的技術將很難有效贏得這場遊戲。就跟目標攻擊一樣,網路犯罪分子進行誘騙付費攻擊有個優勢,就是程式很容易修改。他們只要改變幾行程式碼,防毒軟體就無法偵測到了。

認識「誘騙付費攻擊(one-click billing fraud)

和它的名稱不同,你在受駭的過程不僅僅只點擊一次。這類型攻擊的主要目標是想要看成人影片的使用者。

 ·         使用者可能會為了成人影片而前往影片分享網站或成人部落格。這些網站的連結也會透過垃圾垃圾郵件、部落格留言和社群媒體來散播。一旦使用者中計連上誘騙付費攻擊的網站,使用者會在站內到處瀏覽點閱。

 

 終於,使用者會被要求下載一個程式以觀看某些影片。但實際上,使用者看不到影片播放,或是只能看到幾秒鐘。接著,使用者會看到視窗跳出,要求使用者點選一個按鈕來看完整的影片。

 

在這之後,他們會連上一個網頁,在那可以「下載」影片。但最終會下載的是誘騙付費攻擊的惡意軟體。這些惡意軟體通常是HTML/HTA(HTML應用程式)、JS或VBS檔案格式,還有些其他類型的檔案。它們通常被趨勢科技偵測為HTAPORNPORNY等的變種。

  一旦進入系統後,使用者電腦上的誘騙付費惡意軟體會出現一些令人驚訝、厭惡和無法忽略的警告訊息,樣本如下:

 

在早期的版本裡,這個視窗無法被關閉。但是因為已經成為已知的誘騙付費攻擊的症狀,所以新的版本就不再這樣做了。這些警告內容都在傳達一樣的訊息:要求使用者付費觀看成人影片。最常見的付款方式是直接存入銀行帳號。

 

 涉及的金額可以很高,但通常只到10萬日圓(約 1300美元)。這可能是因為日本銀行規定交易不能超過10萬日圓。

這種威脅的演變?

傳統上,這類型的威脅只出現在桌面平台。但是在去年,趨勢科技發現這樣的攻擊也出現在行動平台上。當我們在八月下旬看到這些攻擊時,他們並不需要或使用任何行動應用程式:想要看影片會被導到一個網站,要求使用者付費。在這時候,誘騙付費攻擊無法做出一般桌面平台上的變種會使用的各種手段(跳出視窗,發出惱人訊息等)。

 

 而最近,趨勢科技已經看到了惡意應用程式的使用。就跟桌面平台上的攻擊一樣,這些最新的攻擊會使用惡意應用程式。它會在手機上每五分鐘就顯示警告訊息,讓這些訊息更加令人心煩,也增加使用者付錢的可能性。

@延伸閱讀

 為了讓攻擊更有說服力,應用程式還會顯示出使用者的相關資訊,並威脅如果受害者不乖乖付錢,就會將這些資訊發送到遠端去。

受到這種攻擊的有多少人?他們位在哪裡?

誘騙付費攻擊基本上沒有出現在日本以外的國家。但是在日本境內卻是非常頻繁,讓政府機構持續追蹤著已經被提報的案件。通常每個月會有大約 400個被提報的新案例。但是可以肯定的是,有更多受害者可能因為不想上警察局而並未提報。

有人曾經說明,這類攻擊之所以會如此有效,是因為它成功的利用使用者的羞恥心和罪惡感來強迫他們付錢。

在其他國家是否有類似的攻擊?這些攻擊之間的差異是什麼?

在概念上,誘騙付費攻擊和恐嚇軟體假防毒軟體間有個相似的地方。這兩者都會讓使用者付錢去得到他們想要的東西:前者是「色情影片」,後者是「防毒軟體」。勒索軟體攻擊模式也大致相同,雖然它的受害者是想要避免某些事情發生(資料遺失)。

此外,誘騙付費攻擊使用跟過去的假影片解碼器攻擊類似的手法。這些攻擊也利用影片來吸引受害者,這些受害者需要下載一個解碼器(這是惡意軟體)好觀賞影片。

誘騙付費攻擊和類似的攻擊有兩個關鍵的分別。首先,涉及的金額要高得多:使用者被騙的金額達到10萬日圓。而一般恐嚇軟體則往往低於100美元。

第一個差別直接影響了第二個:通常這類詐騙行為不會透過直接存款方式來付費。可能是因為涉及的金額較高,同時也可能是想要躲過自動詐騙偵測機制。

使用者可以如何保護自己?

在一般情況下,在網路上搜尋色情內容總是會增加風險,因為網路犯罪分子也很清楚有很多人在尋找類似資訊,並用來規劃自己的攻擊。然而,對於「誘騙付費攻擊」來說,有一個重要的跡象,就是使用者必須通過多道手續才能去下載「影片」。如果使用者遇到類似的情況,就必須小心行事。

趨勢科技主動式雲端截毒服務  Smart Protection Network已經封鎖了這類攻擊所使用的相關網站和檔案。網頁信譽評比技術會在連結進入使用者系統前就加以封鎖,檔案信譽評比技術會在使用者開啟任何檔案前就先與和廣大的雲端資料庫做比對。

使用者同時可以用趨勢科技安全達人來保護他們的手機,這是給行動裝置的完整安全解決方案。趨勢科技行動安全防護也會利用趨勢科技的主動式雲端截毒技術。

 下面是更多這類威脅資訊的相關連結:

電腦病毒/未經授權的電腦存取事件報告 – 2011年7月(日本獨立行政法人情報處理推進機構,Information-technology Promotion Agency of Japan)

智慧化手機:下一個誘騙付費攻擊目標

發現利用Android應用程式的誘騙付費攻擊

 

想知道更多關於誘騙付費攻擊的資訊,請參考我們的資料圖表

  

@原文出處:The Ins and Outs of One-Click Billing Fraud作者Jonathan

 

@延伸閱讀
「這個男人摸了一千個女孩的乳房」影片勿點選對新一波臉書釣魚攻擊來襲
惡意Android應用程式:看成人影片不付費,威脅公布個資

<Android App 惡意程式>愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒

色情網站遭入侵,凡看過者必下載Rootkit

正經朋友狂發色情信件?懷疑朋友 Hotmail 帳號被入侵可回報

Twitter詐騙: 打開麥當勞禮品卡“#mcdonalds gift card”,成人網站在裡面?!

抽福袋

  

 PC-cillin 2012雲端版自動掃描 facebook 塗鴉牆,紅色標示危險網址,綠色標示安全網址,即刻試用寫100字心得,有機會獲得防毒軟體及粉絲專屬好禮

PC-cillin 2012雲端版自動掃描 facebook 塗鴉牆,紅色標示危險網址,綠色標示安全網址,即刻試用寫100字心得,有機會獲得防毒軟體及粉絲專屬好禮

 

◎ 歡迎加入趨勢科技社群網站

留言功能已關閉