本部落格發表一篇關於詐騙網站誘騙使用者購買熱門巴西世界杯足球賽門票的文章。最近又有另外一種威脅利用世界杯足球賽作為社交工程(social engineering )誘餌,這一次是銀行木馬程式。
銀行木馬程式在拉丁美洲相當盛行,所以此種威脅也很及時地去利用世界盃的熱潮。一線上票務網站的客戶會收到一封電子郵件,內容是提供抽獎的機會。然而,令人驚訝的是,這郵件內包含收件者的個人資訊 – 收件者註冊時所輸入的相同資料。見下方郵件截圖:
圖一:郵件內容聲稱收件者可參加世界杯門票抽獎,透過點入連結開始。
內嵌在電子郵件內的連結會導向一合法的檔案分享服務(稱為Pastelink.me)。網路犯罪分子利用此網站的來散播銀行木馬程式。下載的檔案被偵測為TROJ_BANLOAD.SM5,這是CPL格式的銀行木馬程式。
該票務網站已在其網站上公告關於這些垃圾郵件(SPAM)垃圾郵件的通知。下面截圖中的訊息翻譯為「重要公告。警告:假電子郵件利用世界杯做偽裝。有假電子郵件散播來提供世界杯門票,並假冒來自(網站名稱)。此行銷活動並不存在。」
圖二、網站通知
垃圾郵件發送者如何取得註冊使用者的資料?
該注意的是,此垃圾郵件包含準確的使用者資料,其中包括他們的全名、地址、出生日期、性別和電子郵件地址。這是怎麼做到的?
為了回應客戶投訴,票務網站稱這垃圾郵件中所使用的使用者資料並非來自他們的系統。下面截圖來自一使用者投訴網站,用來向他們的註冊使用者澄清。截圖內容翻譯為:「尊敬的客戶,提供世界杯門票的行銷活動是假的,垃圾郵件中所使用的資料並非來自我們的系統。此案已經由相關單位在處理中。」
圖三、客戶通知
誰的責任?
如果所洩露的資料並非來自該網站,那麼誰該為此負責?這問題的答案目前尚不清楚,因為在巴西並沒有法律責任去強制要求企業通知大眾可能或已證實的資料外洩事件。如果是跟消費者資料有關的疑似資料外洩事件,僅會建議企業去通知個人(網站的註冊使用者就是消費者)。此外,巴西現行並沒有法律專門去處理資料傳輸的部分。
當許多已開發國家(像是歐盟的案例)都已經會迅速行動來保護使用者的個人資料,這類事件也突顯出隱私保護法在巴西等國的重要性。就在四月,巴西政府通過一項能夠保護使用者隱私的法律。即將到來的2014年世界盃足球賽伴隨著大量雜音來自狂熱足球迷以及網路犯罪分子在尋找賺錢機會。所以我們可以預期在未來幾週內會看到更多攻擊出現。
趨勢科技已經封鎖了相關檔案的下載網址、命令與控制(C&C)伺服器、檔案雜湊值和電子郵件的原始IP地址來保護我們的客戶。
競賽與安全資料站包含了TrendLabs所有跟主要運動賽事相關的安全故事。很快地,2014年世界杯足球賽就要成為主角了。
更新
此次攻擊中所用到的檔案雜湊值為:
- a20336caf34540b17fa183bc270bd970a5f0d0a8
- 15049a31611d6d45c443f40cd1f2afc4c1883e25
- 56514a897da0c6901da295fe7f8dad290cf3b4dd
- 4958174fba26b72073473102611f423619f231bc
- 35cc21cad064da44f4036da7567302abd1f31b0e
- 532956b88a6b6c300de2cd413ae41199aa143d07
@原文出處:Home Court Advantage: BANLOAD Joins FIFA World Cup作者:Fernando Mercês(資深威脅研究員)