資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

【防詐騙】真假官方帳號？如何辨別LINE@生活圈帳號是否經過官方審查認證?

2018 年 02 月 06 日2018 年 08 月 28 日趨勢科技TrendMicro

您知道您所加入的Line@生活圈有可能不是官方帳號或官方審查認證帳號嗎？有一些不良份子會利用諸如偽裝成官方活動、舉辦抽獎、免費送禮等手法騙取使用者加入這些未經認證的生活圈，並要求使用者提供自己Line ID，若您不幸中招，將自己ID輸入到這類型生活圈後，您的個資即有可能會洩漏出去，各種垃圾郵件、奇怪廣告…就會接二連三的找上門，而若點開這些生活圈中的相片、連結，亦有可能會遭受病毒的攻擊呢！因此，下次要加入新的生活圈之前，不妨先查一下是否為官方帳號或是認證帳號吧！今天趨勢科技3C好麻吉就要來教您如何查看～

想要確認生活圈是不是官方創立或官方認證的方式有二種

繼續閱讀

安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊

2018 年 02 月 06 日2019 年 12 月 03 日趨勢科技 TrendMicro

趨勢科技發現PoriewSpy惡意應用程式攻擊印度的安卓(Android) 使用者，發動攻擊的駭客團體先前曾對政府官員進行攻擊, 這些惡意應用程式自 2017 年底以來，就一直進行窺探和竊取資料的間諜攻擊事件。其背後的操作人員，可能與 2016 年發現的一個可疑網路間諜組織有關。

基於其命令及控制 (C&C) 伺服器的相似性，我們也懷疑，此駭客組織使用了以 DroidJack 或 SandroRAT (偵測為 ANDROIDOS_SANRAT.A) 建置的惡意應用程式。如果使用者的 Android 裝置安裝了這個遠端存取木馬程式 (RAT)，入侵者就能夠完全控制此裝置。

PoriewSpy 會將安卓裝置轉變成錄音機，用來竊取其他裝置的資訊

早在 2014 年，PoriewSpy 會竊取受害者裝置上的敏感資訊，例如簡訊、通話記錄、聯絡人、位置和 SD 卡檔案清單。PoriewSpy 也可以錄下受害者的語音通話內容。此惡意軟體是利用稱為 android-swipe-image-viewer 或 Android Image Viewer 的開放原始碼計畫所開發的，惡意軟體的操作人員修改了此計畫的程式碼，加入了下列元件：

權限
android.permission.INTERNET	允許應用程式開啟網路通訊端
android.permission.RECORD_AUDIO	允許應用程式錄製音訊
android.permission.ACCESS_NETWORK_STATE	允許應用程式存取網路相關資訊
android.permission.READ_SMS	允許應用程式讀取簡訊
android.permission.READ_LOGS	允許應用程式讀取低層的系統日誌檔案
android.permission.GET_ACCOUNTS	允許存取 Accounts Service 中的帳戶清單
android.permission.READ_CONTACTS	允許應用程式讀取使用者的聯絡人資料
android.permission.READ_CALL_LOG	允許應用程式讀取使用者的通話記錄
android.permission.READ_PHONE_STATE	允許對手機狀態進行唯讀存取
android.permission.WRITE_EXTERNAL_STORAGE	允許應用程式寫入外部儲存裝置
android.permission.READ_EXTERNAL_STORAGE	允許應用程式從外部儲存裝置讀取
android.permission.RECEIVE_BOOT_COMPLETED	允許應用程式接收在系統完成開機後廣播的 ACTION_BOOT_COMPLETED 訊息
android.permission.BATTERY_STATS	允許應用程式更新收集到的電池統計資料
aandroid.permission.ACCESS_FINE_LOCATION	允許應用程式存取精確定位 (例如 GPS) 的位置
android.permission.ACCESS_WIFI_STATE	允許應用程式存取 Wi-Fi 網路相關資訊
android.permission.ACCESS_COARSE_LOCATION	允許應用程式存取粗略定位 (例如 Cell-ID、WiFi) 的位置
android.permission.ACCESS_MOCK_LOCATION	允許應用程式建立用於測試的模擬位置提供者
android.permission.CHANGE_NETWORK_STATE	允許應用程式變更網路連線狀態
android.permission.CHANGE_WIFI_STATE	允許應用程式變更 Wi-Fi 連線狀態

圖 1：惡意軟體作者修改 Android Image Viewer 所加入的權限

服務
AudioRecord	主要間諜元件
LogService	用來收集日誌
RecordService	音訊錄製

繼續閱讀

網路釣魚再進化,不使用執行檔!防釣 10 招應變

2018 年 02 月 05 日2018 年 02 月 07 日趨勢科技 TrendMicro

現在網友已經越來越能分辨網路釣魚郵件，但駭客也不是省油的燈，它們的社交工程（social engineering ）技巧越來越細膩。甚至愈來愈多網路釣魚電子郵件已不再使用執行檔為附件，而是改用 HTML 網頁。因為含有執行檔的電子郵件通常會被垃圾郵件過濾軟體列為可疑郵件，但 HTML 檔案則不會，因為惡意 HTML 檔案較難被偵測，除非可證明是網路釣魚網頁。而且，網路釣魚網頁的程式碼撰寫起來較為容易，又可在任何平台上通用。

:網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤! — 網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

以 Gmail、Outlook 和 Yahoo Mail 圖示,增加可信度

趨勢科技發現一波改用 HTML 網頁為附件的網路釣魚（Phishing）郵件。一旦開啟該 HTML 附件檔案，就會啟動瀏覽器並顯示如下內容：

該網頁會要求使用者輸入電子郵件帳號和密碼以檢視文件。而且為了誘騙使用者登入自己的電子郵件信箱，歹徒還刻意在網頁上放置了幾個知名電子郵件服務的圖示，如：Gmail、Outlook 和 Yahoo Mail。

當使用者輸入自己的帳號和密碼並送出表單時，這些資訊就會被傳送至歹徒所設定好的一個 PHP 腳本。這個腳本再將受害者的帳號密碼傳送至歹徒的電子郵件信箱。

2 月是 HTML 網路釣魚頁面高峰期

2016 年 7 月 1 日至 2017 年 6 月 30 日，趨勢科技 Smart Protection Network共收到了 14,867 筆資料，其中有 6,664 個非重複樣本。

下圖顯示趨勢科技每個月所收到的通報數量：繼續閱讀

ATM 提款機成賭場拉霸機?!ATM 兩大廠商發出 ATM 吐鈔攻擊警告

2018 年 02 月 03 日2018 年 02 月 02 日趨勢科技 TrendMicro

全球兩大 ATM 提款機製造商 Diebold Nixdorf 和 NCR Corp. 日前發出警告：美國境內已首次出現 ATM 吐鈔攻擊 (Jackpotting) 的案例。稍早之前，美國特勤局 (U.S. Secret Service) 才發出相關警告表示，網路犯罪集團目前已有多種技巧可以強迫 ATM 提款機吐鈔。這種犯罪手法在犯罪地下網路上稱為「ATM Jackpotting」(ATM 開頭獎)，頗有將提款機當成賭場拉霸機的意味。

這類強迫 ATM 吐鈔的攻擊最早出現在俄羅斯，隨後傳到了歐洲、亞洲、拉丁美洲和墨西哥。資安專業記者 Brian Krebs 在 1 月 27 日接獲 Diebold Nixdorf 公司的資安警告，指出美國境內發生的 ATM 吐鈔攻擊與 2017 年 10 月發生在墨西哥境內的攻擊類似。由於手法相似，因此很可能是同一批歹徒所為，這意味著其活動範圍已跨越墨西哥邊境，北移至美國境內。

從提款機的背面進入提款機,置換含有惡意程式的硬碟

目前強迫 ATM 吐鈔的方式有好幾種，但此處的案例必須實際進入提款機內部才能將惡意程式安裝到提款機的電腦上。裝好之後，惡意程式會從提款機的數字鍵盤或外接 USB 鍵盤接收指令，因此歹徒就能下命令給提款機內的吐鈔機，將裡面的錢掏空。

根據 Diebold Nixdorf 在 2017 年 10 月所發出的資安警告，歹徒是從提款機的背面進入提款機。他們將提款機的硬碟換成含有惡意程式的硬碟，然後再利用工業用內視鏡來按壓提款機內部的 Reset (重置) 按鈕重新開機。歹徒使用了幾種 ATM 吐鈔惡意程式，包括：ATMii、ATMitch、GreenDispenser、Alice、Ripper、Skimer 以及 SUCEFUL。

ATM 內安裝手機,用來經由簡訊接收提款指令 繼續閱讀