作者:Anthony Joe Melgarejo(威脅回應工程師)
臉書風潮的歷久不衰,也讓網路犯罪分子找到可以實現他們邪惡計畫的溫床。利用新誘餌進行新的網路釣魚騙局。
趨勢科技發現一個被偵測為TSPY_MINOCDO.A的惡意軟體樣本。它們會將使用者從臉書重新導向一個聲稱是這社群網站所提供的安全檢查功能網頁。諷刺的是它號稱的是「透過安全檢查讓臉書安全無虞,免受垃圾訊息所苦」。
它會修改受影響電腦上的HOST檔案,將所有連向facebook.com和www.facebook.com的流量重新導回系統本身。這讓使用者永遠無法連到真正的臉書網頁。同時,這惡意軟體也會監控所有的瀏覽器活動,將使用者重新導到惡意網站。
使用者想登錄到臉書網站就可能會成為這騙局的受害者,所號稱的「安全檢查」會要求使用者輸入他們的詳細資料,從而讓網路犯罪份子得以侵入他們的信用卡帳號。
經過進一步的分析,我們還發現這惡意軟體會對多個網域進行DNS查詢。這代表騙局幕後的黑手也準備好備援伺服器,萬一原本的伺服器出現問題,還是可以繼續竊取資料。
在這一篇文章裡,介紹了網路犯罪份子如何使用你被盜的資訊,以及為什麼這些犯罪份子想要你的資訊等等。那篇文章跟這篇都屬於同一個系列,主要是想介紹不斷擴大的網路犯罪經濟體,以及提供些事實和建議好幫助保護你的資料,防止資料竊取。
在這分成兩部的情報簡介文章的第一部分裡,我會闡述現存在地下網路犯罪世界的「信任模型」,以及針對出售商品的中介商/角色的一些分析。
資料竊取商業模式
這些詐騙份子能夠賺快錢並不是什麼秘密。但是人們不知道或是沒有討論到的是,他們如何進入市場去賣掉自己手上的商品。
這些詐騙份子首先需要將自己的商品放到市場上。他們通常會去Pastebin、地下論壇和其他一些可以兜售商品的網站。此外,他們也會用現在流行的作法,到合法論壇和網站上張貼「廣告」。這一步可以被視為「找尋客戶」。下一步則是在市場上建立定價模式。
價格歧視(Price Discrimination) VS. 滲透定價 (Penetration Pricing)
在過去五年內,出現了一些事件描繪出地下論壇裡價格歧視的現象。當供應商因為許多原因而用不同價格來出售相同商品或服務時,就會存在價格歧視。實際上有四級的價格歧視,每種都有不同的作法。
然而,在過去兩年中出現了轉變,從價格歧視轉向了滲透定價模式。滲透定價是賣方用多種不同方式來吸引新買家的策略。
在滲透定價模式裡,詐騙份子進入市場並以低價出售商品以獲得更多的市佔率,再慢慢增加價格,直到符合跟其他賣家一樣的市場價值。許多賣家利用這種做法在市場上更加容易去賣出手上的贓物。利用這一點,可以讓銷量增加,存貨周轉率也較高。
這種滲透定價也可能會回升,因為會有許多新賣家進入這地下市場銷售商品。這些新賣家不遵守最高價格規則或是會針對特殊買方屬性。
這些詐騙份子也在這些市場上越加活躍,因為要隱藏自身的惡意活動已經變得更加容易。可以看看洋蔥路由(onion routing),這只是眾多隱藏自己蹤跡方法中的一種。
角色介紹
當我們看著這些詐騙(十個被分析的不同網站)裡的部份角色,我們可以推斷出這些角色間的一些共同之處。雖然這篇文章並不是想要分析這些角色,但是簡單的介紹有助於描繪出在這社群裡提供商品的賣家。了解這些資訊可以幫助你避免成為這些人所用伎倆下的獵物。
當分析這其中的網站時,似乎很多網站都銷售來自烏克蘭、荷蘭和俄羅斯的商品。而且明顯地,這些惡意份子喜歡像是Liberty Reserve、Ukash或西聯匯款等付款方式。在某些案例裡,也會允許或要求使用WebMoney。通常都會要求使用這些類型的付款方式,因為可以用幾乎匿名的方式來登錄帳戶,這些服務只需要簡訊和電子郵件確認來進行交易。某些服務,像是Ukash,會將現金轉成一個獨特的19位數字代碼。你只需找到櫃檯(線上或親自),就可以用這代碼換錢。這個獨特代碼可以用來確保付費安全。
幾乎所有的網域的註冊者都是用Gmail或Yahoo!作為註冊用的電子郵件。同樣地,許多貼文內容都偏好使用即時通來聯繫,首選是用Yahoo!和ICQ。
目前,趨勢科技看到利用DNS反射(reflection)或放大(amplification)技術來進行阻斷式攻擊的數量節節攀升。有許多種變形,但攻擊模式大致是一樣的:
網路營運商和DNS伺服器管理者都可以幫忙消除這些攻擊。
網路營運商
據估計,有14.1%的網段,佔所有IP地址的16.8%被用來造假。這聽起來很少,但網際網路是個很大的地方。使用DNS反射攻擊會造成很大的傷害,即使只用到遠小於1%的IP地址。
在路由器或防火牆上啟動入口過濾(Ingress filtering)是防止網路成為這類型攻擊來源的一種作法。它可以防止路由器傳送來源地址跟收到介面的網路不符的封包。這就好像是郵局拒絕一封退信地址是來自外地的外寄郵件。
但這並不能阻止位在相同網路上的機器發起欺騙攻擊,但它可以防止機器對外部網路發起欺騙攻擊。對這,最好的參考資料之一就是BCP-38,它詳細介紹了如何實現這類型的過濾。
DNS伺服器管理者
網路營運商的DNS伺服器在對付這種威脅上也扮演了一定的角色。如果你管理可以開放讓外部查詢的DNS伺服器,那你的確應該允許網路上的任意機器來查詢你底下伺服器的網域。但如果是那些不屬於你的網域呢?
作者:Gelo Abendan
在趨勢科技對今年的資安預測裡,我們的技術長Raimund Gene曾經預測過傳統的惡意軟體會逐漸地進化,而非產生新威脅。惡意軟體作者將更著重於改善工具,以及如何去組織攻擊。
特別是我們將會看到他們發展某些隱形戰術來避免被資安研究人員或廠商所發現。一個很好的例子就是黑洞漏洞攻擊包(BHEK)2.0版本的釋出,這是對我們之前成功地封鎖黑洞漏洞攻擊包的反擊。
在過去幾天裡,趨勢科技注意到下列一連串的事件,舊惡意軟體變種用著某些威脅手法來企圖防止被偵測。
趨勢科技警告:偵測發現超過4000個針對行動裝置平台潛在的網路釣魚風險
趨勢科技6步驟 保你不上駭客鉤
【2013 年 4 月 1 日 台北訊】全球消費性數位資訊安全領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 公布最新2012年行動裝置網路釣魚威脅研究報告中發現,有超過 4,000 個網路釣魚網址是專門針對行動裝置而設計,顯示智慧型手機與平板電腦等行動裝置已成為駭客網路釣魚攻擊的鎖定目標。
根據最近一項研究顯示[1],美國使用者每 5 人就有 4 人會使用智慧型手機上網購物;更有 52% 的使用者會透過行動裝置來瀏覽網站[2],也有 39% 會上社交網站或部落格。趨勢科技全球病毒防治中心 TrendLabs 研究員 Paul Oliveria 指出:「行動裝置的方便性,讓使用者逐漸改變行動裝置的使用習慣。網路犯罪者也利用這股消費新趨勢設計網路釣魚活動,假冒正常網站來誘騙使用者提供敏感的個人資訊,希望擷取更多個資,進而牟利。」
趨勢科技也發現,在 2012 年當中,有四成三針對行動裝置網路釣魚網址都是假冒知名的銀行或金融機構網站,例如:英國 Barclays 銀行;而其中的 PayPal 和 eBay 則為最常被假冒的電子商務與購物網站。一旦使用者受騙,在釣魚網站上提供帳號和密碼,歹徒就會暗中進行金融交易,或使用受害者的帳號購物, 輕則金錢損失,重則可能帳號被冒用從事不法行為。
繼續閱讀