資安趨勢部落格 – 第 855 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

十大駭客最愛網釣誘餌，淘寶、花旗銀行、萬事達卡、Paypal 皆入榜

2013 年 01 月 23 日2015 年 06 月 02 日 Trend Labs 趨勢科技全球技術支援與研發中心

最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行

簡單方便是使用者喜愛網路購物的主要原因，雖然方便，但網路購物也可能讓使用者的認證資料和個人身份資料（PII）陷入危險，因為網路犯罪分子可以輕易地設計出網路釣魚（Phishing）攻擊來竊取資料。

<最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行>來自中國的淘宝网在購物網站中排名第一而Paypal 則居網路交易平台冠軍

趨勢科技主動式雲端截毒服務 Smart Protection Network和其他專門技術，我們辨識出二〇一二年十二月的首要網路釣魚（Phishing）網站。下面是針對五十個流行品牌的偽造網站圖表。

最常被網路釣客攻擊的電子商務網站(知名銀行/信用卡公司) 排行前 10名

根據我們所收集的資訊，電子商務網站 – PayPal是最被針對的公司，有17,573個偽造網站利用它的名字，緊接在後的是美國富國銀行（Wells Fargo）。使用者如果被誘騙連上偽PayPal網站，就可能讓系統感染TROJ_QHOST.EQ。到目前為止，這惡意軟體已經感染了台灣、泰國和美國的系統。正如下表所示，排名前十位的詐騙網站差不多都是知名銀行或信用卡公司。

公司名稱/網站	釣魚網站數量
PayPal	18947
富國銀行（Wells Fargo）	2049
Visa	1661
花旗銀行	1628
美國銀行（Bank of America）	1477
萬事達卡	986
Chase	656
Bancolombia	369
Natwest	324
Cielo	310

花旗銀行也是最常被偽造的公司之一，可能是因為黑洞漏洞攻擊包（BHEK）攻擊活動的原因。BHEK最被為人所知的就是會利用有名的公司（如花旗銀行）來引誘使用者打開垃圾郵件，然後點入郵件內夾帶的惡意連結。

某些BHEK攻擊活動會偽裝成花旗銀行來誘騙使用者下載WORM_CRIDEX.CTS，這是一個已知會竊取敏感資料的惡意軟體（如網路銀行憑證）。透過趨勢科技主動式雲端截毒服務 Smart Protection Network，我們確認有277個系統感染這惡意軟體，其中有88％位在美國。

此外，單單在十二月，我們就發現有四個BHEK攻擊活動利用花旗銀行。在最後一次的攻擊活動中，我們發現使用者電腦感染了TROJ_CDOWN.A、SWF_BLACOLE.BBB、JAVA_DLOADR.XM和WORM_CRIDEX.EZ。被偵測為JAVA_DLOADR.XM的JAR檔案出現3,095次，主要受影響使用者位在美國和日本。

公司名稱/網站	釣魚網站數量
AOL	1475
Yahoo	1349
Hotmail	1205
Gmail	1200
其他	188

網路釣魚（Phishing）網站數量最多的購物/拍賣網站是淘寶網

另一方面，網路釣魚（Phishing）網站數量最多的購物/拍賣/交易網站最多的是淘寶網、eBay和Amazon。來自中國的淘寶網在電子商務網站列為最常被偽造成釣魚網頁的第一名。

公司名稱/網站	釣魚網站數量
淘寶網	1691
eBay	504
Amazon.com	251

在我們的研究中，我們也發現下列攻擊會影響世界各地的行動用戶。

我們看到偽裝成丹麥電子支付公司 – Nets Group的攻擊正在增加中。這威脅通常透過電子郵件，要求使用者確認更新或啟動帳號。
針對日本使用者的萬事達卡網路釣魚攻擊活動正在進行中。在986個偽萬事達卡網站中，有717（72％）個是為日本使用者而設計。在十二月，這717個網站吸引了2,029次點擊量，大多來自日本。

針對日本用戶的信用卡釣魚網站

特定惡意集團偽造出902個REMAX網站（一個跨國房地產公司）。
在世界的另一端，巴西仍然充斥著內藏木馬的偽造網站，通常是TROJ_BANLOAD變種，最為人所知的行為是會下載TSPY_BANKER變種。這種攻擊通常透過偽稱來自布拉德斯科銀行、巴西銀行等的電子郵件出現。電子郵件還會夾帶連往惡意網站的短網址，通常來自像bit.ly的短網址服務。位在哥倫比亞的使用者也被被趨勢科技偵測為TSPY_BANKER.TGF的惡意銀行木馬軟體所攻擊。這個惡意軟體利用微軟Excel圖示，並且以免費禮物卡為餌來誘騙使用者執行惡意執行檔案。
不幸的，行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址，所以會讓使用者輕易地認為自己瀏覽的是正常網站。

我們還發現一個帶有附加檔案的垃圾郵件針對大通銀行。趨勢科技將這附加檔案偵測為TROJ_DLOADER.YZX。一旦被執行，這惡意軟體會下載大量其他惡意軟體，如TSPY_ZBOT.MDN、TSPY_ZBOT.LOA和TROJ_FAKE.BMC。

如果我們可以從這些威脅趨勢中學到什麼，那就是我們必須保持小心謹慎，防範網路釣魚攻擊，特別是在假節期間或有其他特殊事件時。想知道如何在這些網路購物的日子裡保護自己，可以參考我們的電子指南 – 「網路購物更簡單」和「享受無憂無慮的行動購物體驗！」還有我們的資料圖表 – 「網路購物小秘訣」。

想知道如何區分偽造的網路釣魚（Phishing）跟正常郵件，就要檢查下列蛛絲馬跡：

繼續閱讀

假Java零時差漏洞修補程式,真勒索軟體

2013 年 01 月 22 日2013 年 01 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者：確保從可靠的來源下載，不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞（CVE-2012-3174）的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而，趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11，這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案，其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe（這兩個檔案都被偵測為BKDR_ANDROM.NTW）。一旦執行，這個後門程式會連到遠端伺服器，讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

JAVA_DLOADER.NTW 會下載並執行Up1.exe（BKDR_ANDROM.NTW）和Up2.exe（TSPY_KEYLOG.NTW）。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV的%User Temp%\{random file name}.exe。經過趨勢科技的分析，這個勒索軟體 Ransomware會鎖定使用者螢幕，並且嘗試連上特定網站以顯示警告訊息給使用者。

繼續閱讀

當你的手機等行動設備被偷時該怎麼辦?

2013 年 01 月 21 日2013 年 08 月 29 日趨勢科技 TrendMicro

小編曾做過一個調查手機中毒,手機遺失,你比較擔心哪一個?,投票結果有 6 成的人比較擔心手機遺失,以下文章我們就來看看這個掉了手機的實際案例,如果是你你會怎麼辦呢?

當你的手機等行動設備被偷時該怎麼辦?

作者：Michael Ricigliano

是的，就發生在我身上。我的iPhone 4S被偷了，就在感恩節週末的家庭出遊路上。

事情就發生在轉眼之間。當我在三明治店幫我小孩清理時，這也是小偷最佳的行動時間。我知道是「他」，因為店家有人發現了，但在要採取行動的時候，這混蛋就一溜煙的跑了。然後他們也承認看到了整個經過。唉〜

從過去的歷史來看，我並不是個容易掉東西的人。我還在用幾十年前發給我的那張舊舊社會安全卡，並且用著在1979年所買的鑰匙圈，所以我對個人財產被侵犯的感覺特別強烈。我特別生氣的是才剛剛拍了一堆我的孩子和家人的照片，但卻還來不及備份我的iPhone就不見了。這些已經永遠不會再回來了。我知道，而且讓我很痛心。

結果

在絕望又憤怒下，我太太和我將所有東西都堆到我們的廂型車上繼續開。她建議我用她iPhone上的「尋找我的iPhone 」應用程式，看能不能追踪到我的手機。「我們會去抓到這傢伙的！」她用著她典型的「就這樣做」語氣講著。我也真的要去拿她的電話了，不過後來我想到車上載滿了小孩，他們不該看到老爸和一個該死的罪犯在加州薩利納斯的某個停車場扭打起來，所以我放棄了這想法。

不過我還是用她的iPhone撥了611，通知AT＆T的客服我要暫停服務，讓這混蛋不能用我的iPhone打電話。（我有用安全密碼來鎖定我的iPhone，所以我可能是太過擔心了，但你永遠不知道會發生什麼事。）AT＆T客服向我詢問「這支被盜iPhone最常撥打的電話，至少要講出一個。」我給了她我太太的手機號碼。這就完成了確認，30秒內我的電話號碼就會被「暫停服務」了。

停掉我的iPhone號碼

我繼續開在路上，看著窗外，拿著我太太的iPhone來代用。就在那一瞬間，我驚覺到手機和行動設備是多麼個人的東西。和我的iPhone相處幾年後，它充滿了我親朋好友的名字和地址，大量我喜歡的音樂和照片，一些很酷的應用程式跟那熟悉的手機殼，這些年來在我的口袋裡或黑暗的電影院內陪伴著我。我甚至將錢包裡的大部分東西清空，將健身房會員卡、借書證、咖啡隨行卡等都轉成照片存在我的手機上，這樣就可以輕易的透過iPhone的照片應用程式來使用。

握住我太太的iPhone時覺得怪怪的。就好像陌生人一樣，嘲笑著、提醒著我，它所裝的東西裡只有很小的部分對我有用。每當我呼吸一次，我就會詛咒小偷一次。

繼續閱讀

如果一定要使用Java,該怎麼辦?

2013 年 01 月 17 日2013 年 01 月 17 日趨勢科技 TrendMicro

當Java 最近又出現另一次零時差漏洞，要使用者「移除Java」的聲音已經成為一種普遍的意見。請參考:Java更新補救安全漏洞美國安部仍籲「停用」

已經有許多關於甲骨文針對最近CVE-2013-0422的Java零時差漏洞修補程式不完全的討論。在這篇文章中，我們想藉此機會來釐清幾個相關問題。

Java仍有很大的風險

根據趨勢科技的分析，我們已經證實CVE-2013-0422的修補程式並不完整。這CVE包含兩個問題。一個來自com.sun.jmx.mbeanserver.MBeanInstantiator class的FindClass method。另一個來自java.lang.invoke.MethodHandle class的invokeWithArguments() method。甲骨文已經修補了後者，但是findclass method仍然可以被用來獲取被限制class的reference。簡單來說，findclass method的問題仍然留下可供利用的後門，可能被另一個新的漏洞所用。

趨勢科技也想澄清另外一點，這次是針對CVE-2012-3174。和某些報導的觀點不同，這並不是Reflection APT的問題。Reflection API的問題已經在CVE-2013-0422裡被修補了。引用美國國家漏洞資料庫（NVD）的話「註：有些團體將CVE-2012-3174和遞迴使用Reflection API的問題關連在一起，但是這問題已經被CVE-2013-0422所包含。」

在這起事件裡，每個人心裡最大的問題是「使用者安裝這修補程式之後安全嗎？」或是「這修補程式可以防護最近利用CVE-2013-0422的攻擊嗎？」是的，直到有人找到新臭蟲跟第一個問題結合為止。Findclass method仍然是個懸而未決的問題，但它本身不能做為漏洞攻擊。不過訊息很清楚：Java仍然是很大的風險。

不過，想辦法去將Java的風險降到最低還是該做的事情。最理想的狀況是你可以移除Java以完全避免風險。但如果因為某些原因而不可行，那這些技巧可以幫你盡可能地減少風險。

在一般情況下，這是個明智的建議。如果可以的話，使用者應該移除Java，如果並不會用到。不幸的是，對於很多使用者來說，這並不是個選項。很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

所以，要如何安全的使用Java？首先，Java威脅主要來自惡意網站的惡意Java程式。如果你是因為應用程式需要而安裝Java，那你可以在瀏覽器禁用Java而不會受到影響。

過去你如果需要這樣做的話，需要一個一個瀏覽器分別設定，但現在不同了。目前的Java版本可以透過Java控制面板來做到這一點。可以在這裡找到如何進行的說明。網頁上的Java程式將無法執行，但Java應用程式可以繼續使用，沒有問題。

基於這個問題，使用者必須考慮自己是否真的需要Java。如果不的話，就應該將其移除。對於無法避免使用Java的使用者而言，還有其他的方法來降低風險：

如果一定要使用Java的該怎麼辦?

很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

如果你因為應用程式需要而安裝Java，就在瀏覽器內選擇停用

如果公司內部網站或銀行網站需要Java,請個別停用瀏覽器內的Java,選擇一個「次要」瀏覽器來上使用Java的網站，然後在主要瀏覽器中停用它

在這種情況下，你需要在瀏覽器內停用Java。選擇「次要」瀏覽器專門用來瀏覽使用Java的網站，然後在主要瀏覽器中停用它。例如，如果你是Chrome使用者，你可以用Firefox或Internet Explorer來瀏覽Java網站。趨勢科技資深安全顧問Rik Ferguson已經發表過一篇文章提供針對瀏覽器來停用Java的詳細步驟:

在Internet Explorer裡停用Java:的Internet Explorer的「工具」選單內選取「管理附加元件」，停用Java™ Plug-in SSV Helper和Java 2™ Plug-in 2 SSV Helper

在Firefox裡停用Java（MacOS和Windows）：在「工具」選單裡選取「附加元件」，停用Java Deployment Toolkit、Java™ Platform和/或Java Applet Plug-in

在Google Chrome裡停用Java：按入Chrome瀏覽器窗口右上角的「扳手」圖示，選取「選項」，進入「進階選項」然後選取「隱私權說明」中的「內容設定」。進入「內容設定」面板後，在「外掛程式」區段中選取「停用個別外掛程式」，找到Java並且點擊「停用」連結就可以了！

在MacOS的Safari裡停用Java：在Safari選單內選取「偏好設定」，按一下「安全性」標籤。取消勾選「啟用Java」
在Windows的Safari裡停用Java：在瀏覽器右上角點選「齒輪」圖示，然後選取「偏好設定」，選取「安全性」，取消勾選「啟用Java」。

基本上Internet Explorer和Firefox都可以輕易的在選單內停用外掛程式。Chrome則比較隱密，最快的做法是在地址列上輸入chrome://plugins。一旦你進入設定頁面，停用Java外掛程式來禁止瀏覽器執行任何Java程式。

此外，Chrome使用者的另一種選擇是控制要不要執行Java程式。Chrome會在執行Java程式前出現提示，讓你選擇只執行這一次或在這網站上永久可以執行。使用者應該要選擇只執行一次，如果他們知道這個網站真的需要Java。繼續閱讀

Tapjacking：一個尚未發展的Android威脅

2013 年 01 月 17 日2013 年 01 月 17 日趨勢科技 TrendMicro

使用社交工程陷阱( Social Engineering)技巧，開發者可以建立一個應用程式用來誘騙使用者去點一個特製的應用程式跳出視窗（稱為toast view”通知訊息視景”），讓它成為多種威脅的入口，這種攻擊被稱為tapjacking，會利用一個Android使用者互動（UI）組件內的特定漏洞。

這技術並不是很複雜，但會對Android使用者造成嚴重的安全問題。

在我們進入tapjacking的細節之前，讓我先簡單地解釋一下這個UI漏洞的出處。

簡介應用程式活動（Activity）

Android顯示UI元素是以活動（Activity）為單位。一個活動（Activity）是一個會佔據整個螢幕大小的系統組件，可以容納很多不同的視景（View），一個顯示在設備螢幕上的矩形區域。

下面是一個活動（Activity）的例子，它包含兩個視景（View），即（1）文字視景，這是使用者可以輸入文字的地方。還有（2）按鈕，讓使用者點（或輕觸）。如下所示，一個活動（Activity）可能會佔據整個螢幕，即使很大一部分是空的（或黑色）。下面是應用程式WarGames的一個活動（Activity）的擷圖（注：此擷圖並非來自惡意應用程式）：

一個應用程式有好幾個活動（Activity），每個活動（Activity）代表一個UI元素，可能會佔用整個螢幕。作業系統利用被稱為堆疊（Stack）的資料結構來管理不同的活動（Activity），最新的活動（Activity）會顯現在堆疊的頂端，而舊活動則會位在它下面。目前出現的活動始終都會顯現在頂端，是唯一可以回應使用者輕觸或滑動的活動（Activity）。

在大多數情況下，應用程式被設計成出現一個新活動（Activity）來顯示一個可能會佔據整個螢幕的新UI。不過也有例外。在某些情況下，一個應用程式可以只顯示視景（View），不需要將視景（View）放在一個活動（Activity）內部。這些例外就是對話框視景（Dialog View）和通知訊息視景（Toast View）。

對話框視景和通知訊息視景之間的不同

對話框視景主要是讓應用程式與使用者互動。這是個雙向的互動：對話框會顯示一些資訊給使用者，使用者可以透過輸入文字或點擊Widget元件，像是按鈕回應。而且，因為對話框視景是暫時出現，它被設計成盡可能的小，讓使用者仍然可以看到背後是什麼。使用者還是不能跟對話框背後的活動（Activity）互動。