假 Viber 通知:”你有新語音留言!”點選後當心信用卡費暴增,電話通聯紀錄走光,還附贈成人網站

趨勢科技 TrendMicro

趨勢科技注意到偽裝成來自跨平台網路電話及即時通訊軟體 Viber 的垃圾郵件數量在急遽地增加。這個應用程式也有電腦版,讓使用者可以使用免費電話和訊息。這封電子郵件通知收件者他們的帳號內有一封語音留言。

圖1、垃圾訊息樣本

 

電腦和手機上的不同行為

在電腦上的感染行為非常簡單:點入內嵌的連結會導致下載被偵測為BKDR_KULUOZ.VLU的後門惡意軟體到系統內。

然而,在行動裝置上打開電子郵件的收件者經歷了不同的結果。它不會下載任何惡意軟體,而是將使用者重新導到不同的網站,像是一個隨機網址、搜尋引擎甚或是官方應用程式商店。

行動使用者有時會被重新導到一個串流媒體網站。調查顯示此網站已經跟可疑活動連結。比方說,該網站會秘密地去對使用者在註冊過程中必須提供的信用卡號碼收費。一些使用者會在點入「Flash Player」更新廣告時被導到該網站。

圖2、使用者有時會被重新導到一個串流媒體網站

 

基於行動作業系統的重新導向

更值得注意的是其重新導向結果也取決於設備的作業系統。Android 使用者被重新導到Google Play上的「GO桌面EX」應用程式。Apple 使用者被重新導到 iTunes 網站上的一個中國遊戲應用程式。要特別指出的是,這些應用程式都並非惡意程式。

圖3和4、使用者有時會被重新導到 Google Play和 iTunes

繼續閱讀

你的資料在萬物聯網當中安全嗎?

趨勢科技 TrendMicro

當我在討論許多人所稱的「物聯網」(Internet of Things) 時,我喜歡稱它為萬物聯網(IoE ,Internet of Everything),因為從很多方面來看,物聯網(Internet of Things)一詞並不足以包括一切內涵。萬物聯網強大之處,在於其裝置所蒐集的各種與你、我相關的資料。

隱私 個資 DLP 0 安全 pivacy2

業者能看到您在裝置上所做的「一切」

想像一下這類裝置的實際運作情形,它們幾乎都必須和服務業者的中央伺服器連線。這表示業者能看到您在裝置上所做的「一切」。您必須信任這些業者會妥善保管您的資料,並且不會用於不當用途,也不能時間一久就將它們遺忘。

但很不幸的是,您的資料有各種遭到濫用或外洩的可能性。例如,這些裝置本身就可能不安全,任何駭客都能輕易入侵。而這些裝置所採用的模組,很可能來自一些開放原始碼計劃,因此長久下來很可能會被挖掘到一些漏洞,而且廠商很可能並未仔細想過該如何快速而輕鬆地更新這些裝置。此外,中央伺服器本身也可能遭到鎖定目標攻擊而發生駭客入侵和資料外洩的情況。

我們甚至還沒討論到服務業者可能拿您的資料來做些什麼。除非您仔細詳細閱讀過廠商的隱私權政策,否則您很可能並不清楚 IoE 裝置到底會蒐集哪些資料。但這些隱私權政策條文卻艱澀難懂,而且未來很可能隨時更改而不通知消費者。

隱私權政策雖然可以讓我們知道裝置將蒐集哪些資料,但卻不會完全揭露您的資料可能用於何種用途。例如,許多條款會說資料將用於提供其服務,但事實上,這一條廣泛的通則經常成了各種資料使用甚至濫用的法律基礎。

儲存在廠商伺服器上的個人資料,時間越久,對您的風險就越高

那麼使用者該怎麼辦?在購買任何連網裝置之前,您務必確實了解您所提供的任何資料很可能會存放在不安全的伺服器,並且位於其他國家的資料中心當中,而且一放就很久。您儲存在廠商伺服器上的個人資料,時間越久,對您的風險就越高。某些風險還包括資料外洩、資料遭到分享和販賣,以及因為企業出現安全漏洞、企業遭到併購等等事件的一般性資料遺失風險。 繼續閱讀

APT 目標攻擊:不要再以為只有大咖會被攻擊

趨勢科技 TrendMicro

花一分鐘想想「APT攻擊/目標攻擊」。

當你想到它們時,你認為誰會是這類攻擊的目標?

也許你會想到大國的政府機構。像是美國國防部。

或許你第一個會想到的是國際金融巨擘,像是JP Morgan。

我敢說你不會想到一間小型或是中型企業會成為這類複雜攻擊的目標。

你應該要想到的。

因為在趨勢科技最新的研究報告 – 「Predator Pain和Limitless攻擊工具」裡,趨勢科技的研究人員秀出那些被磨練和精製以用來對付世界各國政府和國際金融公司的針對性攻擊工具,現在如何被網路犯罪分子用在攻擊中小型企業。

使用相對便宜的現成惡意軟體和公開資訊,攻擊者可以利用相同的魚叉式釣魚技術來將目標瞄準較小、較不複雜也較少防護組織內的人員。

當市場力量讓針對性攻擊變得更加便宜和更加容易進行,網路犯罪分子正在擴大著潛在受害者的數量。攻擊者現在不需要花上百萬美元來讓攻擊成功,以好好地回收投資成本:現在只要花上幾千美元來攻擊許多較小的目標,也能達到一樣的效果。

中小型組織還有其他的弱點。首先是很多都還在用Windows XP,即便微軟已經結束對它的安全支援超過七個月了。隨著日子一天天過去,Windows XP只會變得更脆弱,面對更多攻擊,也成為一個更容易得手的攻擊對象。第二,這類組織通常缺乏專門的內部安全知識或專長。

這次研究要傳遞的訊息是,惡意軟體和戰略的研究進展已經到一定地步,攻擊者可以將針對性攻擊技術加上垃圾郵件和網路釣魚攻擊打包成為工具箱的一部份。

如果你是中小型的企業,你不能指望免於這類型的攻擊。除了要確保員工的安全教育,中小型組織應該要找到結合郵件安全和終端防護的組合方案。如同這項研究所顯示,這些帶來更佳安全性的作法對每個人來說都至關重要,不僅僅是那些典型的大咖組織。

 

@原文出處:Targeted Attacks: Not just for “too big to fail” any more

< 影片 > 五分之一的人發表過自己會感到後悔的貼文

趨勢科技 TrendMicro

不要有社群遺憾 – 保持對話隱私

你是否有過在社群媒體上進行自己以為私密的對話,結果卻發現每個人都可以看到?你並非唯一的一個。

Don't be that guy 4

根據最近趨勢科技針對社群媒體使用者進行的隱私調查,有五分之一的人發表過自己之後感到後悔的東西。不幸的是,很多使用社群媒體的人並不了解自己的隱私設定,結果讓自以為私密的交流變成公開的對話。

很容易就可以知道為什麼會這樣。社群媒體平台經常會更新網頁設計和隱私權限,有時這意味著你的隱私設定也需要隨之更新。私人訊息不用傷腦筋,但如果你是發表留言,那你所分享的對象可能比自己所想像的還要多。這也是隱私權掃描可以派上用場的地方,它可以幫你找出並解決任何你在更新隱私設定時可能遺漏的安全漏洞。

趨勢科技趨勢科技PC-cillin 2015雲端版會掃描你的Facebook及其他社群網站的個人檔案,找出可能造成你過度分享、破壞自己名譽或遭遇身份資訊竊賊等風險的隱私設定。

別讓自己因為在社群媒體上分享而陷入尷尬的局面。Mark沒有用我們的軟體來確保他的談話保持私密 – 看看結果他發生了什麼事。

注意!來看看趨勢科技的「不要成為這傢伙」系列影片。

Mark沒有聽從我們的忠告。看看他發生了什麼事

 

@原文出處:Don’t Have Social Media Regret – Keep Conversations Private作者:Shannon McCarty-Caplan (趨勢科技消費者安全宣導者)

 

freeDownload_540x90

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平

先有雞還是先有蛋?應用程式開發與安全

趨勢科技 TrendMicro

在以前,2013年被認為是「資料外洩的一年」。這或許是大錯特錯。2014年到目前為止,僅僅在美國,有紀錄的外洩事件就有 600 起。這是個全球性的問題,需要更多的投資和能見度。近期所披露的 JP 摩根和可能的其他幾個美國銀行網路防禦被攻破的確十分驚人。

許多焦點都放在攻擊者身上:他們來自哪個國家,攻擊背後有什麼動機。是國家行動、金錢導向還是駭客主義者?有內賊或承包商疏忽嗎?是中國還是俄羅斯?這些攻擊以前所未有的程度發生。大多數入侵滲透發生在沒有被適當修補的使用者電腦或伺服器。這本質上是因為應用程式開發時,在設計和程式碼裡少了一些必要的安全性考量。臭蟲被創造,發現,隨後被用在攻擊上以進入你家或是工作的組織。應用程式是個閘道。單靠網路安全不能保護你免於別人攻擊你的應用程式。

我們從行動電話或網頁所體驗到的迷人功能大多數來自於巧妙設計和開發的應用程式。這改善了我們在個人和工作中的動作和互動的方式。然而,如果做得不好,應用程式也會提供單一的最大攻擊面來讓惡意份子進入我們的住家和組織,讓他們有辦法去找尋、攻擊和掠奪我們的無價珍寶和關鍵資料。

在過去十年間,我們看到平台有著很大的變化。這些動態的生態系包含了網路銀行,社群媒體,甚至很快就會加入無人自動車。美國有四個州(加州、佛羅里達州、密西根州和內華達州)已經開始進入法律作業來讓像通用汽車、Google和Tesla等公司開始將這些神奇的技術帶到街上。 繼續閱讀