在之前的文章裡,我們探討了智慧型電表如何地引進到多個國家和地區,以及為什麼這些設備會帶給它們用戶安全隱憂。
在它們的心臟,智慧型電表簡直就是…一台電腦。讓我們看一看現有的電腦 – 無論是電腦、智慧型手機、平板電腦或嵌入式設備。很相似地,這些智慧型電表透過可以互相理解的技術通訊:行動網路連線、電力線網路或是用戶自己的網路連線。
想到這一點,我們必須考慮可能的威脅 – 如果智慧型電表被入侵會發生什麼事?同樣地,如果智慧型電表的連線被干擾,可能會發生什麼事?讓我們來看看。
最明顯的風險很簡單:電表被篡改。如果智慧型電表可以被駭客攻擊,就會送回不正確的資料給公用事業單位,讓攻擊者可以調整讀取的數據和導致帳單出錯。比方說,你跟你的鄰居起爭執。為了報仇,如果他可以存取你的智慧型電表,那你可能會收到一筆相當大的電費。
圖1:駭客入侵鄰居的智慧型電表(來自我們的影片截圖 – 強調攻擊情境)
惡意 Android App 攔截銀行傳送密碼,專門破解連線階段密碼安全機制
趨勢科技發現了一個名為「Operation Emmental」(愛曼托行動) 的網路犯罪行動,專門攻擊網路銀行。當銀行及客戶利用手機簡訊 (SMS) 進行雙重認證時,駭客趁機竊取銀行客戶的登入帳號密碼並攔截簡訊,進而完全掌控帳戶。這項在奧地利、瑞典、瑞士相當盛行的犯罪行動目前已現身日本,因而使得亞太地區遭受類似攻擊的風險升高。
在這項攻擊行動當中,歹徒會先假冒知名銀行的名義散發垃圾郵件給使用者,引誘缺乏戒心的使用者點選一個惡意的連結或附件檔案,讓使用者的電腦感染一個特殊的惡意程式。有別於一般網路銀行惡意程式,此惡意程式會修改受感染電腦的網域名稱伺服器 (DNS) 組態設定,將DNS 設定指向歹徒掌控的DNS伺服器,然後再將惡意程式本身刪除,因此便不留痕跡,無法偵查。這雖然只是一個小小的修改,但對受害者的影響卻非常深遠。
惡意 Android App 程式會偽裝成銀行連線階段密碼產生器。但事實上,它卻會攔截銀行所送出的密碼,並且將它轉傳到歹徒的幕後操縱 (C&C) 伺服器或歹徒的行動電話號碼。也就是說,網路犯罪者不僅透過網路釣魚(Phishing)網站取得了受害者的銀行登入帳號和密碼,現在更取得了網路交易所需的連線階段密碼。如此,犯罪集團便能完全掌控受害者的銀行帳戶。
您網路銀行帳號的防護很可能就像瑞士埃文達乳酪 (Swiss Emmental) 一樣千瘡百孔、充滿漏洞。長久以來,銀行一直試圖防止犯罪集團將黑手伸入您的網路帳號當中。密碼、PIN 碼、座標卡、交易認證碼 (TAN)、連線階段密碼等等,全都是用來防止銀行詐騙的措施。最近,趨勢科技發現一個專門破解連線階段密碼安全機制的網路犯罪行動,以下說明該行動的犯案手法。
該犯罪集團的目標是那些透過簡訊發送連線階段密碼到客戶手機的銀行。這是一種將客戶手機當成第二認證管道的雙重認證機制。當使用者要登入網路銀行網站時,銀行會利用簡訊傳送一串數字到使用者手機。使用者必須將這串數字,連同原本的使用者名稱和密碼,一起輸入到網站來進行網路交易。目前有某些奧地利、瑞典、瑞士及其他歐洲國家的銀行在使用這套機制。
網路犯罪者會先發送假冒購物網站的電子郵件給這些國家的使用者。若使用者點選了其中的惡意連結或附件檔案,其電腦就會被惡意程式感染。到這裡,一切都像典型的攻擊,沒什麼特殊之處。
不過,接下來就很有意思。使用者的電腦其實也不算受到感染,總之,不像一般的銀行惡意程式那樣。惡意程式只會修改系統的組態設定,然後就將自己刪除。這招反偵測手法如何?雖然只是小小的改變…. 但影響卻非常深遠。
其運作方式如下:使用者電腦的 DNS 設定將被指向一個由網路犯罪者所掌控的國外伺服器。惡意程式在系統上安裝了一個惡意的 SSL 根憑證,如此一來,系統就會自動信任歹徒的惡意 HTTPS 伺服器,不讓使用者看到安全警告訊息。
圖 1:電腦感染 Emmental 行動惡意程式之後的雙重認證流程 繼續閱讀
網路犯罪者在 NTP 這個較不常用的 HTTP 通訊協定身上發現了一種校對時間之外的全新用法。本季,我們見到了一波專門針對該通訊協定漏洞的 DDoS 反射攻擊 (Reflection Attack)。這些攻擊利用已遭入侵的網路對目標發送海量的回覆封包和錯誤訊息。
安全性不足的預設伺服器設定會讓網路成為 DDoS 反射攻擊的來源。此外,由於許多伺服器都未變更過預設的服務組態設定,因此駭客才能快快樂樂地運用這項技巧來攻擊選定的目標。
但令人驚訝的是,這項攻擊早在 13 年前就已經有預防方法,那就是:BCP 38 (第 38 號當前最佳實務)。假使安全真的是 IT 系統管理員的優先要務的話,那麼這類攻擊根本就不應該發生。
當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】
在經歷了過去的假防毒軟體和警察木馬程式之後,新的 CryptoLocker 變種開始將目光轉移到特定的攻擊目標。我們看到許多勒索程式變種在警告受害者時會針對不同國家,如:匈牙利、土耳其、日本以及美國使用對應的語言。同樣地,一些勒索軟體 Ransomware也會將訊息和警告通知在地化,讓受害者覺得更真實。此外,另有報導指出,有些變種還會設下嚴格的期限,指示受害者必須在 72 小時內付款以取得解密金鑰,否則系統將被摧毀。
而猙獰的 BitCrypt 則不僅會挾持檔案和系統以勒索現金,還會要求支付比特幣 (Bitcoin)。BitCrypt 主要透過 FAREIT 變種下載,還會竊取比特幣錢包相關資料,這使得勒索程式變得比以往更加複雜。
2014年第一季勒索程式受害者主要分布在美國 (28%)、日本 (22%) 和印度 (9%),這些同樣也是網路銀行受害最嚴重的國家。或許這只是巧合,但我們仍不禁懷疑勒索程式的氾濫情形是否也可能會助長網路銀行惡意程式的數量。不過,我們過去確實曾經看過網路銀行惡意程式會下載勒索程式,因此若相反的情況發生也不算是太大的突破。
當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】
遊戲安全全面提升 讓你隨時隨地Fun心玩
【2014年7月29日台北訊】隨著智慧型行動裝置日漸普及,手機App應用程式每日頻繁的被你我使用,不僅讓各式惡意程式及病毒有機可乘,網路詐騙引起的個資洩漏危機事件更是層出不窮。國內遊戲龍頭智冠科技與全球資訊安全領導廠商趨勢科技,今日宣布結合雙方所長,共同推出《安全達人》及《加速達人》X《攻略王》全新服務,雙強聯手讓玩家能夠在安全優質的遊戲環境下,享有更多樣化的休閒娛樂選擇,隨時隨地都能Fun心遊玩!
身為國內資訊安全龍頭的趨勢科技,持續開發及提供最新資安威脅防護的網路安全解決方案,以協助使用者能安心快樂的享受上網的樂趣,於今年上半年推出《《安全達人》及《加速達人》,提供使用者全方位免費的手機防護機制,透過防毒、防止詐騙、個資遭竊、手機遺失、釣魚網站過濾、詐騙簡訊及來電過濾等功能,重重把關守護手機資料的安全。
趨勢科技即日起,將與智冠合作推出全新改版攻能,在《安全達人》及《加速達人》的「安全快樂聯盟推薦」項目中新增了《攻略王》服務。除了提供最新上市及熱門推薦的遊戲App可供下載外,還有玩家們最需要的遊戲介紹、最新消息、遊戲攻略以及電玩宅速配精彩的影音新聞資訊等豐富內容,並設有虛寶專區,提供各式超值虛寶好禮免費領取,讓你輕鬆掌握所有手遊資訊!而智冠未來也將努力提供更多遊戲內容,讓玩家全面享有最便利、多元的遊戲服務。
圖說:《安全達人》及《加速達人》推出全新改版的「安全快樂聯盟推薦」,豐富遊戲內容輕鬆掌握!