網路釣魚 Phishing - 資安趨勢部落格

【網路釣魚警訊】「帳號出現異常活動請更新您的付款資料」一按下去, Apple ID 就被盜

2018 年 05 月 16 日2018 年 07 月 29 日趨勢科技 TrendMicro

趨勢科技偵測到一波新的 Apple ID 網路釣魚攻擊，利用社交工程技巧假藉可能必須終止服務的名義強迫使用者提供個人資料。這波網路釣魚電子郵件是假冒 Apple 的名義，通知客戶因為帳號出現異常活動而被鎖住，必點選郵件內的連結來更新付款資料。當受害者點選郵件中的「Update Your Payment Details」(更新您的付款資料) 按鈕時，就會連上一個外觀類似 Apple 網站的假冒網站，網站上所使用的影像背景甚至跟正版的 Apple 網站一樣。

這網站的確做得比絕大多數網路釣魚網站都來得精緻而逼真。而且內含基本的輸入資料檢查，會利用基本的總和檢查 (checksum) 來確定信用卡號碼輸入正確，同時也會檢查數字和文字欄位的長度是否正確，或者是否包含特殊字元。日期、電子郵件、姓名、CVC 檢查碼等等都會檢查是否輸入正確。

在所有個人資料和帳號資訊都填妥之後，網站會告訴使用者他們將被登出以確保安全。接著，使用者會被重導到真正的 Apple 網站。

惡意網站使用了AES 加密來反制資安廠商網站信譽評等的爬網動作，此外還搭配了其他反制措施。對一個網路釣魚詐騙攻擊來說，使用 AES 加密相當反常，因為正如我們前面所述，歹徒通常會將心思花在詐騙行動上，而非安全與躲避機制。而且此採用的加密有別於一般保護整個連線階段的 HTTPS 加密。

趨勢科技提醒使用者須小心注意任何經由電子郵件發送的連結，尤其是用來登入 Apple ID、Google 帳號、PayPal、社群網站以及其他敏感網站的連結。除此之外，信中還可能有其他惡意連結或附件檔案，因此請務必使用防毒軟體來掃瞄附件檔案。比如能保護使用者的多台裝置，並能攔截惡意連結的
PC-cillin雲端版，同時，使用者也應透過其他管道來求證信件當中所說的緊急情況，例如該公司的社群網頁。

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

網路釣魚詐騙使用 AES 加密並騙取 Apple ID

近期發生的資料外洩與隱私權風波再加上歐盟通用資料保護法 (GDPR) 即將上路，使得企業紛紛改變其處理使用者資料的方式。也因此，許多企業開始透過電子郵件通知用戶更新自己的個人檔案或主動強化資安防護。而這些電子郵件儘管來自不同的企業，其內容卻大致相同，不外乎開頭先來一段標準的問候，接著說明為何要更新其政策，最後再提供一個很顯著的按鈕讓使用者點選。由於最近這類郵件非常的多，而且陸陸續續還會有更多企業發送這類郵件，因此，不令人意外的，歹徒也看上這波郵件通知熱潮，開始假冒企業發動網路釣魚攻擊。歹徒非常擅長假冒知名企業，以「使用者政策更新」的名義發送網路釣魚郵件。繼續閱讀

《虛擬貨幣》以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站，用戶損失千萬台幣

2018 年 04 月 26 日2018 年 04 月 26 日趨勢科技 TrendMicro

著名的以太幣錢包網站 MyEtherWallet.com 在亞洲時間 2018/4/24晚間，遭受到 DNS Hijacking 攻擊。以太幣 (數位貨幣代號ETH) 的持有者在這段受攻擊時間，如果透過 MyEtherWallet.com 網站轉帳以太幣，就有可能誤入釣魚網站而把資產轉進駭客的錢包裡。

以太幣消失了! MyEtherWallet 遭DNS刼持導向釣魚網站，用戶損失千萬台幣

駭客透過 DNS Hijacking 手法搭配 MyEtherWallet.com 假網站，成功的騙到幾百位的受害者。一個月前也有駭客利用假冒的 Binance 數位貨幣交易所CEO 名義，在Twitter 上大方贈送以太幣，利用受害人貪小便宜的心理，同樣在極短的時間內騙到近千萬台幣。

作者: Ieta Chi 紀孟宏 (趨勢科技首席資安顧問)

虛擬貨幣 (Crypto Currency) 市場自2018年初以來因為各種不確定因素，總市值 (根據CoinMarketCap資料) 從一月初的最高點八千億美元，一路下跌到三月底的最低點二千四百億美元，總共下跌了70%。四月初開始大幅回升，一個月不到總市值己經上漲超過80%，光是以太幣的價格在過去一週時間就大漲 40%，熱騰騰的錢潮不僅僅吸引了大批的投資客，同時也吸引了駭客的注意力。

4/24晚間所發生的DNS Hijacking事件，讓使用者透過瀏灠器開啟MyEtherWallet.com 網站時，被導到一個偽造的釣魚網站，受害者如果沒有察覺這是個假網站而進行以太幣轉帳，轉出去的錢不是到想要轉幣的位址，而是進到駭客錢包的位址。在這次的資安事件裡 MyEtherWallet.com 網站本身並沒有被駭，而是在 Internet 上提供網域名解析工作的 DNS服務器被駭客下毒，在正常情況下當使用者連線到 MyEtherWallet.com 網站，DNS 服務器會解析出該網站的正確 IP 地址並回覆給使用者端，當 DNS服務器被駭客下毒，這時候所回覆的IP 地址就不是指向真正的 MyEtherWallet.com 網站，而是駭客用來欺騙受害者的偽裝電腦。

在發生 DNS Hijacking 事件期間，使用者開啓 MyEtherWallet.com 網站時，以 Chrome瀏灠器為例，會出現紅色的 HTTPS 不安全警告，HTTPS是一種資料傳輸安全協定，會透過加密的方式來確保整個傳輸過程的內容不會被任何第三者看到，在網路認證、線上交易等場合己經是必備的標準協定。出現紅色警告就表示準備要連線的遠端服務器的憑證有安全性問題，如果這是一個正式對外提供服務的網站，在真實案例中幾乎可以直接斷言是個釣魚網站。

使用者開啓 MyEtherWallet.com 網站時，以 Chrome瀏灠器為例，會出現紅色的 HTTPS 不安全警告，HTTPS是一種資料傳輸安全協定，會透過加密的方式來確保整個傳輸過程的內容不會被任何第三者看到，在網路認證、線上交易等場合己經是必備的標準協定。出現紅色警告 — 使用者開啓 MyEtherWallet.com 網站時，以 Chrome瀏灠器為例，會出現紅色的 HTTPS 不安全警告

繼續閱讀

防假冒企業高層主管的BEC變臉詐騙攻擊趨勢科技首創採人工智慧分析技術防範電子郵件詐騙

2018 年 04 月 17 日2018 年 04 月 17 日趨勢科技 TrendMicro

【2018年4月17日，台北訊】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今天發表一項專為提升變臉詐騙攻擊防範能力的最新技術。這項以人工智慧 (AI) 為基礎的創新技術將整合至趨勢科技多項產品當中，應用在發現專門假冒執行長或其他重要人士名義所發出的電子郵件時提供警告。

研究機構 Osterman Research 分析師 Michael Osterman 指出：「這是我第一次看到業界推出電子郵件寫作風格分析。這對於將 AI 應用在網路資安領域以防範今日最嚴重透過電子郵件所進行的網路詐騙攻擊是相當令人振奮的示範。」

趨勢科技 Writing Style DNA (寫作風格 DNA) 可針對變臉詐騙提供更進階新的防護，採用 AI 來建立使用者寫作風格的「微跡證」，其中包含了 7,000 多項寫作特徵。當遇到疑似假冒重要人士名義發出的電子郵件時，就可利用人工智慧來分析其寫作風格，並且發送通知給寄件人、收件人和 IT 部門。

趨勢科技執行長陳怡樺表示：「未來的威脅情勢需要具備人工智慧的防護來結合專家規則和機器學習。我們很榮幸能夠再次成為這個領域的先驅。」

她補充道：「這項新的技術對於我們現有的電子郵件防護以及我們免費提供給企業的網路釣魚模擬與意識提升服務，可說是完美的搭配。在這個電子郵件詐騙方式日益精密且損失慘重的大環境下，企業機構有必要設置多層防護來自我保護。」

在趨勢科技2017 年攔截到的所有勒索病毒當中有 94% 都是經由電子郵件散布。此外，預計在2018 年全球變臉詐騙損失總金額將高達 90 億美元，平均每一件變臉詐騙損失約 132,000 美元。因此，企業有必要透過訓練和技術雙管齊下來防範網路釣魚。繼續閱讀

企業資安簡易指南：網域監控 – 如何在網路釣魚出現前主動偵測並封鎖?（上）

2018 年 03 月 28 日2018 年 03 月 19 日趨勢科技 TrendMicro

網路釣魚（Phishing）是最古老的網路騙局之一。已經普遍到每個使用者和企業都可能看過好幾個釣魚網頁。許多防止網路釣魚建議都會教使用者如何避免或防禦網路釣魚攻擊，但使用者（特別是企業）該如何在它們出現前主動偵測並封鎖呢？

網域名稱內有什麼？

許多網路釣魚攻擊（特別是關於金融詐騙和信用卡資料竊取）都會複製正常網頁來偽造出詐騙網頁。例如，使用者可能會被騙去點入詐騙郵件內的連結，雖然他以為自己點的是正常電子郵件。結果就會被送到詐騙者所控制的山寨網頁。一旦使用者在該網頁輸入自己的帳號密碼和信用卡號，網路犯罪分子就可以攔截並竊取。

有許多種方法可以用來建立假網頁。最常見的是購買或註冊跟正常網域非常相似的新網域，然後放上詐騙網頁。接下來詐騙者就可以寄送網路釣魚郵件來吸引使用者連上。

這些準備工作可能需要數小時或數天，取決於註冊服務商的回應，代管服務的處理速度及詐騙者自己的時間安排和技術能力。所以企業就可以對新網域註冊進行監控和偵測。但具體該如何運作呢？

如何處理網域名稱？

網域名稱是一組定義網路行政自治權、管理權或控制權的字串。網域名稱由網域名稱系統（DNS）的規則和程序構成，並且以階層式架構組織起來。它由“DNS根網域”開始，接著是用“.”（點）隔開的下級或子網域。

比方說網域名稱trendmicro.com，裡面有第一級的“.com”和第二級的“trendmicro”。第一級稱為“頂級網域（TLD）”。它們分成幾類：

gTLD – 通用頂級網域；原本只有7個（.com、.edu、.gov、.int、.mil、.net、.org），但現在變得多很多。
ccTLD – 國碼頂級網域；這些由各國所擁有，如法國的.fr，台灣的.tw等。

繼續閱讀

“ bịnạnce.com ” 兩個小點以假亂真,發動大規模搶劫虛擬貨幣交易所 !還有假 CEO 趁火打劫

2018 年 03 月 20 日2018 年 03 月 30 日趨勢科技 TrendMicro

趨勢科技發現為數不少的網路釣魚（Phishing)利用類似網址的分身詐騙事件,比如 Paypal 被改成Paypa1 ;Google 被改成 Goog1e,詐騙者把英文字母l 和 O 魚目混珠成數字 1 和 0 是常見的手法,這些雷同 URL ,很容易矇騙臉友點擊。「ɢoogle.com」乍看之下似乎看不出來什麼端倪。把它和正宮「Google.com」擺在一起再看仔細,有發現哪裡不對勁嗎?看出來了吧，就是「ɢ」、「G」的差別。事實上，這個「ɢ」其實是一個拉丁字母，而不是我們平常常見的「G」。

點開一封網路釣魚信件的代價有多高?
日本知名加密貨幣交易所Coincheck，今年初因內部員工誤開了網路釣魚郵件，讓駭客入侵竊取了價值新臺幣154億元的加密貨幣。雲林某女網友上網看了色情網站影片連結，一不小心按了讚之後，沒想到卻中毒，臉書帳號遭盜後被用來轉貼了暗示性交易相關訊息，因而觸犯「妨害風化案及兒童及少年性剝削防制條例」被函送法辦！警方表示，有犯罪集團利用工具軟體，將色情圖片與木馬程式結合，一旦點選相關連結，就會被導向臉書網路釣魚登錄假頁面，導致帳號被盜。

點開一封網路釣魚信件的機率有多高?
網路釣魚陷阱何其多,在2012年的 Black Hat USA安全大會上所做的調查顯示，69％的人表示每週都會有網路釣魚（Phishing）郵件進入到使用者的信箱。超過25％的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。

現在網路釣客也把歪腦筋動在目前最夯的虛擬貨幣交易上….

最近出現許多跟加密虛擬貨幣相關的駭客或詐騙報導。首先是偽裝成獵人頭公司發送內嵌Dropbox連結的釣魚郵件。該連結包含一份銀行高階主管的職務描述文件,文件帶有 Visual Basic巨集會掃描系統上是否有比特幣活動的跡象。然後再植入第二個為了長期資料採集和持久性而設計的病毒。

3月上旬虛擬貨幣交易所Binance發現，駭客使用相似的假網域“bịnạnce.com”進行網路釣魚（Phishing）攻擊,以取得 Binance使用者的帳號密碼。由於假網域“ bịnạnce.com”。“i”和“a”下面的兩個小點幾乎不會被發現，許多人因此上當。該事件雖然觸發了虛擬貨幣交易所 Binance 的內部警報系統。

編按:加密貨幣交易平台 coinbase.com也曾被仿冒，駭客所註冊的網址為 coinḃase.com，不仔細看難發現後者的字母b上多了一個點。這就是所謂的同形異義（homograph）攻擊,主要透過註冊類似網域名稱來仿冒成另一個網站，偽造網站網址字符看起來像英文字，但其實它們並不是。

Binance CEO 在 Twitter 帳號發表的官方聲明，但動作快的駭客，就在幾個小時內創建了仿冒Binance CEO 的假帳號，並用假帳號回覆真正 CEO 的推文，表示將送出 5000 個以太幣 ETH做為 Binance客戶的免費補償，光3月8日當天，就有 151 個用戶 (不同的錢包位址) 把錢轉給駭客，這151個用戶總共轉了353 個 ETH。以3月8日的均價來看 (1ETH = USD780)，駭客在1天內就獲利 28 萬美金 (相當於820 萬台幣)，相當驚人的詐騙獲利。

事件始末

繼續閱讀