網路釣魚 - 資安趨勢部落格

愛迪達週年慶「3100雙鞋免費送」!誤點了詐騙連結該怎麼辦?

2020 年 09 月 30 日2020 年 09 月 30 日趨勢科技 TrendMicro

詐騙集團跟著百貨公司週年慶一起開跑了,「阿迪達斯週年慶典」「阿迪達斯為每個人免費提供 3100雙鞋子，T恤和口罩」這個在 FB 和 LINE 流傳的詐騙訊息,跟之前流傳過一陣子的「免費貼圖詐騙」手法很像，都會「要求受害者分享」,目前趨勢科技總共偵測到 330個愛迪達相關的詐騙網址,逾2.5萬個 LINE 群組分享相關詐騙網址。台灣阿迪達斯股份有限公司（adidas）表示，網傳訊息並非官方訊息。趨勢科技切勿隨意點選不明連結且輸入個人資料，更不要下載不明應用程式。

以下是詐騙訊息:

繼續閱讀

Google Doc 等13 個合法表單服務網站被惡意建立釣魚表單

2020 年 09 月 21 日2020 年 09 月 17 日趨勢科技 TrendMicro

許多釣魚網頁會放在使用欺騙性網域名稱的網站或用網站產生器製作的網頁。然而最近因為有了僅需幾分鐘即可設定好的工具表單，讓製作釣魚網頁的難度大大降低。

一直以來，網路都是各行各業不可或缺的工具，在面臨新冠狀病毒(COVID-19,俗稱武漢肺炎) 情爆發的現在更是如此，許多公司都依靠網路連線來完成在家工作。不幸的是，網路犯罪分子也會利用網路的可用性來從使用者身上賺取金錢。最常見的手段之一是利用網路釣魚(Phishing)。

網路釣魚騙局會利用收集敏感資訊（如信用卡號、社會保險號和帳戶帳密等）的網站服務。許多都放在使用欺騙性網域名稱的網站或用網站產生器製作的網頁。然而最近因為有了表單（僅需幾分鐘即可設定好的工具），讓釣魚網頁的製作變得更加容易。

延伸閱讀: 駭客跟著你一起在家上班! 登入憑證網路釣魚「疫」常激增

13 個合法表單服務網站被惡意建立釣魚表單

以下是常被用來建立釣魚表單的表單產生服務。但要注意的是這些本身是合法、非惡意的網站。不過就如同其他合法平台一樣，它們也會被惡意使用：

123formbuilder.com
docs.google.com
form.simplesurvey.com
formpl.us
forms.gle
forms.office.com
formtools.com
smartsurvey.co.uk
supersimplesurvey.com
survey.survicate.com
surveygizmo.com
survs.com
zfrmz.com

繼續閱讀

一封郵件讓她丟了工作,讓公司損失 20 萬英鎊!如何不讓員工成為企業資安最脆弱的一環？

2020 年 09 月 14 日2020 年 09 月 07 日趨勢科技 TrendMicro

電子郵件詐騙對組織和個人都會造成很大的影響。BBC新聞最近的一份報導就強調了這一點，一位來自蘇格蘭格拉斯哥的金融專業人士成為變臉詐騙攻擊或稱為商務電子郵件入侵 BEC)詐騙的目標。駭客冒充成該員工的執行長，設法說服她將20萬英鎊轉入其銀行帳戶。當該組織意識到發生了什麼時，他們追回了一半的損失。然而該名員工被解僱，然後被透過法院追討剩餘的款項。她的律師成功地進行辯護，稱她沒有接受過任何識別這些詐騙的訓練，此案隨後被駁回。這起事件對該員工造成很大的個人損失，不僅失去了工作，還要擔心失去自己的家。她的雇主也在財務上遭受了損失，商譽也受到了打擊。在這起案例中沒有贏家，但它確實強調了安全意識的重要性。公司需要用知識來武裝員工，以保護業務並最終保護自己。

電子郵件是頭號的威脅載體。好的郵件安全軟體能夠阻止大多數的威脅，但沒有一款產品可以百分之百地封鎖電子郵件詐騙。這意味著人是我們的最後一道防線。即使發生全球性的疫情爆發時也不例外。反倒是新冠狀病毒(COVID-19,俗稱武漢肺炎)被網路犯罪分子利用成為吸引人的誘餌。根據趨勢科技Smart Protection Network™的資料顯示，在2020年的前五個月，所有利用Covid-19的網路威脅裡有92%是垃圾郵件或釣魚郵件。

好的郵件安全軟體能夠可以阻止大多數的威脅，但沒有一款產品可以百分之百地封鎖電子郵件詐騙。這意味著人是我們的最後一道防線。

趨勢科技的Phish Insight服務可以幫你提升員工對釣魚郵件及其他網路威脅的認識。最重要的是 – 它完全免費，讓你在提高網路安全性的同時還能將這筆預算用於其他重要用途。

真實案例:兩次網路釣魚模擬測試,提升員工的資安意識

美國一家Phish Insight服務的客戶在2020上半年為1,500名員工發起兩次網路釣魚模擬活動。兩次活動相距四個月，針對了同一批員工。

繼續閱讀

連警察都敢駭!偽IG 官方私訊帳號違反著作權將被刪除,按申訴連結就上鉤

2020 年 09 月 08 日2020 年 09 月 08 日趨勢科技 TrendMicro

之前 IG 竊取帳號的手法是發出網路釣魚電子郵件要求使用者必須確認其帳號才能得到驗證徽章。目前新的手法是透過 Instagram 平台內的私訊,宣稱是由 Instagram 說明中心所寄出，指出受害人違反著作權，帳號將遭刪除,但可點選訊息中的上訴表單連結，但實際上卻會掉入網路釣魚陷阱。

去年趨勢科技發現了一些攻擊案例，專門竊取名人的 Instagram 帳號。現在，再次出現另一種手法類似的攻擊，但這次使用了新的誘餌來達到相同的目的。駭客將憑證網路釣魚電子郵件偽裝成 Instagram 發出的合法訊息，進而盜取 Instagram 帳號。

這群駭客專找一些尋常的目標下手，像是名人、新創企業業主，以及在社群媒體平台上有廣大追蹤者人數的其他實體等。我們先前曾研究過攝影師遭駭的案例，這次則是一位有超過 16,000 名追蹤者的警官受害，在此案例中我們發現了新的駭客伎倆。

這些受害者除了使用個人的社群媒體帳號，也利用 Instagram 頁面作為發揮影響力和企業經營的行銷工具。擁有龐大追蹤者人數的 Instagram 帳號，代表其擁有更高的可信度和影響力。因此這些帳號自然成為吸引攻擊者下手的目標，他們利用這些帳號進行各種惡意行為，像是勒索被害人、散佈詐騙，或甚至單純用來炫耀他們的駭客技術。

新舊詐騙伎倆相同，網路釣魚誘餌不同

先前的手法和新手法都採用相同的策略：先竊取憑證，然後利用憑證濫用 Instagram 的帳號復原流程，進而取得帳號。

上次的攻擊行動使用電子郵件要求使用者必須確認其帳號，使用者才能得到驗證徽章。但在使用者點選「驗證帳號」按鈕後，卻會連到網路釣魚頁面，這些頁面將收集他們的電子郵件地址、憑證和出生日期。竊取到這些資訊後，攻擊者便能取得修改資訊所需的一切詳細資料，進而取得遭竊的帳號。

在新的手法中，訊息並非透過電子郵件發送，而是透過 Instagram 平台內的私訊提供。訊息宣稱是由 Instagram 說明中心所寄出，指出有人指控帳號擁有者違反著作權，因此其帳號現在有遭刪除的風險。訊息中還會提供另一個連結，偽裝成可提出上訴的表單，但實際上卻是網路釣魚連結。

繼續閱讀

平均每天有三個人氣Facebook粉專被盜,逾百個山寨臉書官方帳號,散發網路釣魚警告訊息

2020 年 09 月 03 日2020 年 10 月 23 日趨勢科技 TrendMicro

本部落格介紹過國內名人粉專被盜事件,包含:
粉專遭盜事件頻傳要求驗證臉書帳戶民眾要注意 !
假冒臉書官方訊息,粉絲團頻傳「被消失」,如何預防?
根據趨勢科技調查其實不止台灣,印度、澳洲、加拿大和菲律賓都傳出相關事件,幕後黑手盜取帳號後，會在一天之內被發現前變更帳號名稱和假冒粉專發出官方訊息,甚至盜刷該帳號的廣告收費專用信用卡資料。