資料外洩 - 資安趨勢部落格

詐騙份子會想用我的資料做些什麼?

2013 年 01 月 30 日2013 年 07 月 03 日 Trend Labs 趨勢科技全球技術支援與研發中心

順帶一提，我想起當我跟鄰居提起我在資訊安全界工作時，他的下個問題就是：「這些詐騙份子為什麼想要我的資料？」越多人問我這個問題，也就越加明顯地，使用者資料是非常有價值的。

當你知道，只要花五美元就可以在地下論壇或網站購買你所有的個人資料，會感到很驚訝嗎？有些人可能還會驚訝地發現，被販賣的資訊還遠遠不止於你的姓名和地址。

在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先，可能是文字檔或CSV檔案，一個包含所有資料，用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中，方便閱覽。此外，「Fullz」也可能透過可攜式資料庫格式來傳遞，像是MDF檔案，方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題，還有駕照資訊、社會安全號碼以及其他資料。

這些詐騙份子很邪惡，卻不代表沒有生意頭腦。如下圖，一個賣方提供折扣給大量購買的訂單。

這些詐騙份子還提供轉錄（Dumps）資料出售，這是來自你信用卡磁條的原始數據。除了轉錄（Dumps）資料，他們也賣塑片（Plastics），用來寫入轉錄（Dumps）資料的空白卡。

最後，為了讓詐騙活動更加容易，攻擊者也販賣銀行帳戶登錄資訊和高階電子產品。被賣的銀行帳戶可以直接用來存取錢，不再需要買轉錄（Dumps）資料和塑片（Plastics）了，只需要使用你的銀行登錄資訊，並且把錢轉走。

高階電子產品也可以用合理的價格在黑市上販賣。這些詐騙份子利用偷來的信用卡資料來以零售價購買設備，並且在網路上折扣價出售以換取現金。

詐騙份子可以用我的資料做些什麼？

雖然很多人可能會說，「如果犯罪份子拿了兩萬份Fullz，不會正好用到我那份。」這並不是真的。雖然偷你資料的網路犯罪份子可能不會用到所有的兩萬份轉錄（Dumps）資料，他們可能會用低價去拋售部分未使用到的資料。繼續閱讀

後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器

2013 年 01 月 15 日2013 年 01 月 15 日趨勢科技 TrendMicro

後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器

類似BKDR_JAVAWAR.JG的惡意軟體證明了網頁伺服器也會是網路犯罪份子的目標，可以被用來儲存重要資料，也可以在不知情使用者連上這些受影響網站時，輕易地去感染他們的系統。

趨勢科技最近發現到一個Java伺服器網頁出現後門程式行為的BKDR_JAVAWAR.JG，並且控制有漏洞的伺服器。這惡意軟體可能是經由某惡意網站的檔案下載，或是被其他惡意軟體所植入。

這攻擊要得逞，目標系統必須是Java Servlet容器（像是Apache Tomcat），或是Java-based的HTTP伺服器。另一個可能是當攻擊者檢查到採用Apache Tomcat的網站時，就會試圖存取Tomcat Web應用程式管理員。

利用密碼破解工具，網路犯罪份子可以登錄並獲得管理權限，能夠佈署包含後門程式的Web應用程式包（WAR）到伺服器。這後門程式會自動地被加入可存取的Java伺服器網頁。要執行動作，攻擊者可以連到Java伺服器網頁的下列路徑：

{Tomcat Webapps目錄內的子目錄}/{惡意軟體名稱}

一旦完成，就可以透過下面的網頁主控台來利用這後門程式進行瀏覽、上傳、編輯、刪除、下載或從受感染系統複製檔案：

也可以利用這網頁主控台來遠端輸入命令列指令：

攻擊者可以透過網頁主控台來查看系統資訊、程式版本、安裝和重要目錄資訊：

除了能夠存取敏感資訊，攻擊者可以透過這後門程式來控制受感染系統，在這有漏洞的伺服器上進行更多惡意指令。

繼續閱讀

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

2012 年 10 月 29 日2012 年 10 月 22 日趨勢科技 TrendMicro

企業電子郵件流量預計會在2016年底達到1430億封

在最近幾年間，因為企業有網頁應用程式、社群媒體和消費化應用的出現，提升了商務溝通的能力。但電子郵件仍然是主要用來交換重要商業資訊的媒介。企業的電子郵件流量佔了今日全球流量的大部分。根據一項研究顯示，企業電子郵件流量預計會在2016年底達到1430億封。^註1

有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料

商務溝通透過電子郵件既快速又簡單，在大多數情況下只要有網路就可以了。它可以放入足夠長度的內容，也可以用正式的格式來做資料交換。電子郵件也被認同是法律文件。

電子郵件被認為是關鍵的資訊服務。^註2 員工會認為這在工作流程中是必要的，所以零電子郵件的政策難以被落實。^註3 研究顯示，有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料。^註4 有些關鍵文件包括客戶資料、產品設計，企業策略和銷售報價等等。

經由電子郵件寄送的重要資訊類別:

敏感的賠償問題 47%
併購活動 33%
可能的資遣和組織重組 45%
產品規劃藍圖 63%
預算計畫 76%

來源：PhoneFactor

電子郵件附加檔案

商務人士經常會在電子郵件內附加檔案，已經成為正常商務通訊的一部分。

微軟Word檔案：Windows 已經被企業廣泛的採用。因此，唯一和作業系統完全相容的微軟Office套件也非常的普及。^註5
PDF檔案：組織會使用PDF檔案，因為它支援多個平台，可以很容易地散布、歸檔和儲存。根據研究顯示，有90％的企業將掃描文件儲存成PDF檔案。而89％的受訪者表示，他們正在把微軟Word檔案轉成PDF檔案。^註⁶

毫無疑問的，攻擊者已經了解到利用電子郵件在目標攻擊活動裡散播攻擊工具是非常有效的作法。

目標攻擊進入點

目標攻擊或APT進階持續性威脅 (Advanced Persistent Threat, APT)是指一種威脅類型，可以長時間潛伏在網路或系統內來達到它們的目的（通常是竊取資料）而不被偵測到。

目標攻擊的幕後黑手會先利用開放的資料來源做研究，做出有效的社交工程陷阱( Social Engineering)誘餌。既然電子郵件是最常被使用的商務溝通模式，惡意威脅份子通常會經由這媒介來帶入漏洞攻擊。這些漏洞攻擊之後會下載更多的惡意軟體。

以下影片(10:22)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例
標題包含:”看了這個文章多活 10 年”,”新年度行政機關行事曆”

繼續閱讀

UDID入門：了解Apple的資料外洩狀況

2012 年 10 月 08 日2024 年 12 月 03 日趨勢科技 TrendMicro

當前一陣子出現了一百萬筆Apple UDID被駭客激進份子竊取的消息傳出後，使用者驚慌失措：什麼是UDID？個人識別身份資訊要怎麼經由UDID洩漏？我該如何保護我的個人識別資訊？

什麼是UDID？

UDID本身只是一段冗長的字串，是所有iPhone、iPad和iPod Touch的唯一序號，由長長的一串數字和字母所組成。因此，它對駭客來說幾乎是無用的，也不會影響到使用者的隱私或安全。直到最近讓開發者可以在未經使用者許可下自由的收集，使得開發者和他們的合作廣告網路可以追踪安裝應用程式的族群並監控使用狀況，提供針對性廣告或提升使用者體驗。

個人識別資訊要如何跟UDID連結？

在收集UDID時，許多蘋果開發者會將匿名UDID字串代碼儲存在資料庫中，還加上了開發者同樣從應用程式擷取來的裝置擁有者的個人識別資訊。這也是為何應用程式開發者 – BlueToad可以去建立一個龐大的UDID和個人資料（如使用者姓名、個人郵件地址和電話號碼）的資料庫，原本被駭客錯誤的認為是來自「FBI外洩」的資料。一旦結合這些額外的個人資訊， UDID就可以提供網路犯罪份子一個寶庫用來進行個人詐欺、網路詐騙等活動，或用來幫忙破解其他更有價值的使用者帳號。

我該如何在這類型風險下保護自己？

壞消息是，沒有辦法知道誰存取過你的UDID，也沒有辦法防止它落入壞人之手。在這由iOS開發者、發行商、廣告網路和其他第三方團體所組成的Apple複雜生態環境中，你的UDID可能已經被分享給太多外部團體了，特別是如果你超喜歡玩應用程式的話。這件事本身並沒有太大問題，真正的問題是開發者所建立的資料庫會綁定這個產品的唯一識別碼和你的個人資料。你可以在出現警告時試著限制授權給開發者的資訊，安裝應用程式前先讀一讀那幾行小字，仔細檢查每個應用程式所要求的權限。但是，在許多狀況下，資訊已經存在那裡了，如果黑客知道要去哪找，最終就是會落入壞人之手。

好消息是，Apple嚴格的應用程式商店審核小組已經開始拒絕新的應用程式去要求UDID，而且昨天所介紹的新iOS 6作業系統也會用一套新的API來取代UDID，這也是Apple朝向完全不使用這組數字的不久將來所踏出的第一步。

對於那些已經受到影響或是關心UDID使用的人，主要問題是UDID依然存在，這個龐大資料庫的資訊還握在第三方開發者手上。就這一點而言，唯一可以讓你變換代碼並且重新開始的方法只有買支新手機，然後在選擇要分享哪些資訊給應用程式時更加小心。

＠原文出處：UDID Primer: Breaking down Apple’s leaky situation作者：Erica Benton

◎延伸閱讀

l 駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中
UDID入門：了解Apple的資料外洩狀況當前一陣子出現了一百萬筆Apple UDID被駭客激進份子竊取的消息傳出後，使用者驚慌失措：什麼是UDID？個人識別身份資訊要怎麼經由UDID洩漏？我該如何保護我的個人識別資訊？
什麼是UDID？

UDID本身只是一段冗長的字串，是所有iPhone、iPad和iPod Touch的唯一序號，由長長的一串數字和字母所組成。因此，它對駭客來說幾乎是無用的，也不會影響到使用者的隱私或安全。直到最近讓開發者可以在未經使用者許可下自由的收集，使得開發者和他們的合作廣告網路可以追踪安裝應用程式的族群並監控使用狀況，提供針對性廣告或提升使用者體驗。

個人識別資訊要如何跟UDID連結？

在收集UDID時，許多蘋果開發者會將匿名UDID字串代碼儲存在資料庫中，還加上了開發者同樣從應用程式擷取來的裝置擁有者的個人識別資訊。這也是為何應用程式開發者 – BlueToad可以去建立一個龐大的UDID和個人資料（如使用者姓名、個人郵件地址和電話號碼）的資料庫，原本被駭客錯誤的認為是來自「FBI外洩」的資料。一旦結合這些額外的個人資訊， UDID就可以提供網路犯罪份子一個寶庫用來進行個人詐欺、網路詐騙等活動，或用來幫忙破解其他更有價值的使用者帳號。

我該如何在這類型風險下保護自己？

壞消息是，沒有辦法知道誰存取過你的UDID，也沒有辦法防止它落入壞人之手。在這由iOS開發者、發行商、廣告網路和其他第三方團體所組成的Apple複雜生態環境中，你的UDID可能已經被分享給太多外部團體了，特別是如果你超喜歡玩應用程式的話。這件事本身並沒有太大問題，真正的問題是開發者所建立的資料庫會綁定這個產品的唯一識別碼和你的個人資料。你可以在出現警告時試著限制授權給開發者的資訊，安裝應用程式前先讀一讀那幾行小字，仔細檢查每個應用程式所要求的權限。但是，在許多狀況下，資訊已經存在那裡了，如果黑客知道要去哪找，最終就是會落入壞人之手。

好消息是，Apple嚴格的應用程式商店審核小組已經開始拒絕新的應用程式去要求UDID，而且昨天所介紹的新iOS 6作業系統也會用一套新的API來取代UDID，這也是Apple朝向完全不使用這組數字的不久將來所踏出的第一步。

對於那些已經受到影響或是關心UDID使用的人，主要問題是UDID依然存在，這個龐大資料庫的資訊還握在第三方開發者手上。就這一點而言，唯一可以讓你變換代碼並且重新開始的方法只有買支新手機，然後在選擇要分享哪些資訊給應用程式時更加小心。

◎原文出處：UDID Primer: Breaking down Apple’s leaky situation作者：Erica Benton

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

延伸閱讀

駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

<常見資安名詞>

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

認識駭客（Hacker），Cracker（破壞者），激進駭客（Hacktivist）網路犯罪份子（Cybercriminal）,白帽（White Hat）,黑帽（Black Hat）,灰帽（Grey Hat）

什麼是網路霸凌bully

[何謂雲端運算？」雲端的定義 (Defining the Cloud)

Black SEO黑帽搜尋引擎優化

Blog 的四個壞兄弟: Splog、Spambot、Sportal、Sping

「Botnet傀儡殭屍網路」

什麼是雲端運算? 跟你我生活有何關係？(Q 版張明正為你解說台灣國語超親切）

clickjacking點擊劫持

Cybersquatting域名搶註

cybertwin網路雙胞胎

Cyber Monday網購星期一

Drive-by-download 路過式下載( 隱藏式下載、偷渡式下載、強迫下載 )

Facebook Fired

Fake AV假防毒軟體

綁架讚（Likejacking）

Money mules錢騾

Nigerian 419 Scam奈及利亞 419 詐騙案

Phishing網路釣魚

QR碼垃圾郵件(1)

假分身（Sock Puppet）

Rootkit?

什麼是 SPAM 垃圾郵件？肉罐頭？(同場加映：電子郵件演變史)

勒索軟體Ransomware

Spyware間諜軟體

Social Engineering社交工程

Tabnapping：瀏覽器頁籤挾持

木馬病毒/網頁掛馬

語音釣魚(Vishing)：這是什麼？如何預防？

Zero-Day零時差攻擊

肉雞？黑客？

⭕️ AI 防詐防毒

趨勢科技PC-cillin雲端版運用最新 AI 防毒防詐技術，全面保護您的身分隱私，讓您享受上網安心點。

不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

✅ 獨家 AI 隱私權分析技術 讓您的個資，由你自己掌握
✅社群帳號盜用警示 在災害擴大前，搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓您安心儲存所有網路帳密

追蹤我們的IG 帳號

⭕️獨家！每週精選最火紅的詐騙與資安新聞，讓您隨時掌握資安警訊不想成為下一個受害者嗎？立即訂閱，搶先一步防範

⭕️ AI 防詐防毒

趨勢科技PC-cillin雲端版運用最新 AI 防毒防詐技術，全面保護您的身分隱私，讓您享受上網安心點。

不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文

⭕️獨家！每週精選最火紅的詐騙與資安新聞，讓您隨時掌握資安警訊不想成為下一個受害者嗎？立即訂閱，搶先一步防範

<惡意Android app>手機一直顯示”充電中~” 其實是下載的假太陽能充電應用程式默默在偷個資

2012 年 10 月 04 日2016 年 05 月 05 日趨勢科技 TrendMicro

ANDROIDOS_CONTACTS.E 惡意程式資料竊取行為分析

有一款假太陽能充電應用程式,用假正面評價騙取下載,卻附贈偷資料病毒:ANDROIDOS_CONTACTS.E 惡意程式。本文將深入探討該程式的運作方式以及歹徒如何從中獲利。

此次分析我們將選定「Solar Change」(太陽能充電) 這個 App 程式來做說明。我們發現這個 Android App 程式 (也就是我們偵測到的 ANDROIDOS_CONTACTS.E) 會從受感染的裝置蒐集一些聯絡資訊，如：電子郵件地址。駭客取得這些聯絡資訊之後，就能將這些資訊賣給一些專門從事犯罪攻擊或散發垃圾郵件的集團。

當使用者安裝這個 App 程式時，裝置會顯示該程式所要求開放的權限。若您仔細查看這些權限就會發現，該程式也要求取得裝置上儲存的詳細聯絡人資料及帳號清單。

權限	功能
android.permission.READ_CONTACTS	允許 App 程式讀取使用者的聯絡人資料
android.permission.BATTERY_STATS	允許 App 程式蒐集電池相關統計數據
android.permission.INTERNET	允許 App 程式建立網際網路連線
android.permission.READ_PHONE_STATE	開放手機狀態的唯讀權限
android.permission.GET_ACCOUNTS	允許存取「帳戶服務」當中的帳戶清單