IP地址會提供哪些關於你的資訊?

作者:趨勢科技資深分析師Rik Ferguson

照片授權來自AhmadHammoud的Flickr

 

今年情人節,英國重大組織犯罪署(SOCA)取得一個之前被用來散佈版權內容的網域控制權,特別是音樂檔案。這個有問題的網域是rnbexclusive.com(我知我知……RnB,為什麼是你?)SOCA用一個很直接的訊息取代首頁,告知訪客這網站已被採取的行動,並警告他們可能會面臨10年徒刑和無上限的罰款。 來自英國執法單位的訊息寫著:「如果你曾經從這網站下載過音樂,那你可能已經犯了刑事罪,根據英國法律,最高可判10年的徒刑以及無上限的罰款」。

作為恐嚇的手法,這訊息還會同時顯示目前的時間日期和訪客的IP地址,瀏覽器類型和作業系統;這應該也是要證明執法單位手上所握有的「證據」。就像是用數位方式來宣讀你的權利,網站訪客被告知了:「SOCA有能力監視和調查你,並通知你的網路服務供應商這些侵權行為。你可能會被起訴,你收到的訊息也說明了並不會排除起訴你的可能。

SOCA網站上的新聞稿中提到,國際唱片業協會(IFPI)估計,這些侵權行為對於企業和唱片工作者所造成的損失是每年一千五百萬英鎊。而在同一個新聞稿裡也提到,有三個類似網站已經決定主動地採取行動,自願張貼通告,說明他們只處理合法的內容。從執法的角度看,這是一項成功的行動。   接著讓我們來想想,這給網站訪客看的所謂「證據」,是否真的可以有效地確認個人身分。

IP地址會提供哪些關於你的資訊?

連到網路上的每台電腦都有一個唯一的識別碼,好讓網路流量可以到達正確的目的地,也讓回應可以回到正確的對象。在網際網路上,這個識別碼就是IP地址。有時電腦在網路上有自己的獨立IP地址,不過如果它們有透過路由器或無線基地台來連網,那通常在外部網路上會看到的是這些設備的IP地址。所以實際上這些設備會放在所有內部電腦的前面,這意味著一個IP地址可能代表多台電腦。 在大多數情況下,你的IP地址是由你的ISP所分配的。你的IP地址中並看不出你的姓名、地址甚至是(確切地)地理位置。

想知道在特定時間內某個IP地址的詳細資料,只有ISP可以做到。他們有客戶資料,他們也會記錄在什麼時候,分配客戶那個IP。只有拿到這些記錄才可以得到進一步的資料。想要索取這記錄可能需要執法單位向法官提出申請,在提出申請之前也都需要先提供有非法活動的證據。 而以rnbexclusive.com的例子來說,很有可能已經有足夠的證據去獲得批准來索取這些記錄。所以接下來會如何?

IP地址可以證明身份嗎?

在上述例子中,在大多數情況下,ISP提供的資料可以證明是哪一個路由器所在的地址有發生網路使用人涉嫌侵權的行為。

它不能證明是誰作的,甚至也無法證明是哪一台電腦。而且這還是在犯罪行為人沒有使用代理伺服器(Proxy)來掩蓋自己真實IP的情況下。

繼續閱讀

社交工程的運作原理~好奇心是最大的安全漏洞

什麼是社交工程陷阱

社交工程陷阱( Social Engineering)是種騙人的藝術,網路犯罪份子喜歡利用它來將你的錢轉到他們的黑手上。今天的世界裡已經變成為利益導向,網路犯罪份子感興趣的不再是搞破壞所帶來的名氣,而是你的錢。

比多數侵入式的惡意軟體攻擊更可怕的是,社交工程陷阱攻擊更加難以防禦。為什麼呢?因為他們針對的是你這個人,而不只是系統。

對抗這類威脅,保護自己最有效的方法莫過於要了解它們。知道該注意什麼、避免什麼跟小心什麼。

社交工程陷阱這個名詞來自駭客出身的資安顧問 – Kevin Mitnick,它是種引誘人們做出本意不想的行為,或是給出機密資料。

來源:http://en.wikipedia.org/wiki/Social_engineering_(security)

大消息可能是假消息

那些被大肆報導的事情,像是嚴重的天災,或是推出備受矚目的產品、服務等,總是會引起人們的大量關注。那些可以上網的人很自然地就會在網路上來找相關的訊息。但是他們不知道(或許也不關心),網路罪犯們也設下了陷阱在等他們。

你會看到社群媒體上出現內含非常吸引人的影片或照片連結的帖子

你沒看到的是:網路犯罪份子會抓緊時間來鋪設陷阱,也就是惡意網站,在每一次大事件發生時都會抓到許多的獵物。這些網站通常都會帶有惡意軟體,能夠自動地在你的電腦上肆虐。有些會將你重新導向問卷調查或是廣告網站,但就是不會真的給你它說要提供的東西。

你要小心什麼:連往假新聞網站或網頁的惡意連結

 

網路犯罪份子所利用的新聞事件

天然災害

日本311海嘯發生過後的幾分鐘內,內含假防毒軟體假新聞網站就出現在搜尋引擎結果內,準備好攻擊使用者的電腦。

相關文章:
BBC被濫用發輻射警報簡訊 已出現中文版~拒絕日本大地震議題,成為網路犯罪點鈔機(目前為止相關詐騙總整理)
上百個與日本大地震相關網域可能涉及網路釣魚
日本大地震黑心詐騙紛出籠,假新聞,假募款,假臉書分享…

新產品或服務的推出

假的iPad贈品促銷活動透過電子郵件去誘騙受害者給出他們的個人資料。

相關文章:RIP Steve-“紀念賈伯斯,蘋果決定贈送1000 台 iPad,只到 10 月 10 日止”?是臉書詐騙 !

熱門名人成為熱門目標

毫無疑問地,名人相關新聞比任何一種新聞都更被感興趣。它們會有更多的觀眾,大多數是粉絲或是追隨者,也因此得到更多媒體的關注。為了吸引讀者,媒體常不得不利用煽情和誇張來包裝新聞以抓住大眾的眼光。越是令人難以置信的標題,也會吸引越多讀者去讀它。

你會看到:引人注目的標題,連到難以置信的故事或醜聞的連結

你沒看到的是:就跟其他重大新聞一樣,這些連結往往會連向特製的惡意網站,跟媒體一樣地利用名人的故事來吸引人。大多數的詐騙手法都很類似,這些網站往往都帶有惡意軟體,或將受害者重新導向問卷調查或廣告網站。

你要小心什麼:令人不敢相信的標題加上相關影片或照片的連結

被網路犯罪份子利用的名人新聞

醜聞

一篇社群媒體上的帖子說有個足以毀掉小賈斯汀的影片,其實只會將受害者導向他們的問卷調查網站。

相關文章:讓小賈斯汀的演藝生涯劃下句點的影片?利用LinkedIn的Facebook攻擊

 

話題新聞

利用MSN Messenger來散播各種和麥克傑克森之死有關的消息,好誘騙受害者去下載惡意軟體。
相關文章:
麥可.傑克森喪禮照片,被木馬下載器當誘餌
誰殺了Michael Jackson麥可傑克森?打開連結看答案」木馬準備偷個資 (Facebook, Amazon ,Flicker, Youtube 皆列入攻擊名單)
麥可傑克森是被醫生謀殺的?MSN 病毒搶在法醫前公布死因真相

假死訊

假新聞網站散佈成龍死訊的謠言,結果是將受害者重新導向一個惡意網站。

相關文章:從[成龍之死]看惡作劇新聞的傳播力與預防之道

和你的朋友保持親近,遠離你的敵人

每天都有數以百萬計的使用者湧向自己喜歡的社群網站。因此會出現社群網路詐騙攻擊也就並不奇怪了,在某方面來說,在社群媒體平台上使用騙人的手法已經司空見慣了。

你會看到:有關社群媒體新功能的限時廣告帖子,出現可疑的程式碼必須複製貼上到瀏覽器地址列,或是需要下載並安裝應用程式

你沒看到的是:這些可疑的程式碼或應用程式通常會導向惡意網頁,想要騙取使用者的帳號,竊取個人資料,或是通過使用者帳號來散播出去。

你要小心什麼:連到新功能或應用程式下載網站的可疑連結

網路犯罪份子做出的社群媒體詐欺攻擊

利用時事

一篇社群媒體帖子說會提供情人節主題,而不是強迫受害者去為Chrome和Firefox瀏覽器去下載並安裝惡意的擴充功能。

相關文章:想更換Facebook情人節專屬布景嗎?小心上網被監視

新功能

一個假Twitter的應用程式宣稱能夠監視受害者關注者的活動,而不是讓壞人盜取他們的帳號。

相關文章:好奇誰取消關注你的 Twitter?點下去你成垃圾大王

電腦犯罪分子總是會想嚇得你交出一切

恐懼是種很強的推力,這點犯罪分子也知道。這也是為什麼他們會用威脅和危言聳聽的言語來讓你交出他們想要的個人資料,或是你血汗錢的一部分。

你會看到:可疑的電子郵件會偽裝成緊急通知,大部分跟系統或金融安全有關,需要你立即採取行動 – 查看附件檔,購買應用程式,或是進行網路交易

你看不到的是:這些威脅就像是壞人拿槍抵著你的背部,好拿走你的錢和其他的貴重物品。不管他們講的多麼可怕,但除非你落入陷阱,不然通常不會造成那樣的傷害。

你要小心什麼:嚇人的電子郵件主旨和內容,要求你去做某件事或是承擔某些後果

網路犯罪份子用過的嚇人手法

勒索

俄羅斯使用者要支付約15美元給威脅他們的壞人,因為他們看了不該看的內容。

相關文章:http://blog.trendmicro.com/another-russian-ransomware-spotted/

假防毒軟體廠商最為人所知的,就是會利用嚇人的系統中毒警告去誘騙受害者購買無用的應用程式。

相關文章:
假防毒軟體聲稱是Windows自動化更新,可安裝Windows XP的更新
賓拉登死去活來? 賓拉登處決影片?小心夾帶惡意連結
日本大地震黑心詐騙紛出籠,假新聞,假募款,假臉書分享…
網路安全:直接封鎖網址,而非只攔截檔案的重要性
Windows Update 更新後竟出現中毒警告訊息?! 原來是山寨版
韓國開戰 假防毒軟體埋伏幕後 當心”找”麻煩

 

威脅就像季節一般,來來去去

聖誕節或是任何其他被廣泛慶祝的節日,還有「超級杯」或任何流行的體育盛會,這些永遠都是網路犯罪分子最喜愛的誘餌。因此,我們不能總是每次都只在節慶來臨時默默地等著他們的出現。

你會看到:可疑的垃圾郵件和社群媒體帖子趁著節慶或重大體育賽事來促銷令人難以置信的優惠

你看不到的是:裡面所嵌入的連結將會連到特製的網站,會出現惡意軟體或是將使用者重新導向問卷調查或廣告網站,但就是不會真的得到那些優惠。

你要小心什麼:網路交易如果看起來太誘人,往往就不是真的

網路犯罪份子所利用的季節

節慶

一個Facebook騙局說會提供受害者免費的聖誕主題外掛,卻反而會盜用受害者的帳號去散播垃圾訊息。

參考文章:Christmas Theme for Facebook Profile Leads to Malspam
7組聖誕節熱門關鍵字,可能導入惡意連結

 

體育賽事

「超級杯」粉絲在找尋最新消息,而不是想被帶往假防毒軟體的網站。

來源:【奈及利亞 419 詐騙】2010年世界盃足球賽倒數 詐騙搶先開踢

 

社交工程威脅的安全提示

 

將可信的網站加入書籤

人們說,信任是要去爭取來的。對待新網站就該跟對待初次見面的人一樣。就像是你不會相信每個只見過一面的人,所以也不要馬上相信只去過一次的網站。

 

覺得可疑就是有問題

不要點可疑的連結,無論他們提供再怎麼好的消息或優惠。好到難以置信往往就是假的,這點是不會錯的。

 

害怕不是種選項

不要被威脅嚇倒。很多壞人往往會就是靠突然地嚇唬你,讓你做出一些本來不會做的事情。最好的方法就是徹底地無視恐嚇戰術。

 

互相告知

告訴別人你知道些什麼。這樣做也能確保你親朋好友的安全。別讓他們落入網路犯罪份子的陷阱。

 

預防總是勝於治療。

投資有效的安全解決方案,保護你的電腦和資料免於各類威脅。了解並利用常用網站內建的安全功能。像Facebook之類的網站甚至還會提供最新的威脅資訊和小技巧,好讓你可以安全地瀏覽他們的網頁。

來源:http://blog.trendmicro.com/msn-bot-plays-on-controversy-over-michael-jacksons-death/

 

@延伸閱讀

哀悼惠尼休斯頓 Whitney Houston 的惡意影片連結,在臉書散播

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路
Twitter詐騙: 打開麥當勞禮品卡“#mcdonalds gift card”,成人網站在裡面?!

看更多社交工程陷阱相關案例….

 

免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 即刻免費下載

 

◎ 歡迎加入趨勢科技社群網站
 

DarkComet被用在敘利亞衝突裡的目標攻擊

網路已經在現今的敘利亞衝突中扮演了重要角色。反對派已經更加地利用像是Facebook等平台來組織和散播他們的訊息。在另一方面,政權支持者像是「敘利亞電子軍」也試圖透過入侵網站和散播Facebook垃圾訊息來破壞這些活動。最近這場衝突已經升級到了新的層面,根據報導,針對性惡意攻擊已經被用來對付敘利亞反對派的支持者。

 

DarkComet RAT被用來當做「敘利亞間諜」

 報導中被用來攻擊的惡意軟體會透過Skype聊天室散播。一旦使用者執行了這惡意軟體,它會連到一個C&C伺服器(位於敘利亞的IP – {BLOCKED}.{BLOCKED}.0.28),它屬於分配給敘利亞電信監理機構Syrian Telecommunications Establishment)的IP網段。雖然這個惡意軟體被描述為「複雜」和「隱形」的,但實際上它是種被廣泛使用的遠端控制木馬程式(Remote Access Trojan,RAT),被稱為DarkComet。

 

趨勢科技的分析證實了之前Telecomix的調查,我們發現連到{BLOCKED}.{BLOCKED}.0.28的樣本是DarkComet遠端木馬控制程式版本3.3和5。不過有些樣本是「下載器」,會透過HTTP連到相同的IP地址來下載加密過的「UPDATE.BIN」檔案,然後加以解密和執行。之後產生的才是真正的DarkComet遠端木馬控制程式。

 

DarkComet是一種全功能的遠端控制木馬程式,可以利用網路攝影機照相,竊聽連在電腦上的麥克風談話,並且可以完全控制受感染的電腦。而最吸引人的功能是可以利用這遠端木馬控制程式來記錄鍵盤動作和傳輸檔案。這樣子就可以讓攻擊者將檔案加入受感染的電腦上,或是竊取文件。

 

DarkComet還在開發中,第五版是在去年1月15日發布。它是一個作者利用DarkCoderSc來進行開發的,在2008年首次出現。因為報導指出它被用在敘利亞事件裡,DarkComet作者在繼續開發遠端控制木馬程式的同時,也對此表示遺憾。他計劃作出DarkComet偵測器/移除器給敘利亞人民使用。

 

樣本一:直接下載DarkComet

 

CNN文章中所提到的惡意軟體帶有Facebook圖示,會透過 Skype聊天室來散播。這個被趨勢科技偵測為BKDR_ZAPCHAST.SG的樣本是DarkComet 5,會連到{BLOCKED}.{BLOCKED}.0.28的端口885 上。在我們的測試過程中,我們將測試機上的流量重新導到另一台執行DarkComet 5客戶端的機器上。正如你所見的,我們可以完全控制我們的測試機。

 

 

 

樣本二:DarkComet是第二階段的惡意軟體

 

我們拿到的另一個樣本則有不同的行為。一開始的執行檔被趨勢科技偵測為BKDR_BREUT.A,它會產生兩個執行檔。第一個檔案會秀出MAC地址轉換工具的畫面給被感染的使用者。

 

  繼續閱讀

《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

iPad3甫上市,立即成為駭客社交工程陷阱( Social Engineering)與垃圾郵件的誘餌!趨勢科技發現駭客以贈送iPad3為誘因,運用Facebook以及垃圾郵件等管道發送iPad3贈獎訊息給使用者,吸引使用者參與抽獎並騙取使用者手機與電子郵件等個人資料。駭客運用人性弱點,要求使用者協助張貼抽獎訊息於個人網站或Facebook頁面以增加中獎機率,讓使用者不僅個資外洩,亦成為網路犯罪者幫兇!

iPad3抽獎訊息網路蔓延 使用者小心成網路釣魚幫兇

趨勢科技發現在iPad3上市前後,ㄧ則iPad3抽獎的訊息已在Facebook上蔓延。點選此訊息後,會要求使用者輸入電子郵件地址以參加抽獎比賽;一旦輸入了電子郵件地址並按下確認後,使用者會被重新導向含有抽獎比賽內容介紹的網頁,這個網頁要求使用者張貼訊息到社群網站或是個人網站上,方能增加使用者抽中iPad3的機率。一旦執行了這些動作,使用者不但洩漏電子郵件地址,亦成為網路釣魚網頁散佈的幫兇!

 

 

趨勢科技注意到Facebook上有好幾篇貼子聲稱會提供免費的iPad 3給「幸運」的使用者。

 《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

 

 

和之前在部落格上所提到的Facebook威脅不同,這次並沒有利用點擊劫持。有些使用者可能是主動地將這消息發布到他們的社群媒體上(像是Facebook),想以推薦來增加自己的積分,好提高「贏得」這些獎品的機會。一旦使用者連上這個網站並點選該圖案,它會出現下列頁面:

 

《Facebook 臉書詐騙》免費的iPad 3送給你!駭客說的你也信?

 圖說:FacebookiPad3抽獎訊息蔓延,實為網路釣魚陷阱。

 

頁面要求使用者輸入他們的電子郵件地址來參加比賽。為了說服使用者輸入,這頁面還會顯示出只剩下了兩點。一旦輸入了電子郵件地址,使用者會被重新導向到這些網頁:

 

 

繼續閱讀

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

在過去幾天裡,趨勢科技一直在觀察一家總部位在法國的著名甜點公司網站 – Laduree.fr。雖然它看來不像是網路犯罪份子的目標,但是Ladurée的網站被入侵以用來讓使用者感染勒索軟體(Ransomware)。這個被偵測為TROJ_RANSOM.BOV勒索軟體Ransomware會偽裝成來自國家憲兵隊的通知(法語:Gendarmerie nationale),俗稱法國警隊。它會出現一個涵蓋了整個桌面的視窗,並要求付錢,也就是它綁架系統的贖金。

 

 

 

Laduree.fr蛋糕甜點名店網站被用來散播勒索軟體

 了感染連上Ladurée網站的法國使用者外,日本也有出現感染的狀況。事實證明了Ladurée點心也在日本很流行。實際上,Ladurée網站就只有法語、英語和日語三種版本。

 利用一家甜點公司的網站,可以看出網路犯罪分子的確可以很有彈性地挑選攻擊目標,並且找出潛在的受害者。

 相關攻擊

 在這起攻擊中,攻擊者利用黑洞漏洞攻擊包(Blackhole Exploit Kit)來將惡意軟體植入系統內。這也跟過去假冒其他執法單位的攻擊時,所用惡意軟體是同個家族,像是假冒德國的聯邦警察。這惡意軟體除了具備勒索軟體組件外,也會竊取跟一長串程式和網站相關的身分認證,包括了在地的電子郵件帳號、瀏覽器密碼、社群網站、撲克網站、FTP密碼和遠端桌面程式。 繼續閱讀