行動裝置 - 資安趨勢部落格

手機需要防毒嗎?

2014 年 03 月 10 日2014 年 03 月 26 日趨勢科技 TrendMicro

我在巴塞隆納參加 MWC 世界行動通訊大會時，我得一再向不同的人解釋為何今日手機也需要安全防護。我當時就想：「為何不乾脆趁我記憶猶新的時候將它寫成部落格呢？」

我可以指出專為 Android 平台所撰寫的新惡意程式數字多麼驚人。(<編按>請參考:半年內 Android 增加了350,000個惡意應用程式)
我也可以說明現在網際網路黑市上的現成工具套件，讓撰寫行動惡意程式是多麼輕鬆容易。
我甚至可以指出光是一台普通的智慧型手機，其運算效能就比幾年前的桌上型電腦還強得多。
<編按>請參考293,091 個Android惡意軟體,Windows花了十四年才達到這樣數量!

但這些其實都不重要，最重要也最殘酷的事實是：網路犯罪團體正試圖利用您的行動裝置來牟利，而且他們辦得到。

讓我換一種說法：您的行動裝置不僅用來收發電話和簡訊，您還會儲存一些敏感的資訊 (例如：Dropbox 雲端儲存、Evernote 筆記、通訊錄、電子郵件等等)。網路犯罪者不僅擁有技術，更有決心透過您的手機賺錢。一般來說，感染手機可能帶來的獲利管道包括：

竊取您通訊錄中的電子郵件清單然後賣給垃圾郵件散發者。
竊取您的登入帳號和密碼然後販售 (例如：垃圾郵件散發者可利用您的帳號來散發垃圾郵件)。
暗中發送簡訊至高費率電話號碼。
暗中撥打高費率電話號碼。

感染惡意 App 程式最常見的方式就是從第三方 Android 應用程式商店下載這類程式。很多時候都是因為受害者貪圖小利，以為找到免費的 App 來源(這通常是一些原本要收費的程式)，…但其實這些免費的版本其實暗藏玄機。

<編按>請參考:
調查:前廿五名 Android 免費手機應用程式,有60％可能危及個資
 你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭
 約有五分之一手機等行動裝置惡意軟體會竊取用戶資料!!
報告:高風險手機應用程式,六成會收集作業系統資訊、GPS定位等資訊
 近千萬人下載的南韓知名網銀 APP,遭Android 的 Master Key 漏洞攻擊
 《小三與情人們的手機間諜戰》追蹤手機位置與簡訊的Android間諜軟體下載次數高達10萬次,趨勢科技呼籲行動裝置安全不可輕忽!
好吧，我還是得提出一些數據 (儘管我本來說不這麼做)。我們現在每個月都會發現數千個新的惡意 Android App 程式。也就是說，網路上有一大堆的惡意程式等著感染您的裝置。這就是您為何要安裝防護軟體的原因。喔，沒錯，您或許會覺得那我只要不連上第三方應用程式商店就好了。或許吧…
◎原文來源:Why Do I Need Protection on my Mobile Device? 作者：David Sancho

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

保護自己，對抗手機/平板等行動網路釣魚的六個小秘訣

2013 年 05 月 27 日2014 年 12 月 10 日趨勢科技 TrendMicro

越來越多人利用行動設備來享受網路。comScore的研究指出，有五分之四的美國使用者透過智慧型手機在網上購物。他們還發現有52％的使用者利用他們的電子玩意來瀏覽網站，有39％用來瀏覽社群網站或部落格。你應該可以很安全地享受這些活動，而不用擔心行動網路釣魚（Phishing）這類的威脅。要做到很簡單，只要你了解它是什麼和可以如何來保護自己。

行動網路釣魚（Phishing）就是在行動設備上進行的網路釣魚（Phishing），像在你的智慧型手機或平板電腦上。網路釣魚（Phishing）就是網路犯罪份子通過偽造的電子郵件或是網站來誘騙你的個人資料，像是帳號名稱和密碼。如果你使用電子玩意時需要登錄到類似網路銀行、購物或社群網路等網站，那你就有面臨這一威脅的風險。行動網路釣魚（Phishing）和一般電腦版本不一樣的是，它會利用行動平台的局限性來竊取你的資料。

手機/平板網路釣魚比電腦更危險

這些限制包括有：

小尺寸螢幕,方便掩蓋犯罪破綻 – 這讓你的設備沒有辦法在行動瀏覽器內顯示所有內容。網路犯罪份子可以利用這點來掩蓋釣魚網站內可能被識破的元素。
自動開啟預設瀏覽器 – 有些設備會讓你無法使用更安全的瀏覽器,點擊任何連結都會自動開啟它們預設的行動瀏覽器。
多數行動瀏覽器不會顯示連結安全性圖示– 行動設備的使用者介面是設計用來加快和簡化使用者體驗的，所以有些安全措施會被跳過。這會讓你處於危險中。喬治亞理工大學的研究顯示^註4，大多數行動瀏覽器不會顯示標明網站合法性和連結安全性的圖示。

這些限制不一定有害,但卻讓你更容易陷入行動網路釣魚。

網路釣客從你的手機拿走什麼?

行動釣魚網頁會隱藏讓網路犯罪份子竊取你個人資料的惡意元件。網路犯罪分子將你的資料視為可以賣錢或用在其他計畫的資產。下面是網路犯罪分子所追求的東西：

你的金融帳戶 – 網路犯罪分子會侵入銀行帳戶並取走金錢。
你的社群網路帳號 – 網路犯罪分子可以劫持你的社群網路帳號，用來散播詐騙訊息和惡意軟體給你的好友們。他們還可以從你的好友帳號內挖掘更多個人資料。
你的網路購物帳號 – 網路犯罪分子可以利用你的網路購物帳號幫自己買昂貴的禮物，特別是當你的信用卡已經跟帳號綁定的時候。
你的身分和名譽 – 網路犯罪分子可以用你的個人資料、姓名或照片來對你的同事、家人或朋友冒充是你，好詐騙他們。也可能使用你的個人資料以企圖破壞你或別人的名譽。

即使是手機也要睜大眼睛看清楚網址

每次你瀏覽網路時，都要小心行動網路釣魚的徵兆。

變造的網址：網路犯罪分子會利用行動設備的螢幕較小這一點。地址列的大小會隱藏住釣魚網頁網址和正常網址的不同。

下圖是兩個不同網址並排在一起比較:

圖一、偽PayPal網址和網頁（左）對照正常網址和網頁（右）

注意正常的網址有使用HTTPS安全協定，而釣魚網址沒有。偽PayPal網址也會在地址上出現多餘的文字。

繼續閱讀

行動裝置被竊或遺失的問題在增加

2013 年 05 月 23 日2013 年 05 月 28 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Richard Medugno

在過去幾個月裡，我們部落格發表了幾篇關於智慧型手機被偷或遺失的問題日益嚴重。我希望可以藉由這些文章讓人們更小心這些可以避免的意外。

然而現實並非如此。事實上，問題似乎變得更糟。就好像全世界都沒有人看我的部落格或採納我的意見。這很顯然地惹惱了我。

如果你有看到紐約時報的頭版故事，標題是「Cellphone Thefts Grow, but the Industry Looks the Other Way（手機失竊事件增加，但是產業界視而不見）」，你會知道「新的全國被竊手機資料庫會追踪手機的獨特識別碼，防止它被啟動，理論上可以嚇阻竊盜…並沒有阻止被竊手機人數的不斷上升，部分原因是許多被竊手機都運到了海外，不在資料庫搜尋範圍，另一部分原因是識別碼可以輕易地被修改。」

唔…更令人驚訝的是，這篇文章表示手機產業並不關心，也不想要去增加更多的安全功能。因為，如果你手機遺失或被偷後必須再去買支新手機，那他們就可以賺更多的錢。

CNET有更多的壞消息，標題是「Smartphone safety lagging（智慧型手機安全性落後）」，參考Consumer Reports的年度「State of the Net」報告：