假 Mac OS 安裝程式透過手機帳戶向使用者收錢

最近有些報導流傳著有假Mac OS安裝程式的出現,證明了Mac OS在網路威脅世界裡是不會缺席的。

使用者會在那些號稱提供正式軟體下載的網站上碰到一個假Mac OS X安裝程式OSX_ARCHSMS.A,一旦安裝完,會出現一個看起來像是安裝導引視窗的圖片。

這威脅讓令人好奇的地方在於OSX_ARCHSMS.A要求使用者提供手機號碼,並且用簡訊傳送驗證碼。完成之後,系統會提示使用者去同意該程式的使用條款,包括了會定期從他們的行動電話帳戶中扣款。不用說,不會安裝任何程式,而使用者卻要因為假(不存在)程式而付費。

如果你覺得這伎倆,尤其是會從使用者手機賬戶中扣款這點看起來很熟悉,你可能已經看過被稱為加值服務濫用程式的惡意Android應用程式的相關資訊了。通常會偽裝成正常的應用程式,以將使用者註冊到加值服務、在使用者不同意或不知情下傳送簡訊和通話而廣為人知,也因此讓使用者產生不必要的費用。一些有名的加值服務濫用程式包括Android上的惡意版本壞蛋豬Adobe Flash Player

不過這假安裝程式有兩個地方是前所未見的:第一個影響Mac使用者的加值服務濫用程式,也是第一個利用假安裝程式作為幌子的加值服務濫用程式。這是個有趣的組合,也證明了網路犯罪份子的確狡猾多變 – 特別是當他們想要使用者的錢時。

這假安裝程式當然不是Mac OS上所出現的第一次威脅。就在2012年初,Flashback造成新聞話題,不僅是因為它針對這平台,也因為它對使用者所造成的影響和範圍。我們之前還發現了其他Mac使用者也該知道的威脅繼續閱讀

企業郵件伺服器處理電子郵件自動回覆的四個小提醒


趨勢科技部落格在最近的兩篇文章(休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!退信和讀取回條自動回覆的風險)中討論了關於電子郵件自動回覆所可能引來的威脅,從外出通知(Out-of-Office Notification)到未送達報告(Non-Delivery Notification)。這些都可能會洩漏資訊而遭到利用。所以管理者和使用者可以做什麼來應對這種威脅,幫助保護他們的環境?

雖然我們一直強調教育用戶的重要性,但在這裡,加強伺服器設定也是必須的。沒有道理只依賴於使用者設定,因為那有可能會失誤(而且經常發生)。

只送外出通知給企業內部人員。
企業郵件伺服器需要對是否發送外出通知做好精細的控制。一個很好的作法就是只送外出通知給企業內部人員。如果外部人士需要收到這些通知,可以視需要來加入白名單。不過預設應該是不送外出通知到企業外部。

 郵件伺服器應該設定為不送退信通知到企業外部。
同樣的,郵件伺服器應該設定為不送退信通知到企業外部。

退信通知不該包含大量原始信件的內容
另一點很重要的是,退信通知不該包含大量原始信件的內容,因為這麼做就可能會被利用在垃圾郵件(SPAM)攻擊上。(RFC 3834明確地建議了這點。) 繼續閱讀

< 青少年網路安全 >孩子,別把新駕照、信用卡和身分證拍照上傳了~告訴孩子七個手機聰明分享的原則

在網路上可以輕易地搜尋到駕照,身分證,信用卡等照片,中外皆然,尤其是初次拿到駕照的朋友,總是迫不及待地拍照上傳,現在社交網站與智慧型手機大受歡迎,可以隨時拍照隨時上傳,更使得這個不經意的動作充滿個資外洩的危險性。

 

駕照
拿到駕照的第一天,台灣也有很多網友把它放網路昭告世人

根據報導,有人一時興起將朋友貼在臉書上的登機證截圖,上傳一個免費條碼解讀網站,結果發現不少個資在上頭;也有人把從機場垃圾桶撈出的登機證做實驗,果然獲得乘客的護照號碼和出生年月日等資料,很快就在網路上找到這名乘客的住家地址。

 

上飛機前千萬別做這個動作….#登機證 #個資 #拍照上傳

Posted by 趨勢科技 Trend Micro

分享的季節來臨了,但是用手機要聰明的分享

 

作者:Lynette Owens

根據研究機構 – Pew Internet and American Life project最近一項關於手機使用的研究,有82%的受訪者表示會使用手機拍照,80%用來收發簡訊。這些是目前手機最常被用到的用途,如果在一個陌生的地方而有網路連線,56%的受訪著表示會去使用。

雖然這研究的對象是18歲以上,但是青少年的趨勢跟態度也大概差不多。根據Pew研究機構,有超過75%的青少年擁有手機,其中有一半平均每個月會發送一千五百則簡訊。

對於我們這些有手機的人來說,我們愛我們的手機。

從分享到過度分享

Facebook的成長和全球影響力證明了我們愛跟其他人分享,大概就跟我們愛用手機的程度一樣。唯一可以超越這兩件事的,或許就是同時使用它們。

使用行動社群應用程式非常簡單,像是Facebook、Twitter、Instagram和Tumblr。我們可以馬上將所看到的事物捕捉起來,然後立即跟朋友和家人分享,這真是件了不起的功能。只要一點就有一張照片,而且還會有一大堆的觀眾。

比方說珊迪颱風。照片分享應用程式 – Instagram,它的功能跟Twitter和Facebook很像,有大約130萬張照片被標記了關鍵字#sandy(珊迪)。這些都是被大眾所拍攝並跟全世界來分享,所以其他人可以看見發生了什麼事,如此近距離且幾乎即時。

這也是另一個證明社群媒體的有效性和可用來行善的光輝榜樣。

但相同的工具也可能被誤用,反而傷害到使用它的人。

趨勢科技的研究人員一直在追蹤目前全世界年輕人將他們的新駕照、信用卡和金融簽帳卡拍照並傳上網路給大家看的這趨勢。帳戶號碼和家庭住址都清晰可見。我們在這裡的照片將其模糊化了,但你只要做個簡單的搜尋就可以在網路上找到很多。

年輕人將他們的新駕照、信用卡和金融簽帳卡拍照並傳上網路
年輕人將他們的新駕照、信用卡和金融簽帳卡拍照並傳上網路

這些照片很可能會被有不良企圖的人看到,像是被身份竊賊、跟蹤狂和其他犯罪分子拿來做惡意用途。

我們還不能確定這是不是個很大的趨勢 – 我們當然希望不是 – 但這是個危險的行為。也是另一個例子告訴我們需要在提供青少年新技術前,要先教導他們如何安全、負責任地使用。 繼續閱讀

駭客大哥我把駕照,身分證和信用卡都放網路上了,請隨意取用

在網路上可以輕易地搜尋到駕照,身分證,信用卡等照片,中外皆然,尤其是初次拿到駕照的朋友,總是迫不及待地拍照上傳,現在社交網站與智慧型手機大受歡迎,可以隨時拍照隨時上傳,更使得這個不經意的動作充滿個資外洩的危險性。

拿到駕照的第一天,很多人都把它放到網路昭告世人
拿到駕照的第一天,很多人都把它放到網路昭告世人

 

將信用卡和身份證件貼到 Instagram和 Twitter上的危險

 

這些天來,網路上的犯罪分子和其他壞蛋可能不再需要利用資料竊取木馬來取得使用者資料。使用者已經主動幫他們做好了,有意地將自己的身分證明和信用卡照片貼到 Twitter和Instagram上。

我注意到有好幾個年輕人(甚至是成年人)在Twitter上發布他們信用卡的照片。但最近,我在圖片分享網站 – Instagram上也看到了一大堆這類照片。一些使用者甚至將自己的駕照發表在眾目睽睽之下,渾然不覺已經洩露了像他們完整姓名、家庭住址等敏感資料。

將信用卡和身份證件貼到Instagram和Twitter上的危險

只要在Instagram或Twitter上做個簡單的搜尋,人們可以很容易地找到這些文件。甚至還有一個特別的Twitter帳戶和列表(稱為NeedADebitCard)讓使用者發表自己的卡片在這些平台上。

 

可悲的是,這趨勢並不僅侷限於Twitter和Instagram等網站。利用Google圖片搜尋,可以在網路上找到一大堆這種照片。

我對於有這麼大量會張貼如此敏感資料的粗心使用者感到驚訝和擔心。大部分我看到被張貼出來的駕照或信用卡屬於青少年,大概是十六歲到十八歲,還太年輕而不知道後果的嚴重性。這在世界各地似乎也是個越來越多的趨勢 – 美國年輕人貼出自己的駕照,亞洲人貼出自己的護照和身分證照片。

身份竊取一直是個安全問題,而發表這種照片的趨勢只會讓情況更加惡化。試想一下:網路犯罪份子只要在Instagram和Twitter上做個簡單的搜尋,就可以得到大量的敏感資料,他們可以用來買東西、進行交易和掩蓋自己的踪跡等。另個危險是,這樣的行為也將自己暴露給跟蹤狂、性變態和其他網路上的壞蛋。

更重要的是,這些貼文不僅侷限在特定的社群網站上。由於交叉貼文,將照片上傳到Instagram的使用者,同時也將一樣的資訊分享到他們的Facebook、Twitter、Flickr和Tumblr帳號上。

但為什麼這些年輕的網路使用者要貼出這些照片?可能是為了想要顯示自己的威風、社會地位和在同儕內被認為「酷」。但不管是何原因,這些過度分享都將使用者送到網路犯罪份子或惡霸面前。重要的是,每個人都該意識到自己在網上分享了什麼。他們可能會認為秀出這些資訊很「有型」、「潮」、「炫」或「時髦」。但實際上,真正的「有型」是如何聰明地在網路上分享。

想知道一些可以跟孩子們談談,幫助他們了解分享資料風險等的小秘訣,請參考Lynette Owens的「這是個分享的時節,如何透過手機聰明的分享」。

@原文出處:The Dangers of Posting Credit Cards, IDs on Instagram and Twitter作者:Loucif Kharouni(資深威脅研究員)

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

◎ 歡迎加入趨勢科技社群網站

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

 

InstaSpam – Instagram網路詐騙

作者:趨勢科技資深資安顧問Rik Ferguson

Instagram使用者因為那些利用這照片分享平台所增加的垃圾訊息數量而變得更加沮喪,而在今天決定採取行動。

前些日子Instagram使用者們透過主題標籤(hashtag) – #OneDayWithoutSpam來要求將他們的個人檔案設定變更為「私人」,許多帳號張貼抗議標語,可被看見的個人檔案數量已經下降。

垃圾郵件(SPAM)發送者和網路詐騙者已經將更多的注意力放在流行的社群媒體平台上,這不僅僅是指Facebook。Pinterest已經遭受類似攻擊一陣子了。而看來在Instagram上的假個人檔案、主題標籤和垃圾評論的數量已經到達使用者不得不採取行動的臨界點了。

一個Instagram使用者告訴我:「我每天大約要刪除十到十五的垃圾訊息帳號 – 最糟糕的是上個禮拜,一天內刪除四十個。我也必須去禁止這些帳號在我或其他人在我的Feed所張貼的東西留評論或按讚等。有時,這些垃圾訊息機器人會停止關注我所關注的人,改將自己的Feed加入我關注的人。這真的是非常的惱人。我知道有許多很棒的攝影師因為垃圾訊息離開Instagram到其他網站去,因為這問題而摧毀這個很棒的平台是件可恥的事情!」 繼續閱讀