什麼是社交工程(social engineering )?

你可以強化各種防禦措施,但人類的情感可能是整個安全防護體系中最脆弱的一個環節。正如 趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言,「您的許多連線可能都十分安全,唯有椅子和鍵盤之間的這個連線可能造成問題。」

 

社交工程(social engineering )陷阱

社交工程(social engineering )陷阱,通常是利用大衆的疏於防範的小詭計,讓受害者掉入陷阱。該技巧通常以

社交工程技巧:操控人類心理的藝術

社交工程技巧涵蓋許多用以操控人類心理,使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套最常見於 Web 資安威脅攻擊中,利用目前備受矚目的重大事件與新聞作為誘餌,無論是政治、運動、娛樂性質,同時也不分全球性或地區性。此外,社交工程圈套也可能利用日常活動作為誘餌,例如線上理財、投資、帳單管理以及購物等等。

您今天收到了哪些垃圾郵件?

您或許曾受吸引而去閱讀一些您收到的垃圾郵件的標題:「奧運可能取消」、「免持裝置駕駛法」(美國加州的一項法令)、「Google 關鍵字廣告帳戶被停用」,或甚至是較令人難以置信的「水將取代汽油成為新能源」等。可能遭利用的新聞包括最近的政治新聞,熱門的宗教、文化、社會、環保以及科技活動相關新聞,以及政治人物、演員、企業家等知名人士的相關新聞等。而可能遭利用的重大事件包括節日或宗教、政治或社會性質的慶祝活動,以及最近成為眾人目光焦點的重大事件,例如新的政治領袖就任、名人八卦、慘劇、天災等等。

規模龐大的風暴傀儡網路和其他許多目標式 Web 資安威脅一樣都會運用社交工程技巧。在最近一個案例中,網路罪犯便趁著巴西報稅季節大肆散發垃圾郵件,以報稅相關主題的垃圾郵件作為網路釣魚的誘餌。網路罪犯冒用稅務機關的標誌,試圖引誘納稅人中計。在五月中國發生大地震之後,風暴傀儡網路隨即散發中國再度遭地震襲擊的新聞,垃圾郵件如洪水般湧入使用者的收件匣。這些垃圾郵件夾帶一個影片連結,一旦按下之後,便會下載一隻如蟲 (WORM_NUWAR.YH) 變更 PC 的設定,使 PC 成為傀儡網路的成員。[@more@]

無庸置疑:社交工程技巧極為有效

早在病毒問世之際,網路罪犯便開始使用社交工程技巧。雖然電腦威脅不斷進化,但有一個事實從未曾改變:社交工程技巧的有效性。社交工程技巧的成功可歸因於它利用人類先天具有的情感,例如同理心、同情心、好奇及心恐懼等。人們會對運動員的成就讚嘆不已,對病痛感到畏懼,對於遭受天災侵襲的景況心生悲憫。社交工程技巧操弄這些情感,藉此引誘人們採取網路罪犯所期待的行動,以便讓他們的惡毒詭計得逞。

社交工程技巧能夠奏效的原因在於它利用人類輕信他人的天性。輕信他人的天性導致許多人可能成為攻擊行動的受害者。目前已有許多軟硬體能有效防範各式各樣的網路威脅。然而,整個防護體系中最脆弱的一個環節也是最可能遭受攻擊之處。就此而言,這個最脆弱的環節指的就是 PC 使用者。正如 趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言,「您的許多連線可能都十分安全,唯有椅子和鍵盤之間的這個連線可能造成問題。」

社交工程技巧的演進

雖然社交工程技巧已經流傳多年,但仍一再被利用,並且不斷演進。各式各樣的資安威脅,包括許多類型的 Web 資安威脅在內,都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在,蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言,利用各地的重大事件或新聞為誘餌,使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測,同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家,這種方式可能特別有效。

什麼是社交工程惡意程式?

社交工程惡意程式專門假冒其他軟體和/或隱藏在其他軟體之內,引誘使用者下載並安裝該軟體,藉此趁機安裝惡意軟體。社交工程惡意程式不論對個人或對公司都會造成嚴重的風險,進而導致機密資訊遭盜用竊取、損毀或外流。

由於今經由網頁感染的惡意程式佔所有惡意程式的50% 以上,因此這類威脅必須透過更精良的技術和資源來防範,而這也是桌上型電腦資訊安全產品目前努力的方向。

 

@延伸閱讀:
社交工程的運作原理~好奇心是最大的安全漏洞
微網誌成社交工程陷阱新寵(含2007-2009主要事件一覽表)

 更多社交工程陷阱 相關案例

 

歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 即刻免費下載

什麼是雲端運算?雲端運算定義

什麼是雲端?

在過去,所有檔案都儲存在硬體上。派對照片、試算表和學校作業都存放在硬碟或光碟上。但今天,你會將照片儲存到FacebookInstagramPicasa上。檔案上傳到DropboxGoogle雲端硬碟。甚至可能會放在電子郵件信箱內,透過電子郵件附件寄給自己的方式!你知道你的檔案就放在某處,但到底是哪裡?

這些檔案放在雲端之中。雲端就是提供你服務的地方,當你有需要時可以在任何時間地點用來儲存資料、執行應用程式。註1 跟需要下載的桌面應用程式不同,雲端服務可以透過網路和行動裝置在任何時間地點使用。註2

雲端服務可以根據你的需求來擴充資源,這比買硬體便宜。註3 也讓人有無限儲存空間的錯覺。

為何要轉移到雲端?

 

想像一下有無限而安全的儲存空間,用合理的價格來備份你的資料。而這些只是人們將資料轉移到雲端的部份原因。

 

雲端服務同時也可以處理需要硬體或本機端軟體的工作。比方說伺服器,現在是代管在雲端服務。像Google等公司也將他們的應用程式放在雲端環境。Google雲端硬碟VimeoFlickrWordPressWidgetbox,這些都是受歡迎的雲端產品之一。註4

 

註1  http://media.johnwiley.com.au/product_data/excerpt/90/04708879/0470887990-180.pdf

註2  http://www.readwriteweb.com/cloud/2012/05/the-web-vs-the-cloud-which-metaphor-survives.php

註3 http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment

註4 http://theinstitute.ieee.org/technology-focus/technology-topic/a-view-inside-the-cloud

 

屬於你天空的雲端

 

雲端可以有各種不同的使用方式。

 

檔案儲存和分享

  • 類似DropboxiCloudBox等服務都提供免費的儲存空間,而且讓你可以付費取得更多空間。這些服務可以讓同一份檔案和資料夾在多個設備間同步。也讓你可以去分享檔案連結。

 

多媒體儲存和播放

  • 你不再需要沖洗照片、下載MP3或電影。PicasaSpotifyNetflixSoundcloud和其他服務可以讓你在各種設備上經由網路來播放多媒體檔案。

 

系統備份和回復

  • 有些作業系統會提供雲端備份和回復服務以備不時之需,像設備損毀或失竊,或是你的資料在各種情況下被刪除了。

 

銀行和金融

  • MintPageOnce等個人理財服務可以讓你更簡易的監控費用、賬單或查看不同貨幣的投資組合。

 

社群媒體和通訊

  • 雲端也可以讓你用來溝通和談心!FacebookTwitter等社群網站都有應用程式讓你使用。即時通(IM)和語音服務像Google VoiceSkype可以讓你透過網路來打電話和聊天,而不是用一般的電話。

 

筆記和書籤

  • 利用應用程式來複製連結是老把戲了,像EvernoteInstapaper都可以讓你點幾下就能儲存筆記和書籤。

 

為何要飛翔在雲端?

 

這裡有些搬移到雲端的原因:

 

  • 資料存放在雲端,對你而言意味著更少的硬體。

 

  • 不再需要去更新多份副本檔了。

 

  • 更容易去分享你的資料給所有人,或只給指定的對象。

 

  • 有許多的免費應用程式,你可以升級以獲得更多功能。

 

  • 許多應用程式會互相連結。比方說你可以設定推文也出現Facebook上。

 

  • 利用應用程式或線上購買多媒體通常比較便宜。

 

  • 你的設備負載將會更少,因為雲端處理了一半的工作。

 

  • 節省時間和精力在一些雜事上,像是製作費用圖表或付賬單。

 

  • 可以讓你少付些電話或專業服務費用。 如同他們所說的,有應用程式可以做!

 


什麼是雲端運算?雲端運算定義

發表者:趨勢科技資料外洩防護小組資深協理 Todd Thiemann

雲端運算 (Cloud Computing) 是目前電腦產業最夯的用語,但它的意義對許多人來說都不盡相同。不過,趨勢科技卻必須透過同一個詞彙來描述雲端運算的多種面向。有鑑於此,本文希望點出雲端運算的各種面貌,藉此讓大家在討論時能有所共識。本文從實用而非理論的角度出發,提出我們客戶在討論雲端運算與不同雲端形式時所用的詞彙。

很多聰明的人已經開始注意到雲端運算的安全問題,並且開始觀察人們消費雲端運算的方式。下圖顯示的供應模式以及雲端運算的實用定義,請參閱美國國家標準暨技術機構 (US National Institutes of Standards & Technology) 資訊科技實驗室 (Information Technology Lab) (http://www.nist.gov/) 兩位研究員 Peter Mell Tim Grance 所著的簡報:http://csrc.nist.gov/groups/SMA/ispab/documents/minutes/2008-12/cloud-computing-standards_ISPAB-Dec2008_P-Mell.pdf

 

軟體服務化 (SaaS)透過網際網路存取雲端的應用程式 (例如:Salesforce.com、趨勢科技 HouseCall)

平台服務化 (PaaS)將客戶開發的應用程式部署到雲端的服務 (例如:Google AppEngine Microsoft Azure)

基礎架構服務化 (IaaS)有時亦稱「公用運算」(Utility Computing),意指處理器、儲存、網路以及其他資源的租用服務 (例如:Amazon EC2Rackspace 以及 GoGrid)。客戶不需管理底層的雲端基礎架構,但是能夠掌控作業系統、儲存、網路、所部署的應用程式,並且能夠選擇網路元件 (防火牆)

繼續閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

 —————————————————————————————–

 企業面對不斷演變的資安威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊Advanced Persistent Threats, APT它是針對特定組織所作出複雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防禦更先進的作法,包括即時威脅管理。本綱要系列介紹APT的性質,它們對企業所構成的風險,以及如何去封鎖、偵測並遏制APT和其他新威脅的技術。我們先從實務面來評估APT的性質,大綱如下: 

  •  今天APT的性質
  • 不斷變化的資安威脅環境
  •  APT的要素
  •  不斷變化的企業運作,讓問題更加複雜
  • 評估控制和減輕APT風險的可能性

很顯然地,資安威脅環境變得越來越具有挑戰性。對於資訊系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全控管來做應對,包括即時監控和快速遏制措施。

今天的APT

APT是針對一個特定組織所作的複雜且多方位的網路攻擊。不管是就攻擊者所使用的技術還是他們對於目標內部的了解來看,這種攻擊是非常先進的。APT可能會採取多種手段,像是惡意軟體,弱點掃描,針對性入侵和利用惡意內部人員去破壞安全措施。

APT是長期且多階段的攻擊。

APT攻擊的早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,接著,精力會放在安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

  重要的是要明白,APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止APT攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在,很合理的我們會想問,要如何做到這一點?

繼續閱讀

什麼是 Black SEO( 搜尋引擎毒化)?

中文相關案例:陸網友受不了!下載《肉蒲團》全遭駭 山寨版電器維修網站 賺黑心錢


2011 年四月這則新聞陸網友受不了下載《肉蒲團》全遭駭 ,小編藉此跟大家分享一下在本部落格常提到的名詞Black_Hat SEO 搜尋引擎毒化。 話說許多大陸網友要趁「五一假期」組團赴港、台觀賞《3D肉蒲團之極樂寶鑑》(因為大陸沒上映),擋得住電影上演卻檔不住大陸網友在網路上熱搜,不過在下載一個「完整版下載」的檔案時卻慘遭木馬程式入侵,導致電腦中毒。報導說估計約有十萬網友受到「肉蒲團的木馬程式」入侵。

另外還有一則台灣相關新聞「電器維修官網是山寨版?」不少消費者抱怨 大公司維修客服態度差,價格又亂報,後來才發現網路上很多維修官網都是假的,包裝聲寶,日立,奇異等家電公司有都有仿冒官網,導致消費者對於無辜的公司抱怨不斷。「真的是太扯了!」科技界任職的黃先生,花四萬多元買聲寶洗衣機,上網搜尋「聲寶」找維修,對方到府服務,開價五千元換零件,事後他發現只要換一條兩百元的線即可解決。相關報導:假的電器維修站  山寨版電器維修官網大賺黑心錢_大同冰箱   知名家電維修站也有山寨版,保固期內花三仟元買教訓

藉這個機會小編來跟大家談談什麼是「Black_Hat SEO 搜尋引擎毒化」。下次找網站時,請不要心急狂亂點擊搜尋結果。

 

 

Black_Hat SEO (blackhat search engine optimization)簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站,一般我們叫SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

目前這個手法被假防毒軟體廣為採用,用當時網友關心的議題,使用Black_Hat SEO 搜尋引擎毒化手法,將含有假防毒軟體的惡意頁面利用暗黑手法排到搜尋結果頁面的前幾條。 假防毒軟體是以一則警告你感染了惡意軟體的警訊來散佈的。如果你同意下載任何一種他們促銷的防毒軟體,最後很有可能感染上的就是你試著要避開的惡意軟體。

以下是幾則跟Black_Hat SEO 搜尋引擎毒化有關的文章

    

避免掉入 Black_Hat SEO 搜尋引擎排名毒化陷阱的5個方法

繼續閱讀

開啟朋友簡訊,手機間諜軟體即附身,簡訊、電話、手機定位和電子郵件全都露

趨勢科技發現網路犯罪份子可能從NICKISPY惡意軟體獲取利潤的方法。有一個中國網站提供客戶手機監看工具和服務,客戶可以連上服務網站去獲取資訊。不過,這服務並不便宜,大約是300540美元左右。

 mobie 手機

趨勢科技之前在這部落格有篇關於數個NICKISPY變種的報告,一種可以監看手機使用者動態(像是簡訊、電話和手機定位)的Android惡意軟體。趨勢科技一直很好奇網路犯罪份子要如何利用這些私人資訊,並且靠它賺錢。

現在,趨勢科技發現一個中國網站有提供手機監看服務。一旦客戶決定使用這項服務,可以得到一個帳號以登入這個服務的後端伺服器,在這裡可以拿到從目標設備中所收集來的資訊。

客戶可以透過一個網站來使用這項服務,首先發送一個包含惡意附檔的多媒體簡訊(MMS)到受害者的手機號碼。一旦這個間諜軟體( Spyware)安裝進受害者的手機,就可以用來監看簡訊、電話、手機定位和電子郵件等資訊。這些都會被送回服務後端,而客戶就可以透過網站來使用這些資料。

下面是這服務網站的設定頁面:

手機間諜軟體 情人間諜軟體 小三軟體

控制端手機號碼是用來接收這服務發送來資料的電話號碼,其中包含被監看手機新的動態資訊。注意,客戶可以選擇前述簡訊的寄件者電話號碼。所以可以選擇被害人所熟悉的電話號碼,讓他更容易相信這是一個正常的簡訊,而不會發現已經有惡意軟體安裝到他的手機上。

 

手機間諜 小三軟體 情人間諜軟體

 

就像前面提到的,我們一直很好奇網路犯罪分子要如何從散佈這些惡意間諜軟體( Spyware)中獲利。尤其是我們之前所看到跟報導過的那些多半都是免費提供。現在發現這個服務,也就解開了部分疑問。

這項服務提供比趨勢科技之前所提過的典型間諜軟體( Spyware)還要更多的功能,因為它甚至可以幫忙安裝惡意軟體到目標手機上。但是,這些好處也是有代價的,並不便宜。這項服務的費用約為2,000到3,600人民幣,轉成美元約為300到540美元。

在服務網站上的廣告說明,他們提供服務給想要監看Symbian或 Windows Mobile手機使用者的客戶。但是,如果他們很快就能將服務提供到Android平台上,也不會讓我們感到驚訝。尤其是現在NICKISPY這樣從事監看活動的應用程式已經被大量的散播在網路上。

這樣的監看服務生意看來會在移動設備威脅環境中蓬勃發展。因此,我們強烈建議使用者加強保護他們的設備,並且確保沒有間諜應用程式安裝在裡面。

@原文出處:Mobile Phone Monitoring Service Found作者:Lion Gu(資深威脅研究員)

看更多:

手機成竊聽器?愈來愈多手機間諜軟體公開販售!! 
《小三與情人們的手機間諜戰》追蹤手機位置與簡訊的Android間諜軟體下載次數高達10萬次

手機病毒文章一覽表

手機防毒不可不知 (蘋果動新聞 有影片)

免費下載 防毒軟體 PC-cillin 試用版下載

PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎即刻加入趨勢科技社群網站,精彩不漏網