《實測》有可能找到公司高層主管在線上交友網站上的相應帳戶嗎?

2017 年 08 月 21 日2017 年 08 月 21 日趨勢科技 TrendMicro

太多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏

從線上交友網站個人檔案收集到的企業資訊數量，高得嚇人。有些交友網站需要連接 Facebook 帳戶才能使用，有些則只需要電子郵件地址即可設立帳戶。以 Tinder 為例，它會在未經使用者認可的情況下，擷取使用者在 Facebook 上的資訊，然後顯示在 Tinder 的使用者資料上。這些資訊在 Facebook 上有可能是設定為私密資料，卻就這樣曝露在其他使用者、惡意攻擊者等人的眼前。

線上交友軟體透露過多的敏感資訊,也提供攻擊者素材

現在有越來越多的人使用線上交友尋找對象，但線上交友會對企業造成威脅嗎？使用者本身透露的資訊種類及資訊量，例如個人資料、工作場所、經常前往與居住的地點等，對於尋找對象的人而言是很有用的資訊，但同時攻擊者也會利用這些資訊，做為入侵組織的起點。

為了證實這項風險，趨勢科技研究了多個線上交友網站，初步包括先請回答以下問題：

假定有一個已知的目標 (例如公司高層主管、IT 部門主管、公職人員)，是否有可能找到他們在交友網站上的相應帳戶 (假設他們有這樣的帳戶)？
針對線上交友網站上的特定帳戶，是否有可能追蹤到他們在其他社群網站的資料，例如 Facebook、LinkedIn 或企業網頁？

不幸的是，以上答案皆為「是」。

Honeyprofile	誘騙用個人檔案
Profile matching (physical attributes, job information, tec.)	個人檔案匹配 (外表特徵、工作資訊等)
Location profiling	地點分析
Target’s real-word social media profile	目標現實生活的社群媒體個人檔案
Open Source Intelligence profiling	公開來源情報分析
Target’s only dating network profile	目標的線上交友網站個人檔案

圖 1 我們如何追蹤可能目標的線上交友及現實生活/社群媒體個人檔案

駭客也可在線上交友網站,找到特定個人檔案之外的相應身分

在幾乎所有的線上交友網站上，我們發現如果要尋找一個已知在該網站註冊的目標，是非常容易的事。這並沒有什麼好奇怪的，因為線上交友網站可讓使用者運用各種條件來過濾對象，例如年齡、地點、教育程度、職業、薪資，當然還有外表特徵，例如身高與髮色，除了 Grindr 之外，因為此網站要求提供的個人資訊較少。

地點是非常有用的資訊，因為利用 Android 模擬器，可將 GPS 位置設定在地球上的任何地方，將所在地點設定在目標企業的地址，然後將匹配對象的半徑範圍盡可能縮小。

相反的，我們可以透過典型的公開來源情報 (OSINT) 分析，找到特定個人檔案在線上交友網站之外的相應身分。同樣的，這一點也不讓人感到驚訝，許多人太熱衷於分享過多但不必要的敏感資訊，而這些敏感資訊就像是給攻擊者的寶藏。其實有份研究指出，運用手機上的交友應用程式進行三角測量，就能找到持有人的實際所在位置。

在找到目標的位置並連結目標的真實身分後，攻擊者要做的只剩下利用這些管道。我們對此進行測試，在我們的測試帳戶之間傳送內含已知惡意網站連結的訊息，而這些訊息都正常地發送出去，未被標記為惡意訊息。

只要利用一點社交工程，很容易就能欺騙使用者點擊連結。攻擊者發送的連結可能是常見的網路釣魚網站，例如偽裝的交友應用程式或網站，如果受害者的密碼在多處重複使用，攻擊者就能侵入個人的生活圈。攻擊者也可能使用攻擊套件，但大多數人是在手機上使用交友應用程式，因此入侵難度較高。一旦成功入侵目標，攻擊者可嘗試劫持更多電腦，最終入侵受害者的工作及其企業網路。

接受交友就會被鎖定攻擊？

這種攻擊理論上可行，但實際上真的有發生過嗎？是的，真的有。今年初發生在以色列軍隊的鎖定攻擊，就是利用社群網站的個人檔案做為攻擊進入點。網路愛情詐騙不是什麼新鮮事，但線上交友網站上究竟發生過多少類似事件？

我們用假帳戶設立「誘騙用個人檔案」以進一步探索。將研究範圍縮小至 Tinder、Plenty of Fish、OKCupid 以及 Jdate，選擇這些網站的理由，是根據顯示的個人資訊量、互動的方式，以及無需支付初始費用。

然後，我們建立涵蓋不同地區及產業領域的個人檔案。大多數交友應用程式會限制搜尋區域，而且對象必須也接受你或給你按「讚」才能進行匹配，這表示我們也必須給真人持有的個人檔案按「讚」。於是就出現了一些有趣的情況：我們晚上在家陪伴家人時，得給搜尋範圍內每個新出現的個人檔案按「讚」(是的，我們的配偶都能諒解)。

我們也為研究訂定了幾項規則，就是不輕易答應交往，但保持開放交友心態：

不率先連絡對方
僅回應特定訊息 (以確認對方是否為真人，或只是傳送惡意連結)
嘗試加快對話的速度；在一開始就提供對方良性社群網站的連結，讓攻擊者更容易在回覆中提供惡意連結
嘗試成為被鎖定的目標；不要鎖定任何人或以網路釣魚方式攻擊任何人

以下是我們收到的訊息範例：繼續閱讀

CVE-2017-0199：新的惡意軟體攻擊PowerPoint漏洞

2017 年 08 月 18 日2017 年 08 月 18 日趨勢科技 TrendMicro

CVE-2017-0199 原本是個遠端執行程式碼的零時差漏洞，讓攻擊者可以用來攻擊微軟Office的Windows物件連結與嵌入（OLE）介面以散播惡意軟體。它通常利用的是惡意RTF文件，也就是今年初被DRIDEX銀行木馬所利用的方式。

趨勢科技最近看到了新樣本（趨勢科技偵測為TROJ_CVE20170199.JVU）會用新的方法（利用PowerPoint播放模式）來利用CVE-2017-0199漏洞，這是我們第一次看到有實際的病毒利用這方法。這並非CVE-2017-0199第一次被利用，本文將分析這個新攻擊手法,提供對此漏洞更加深入的見解，藉此了解此漏洞在未來可能如何被其他攻擊活動被利用。

技術分析

圖1：TROJ_CVE20170199.JVU感染流程

偽裝生意夥伴的發送網路釣魚電子郵件

漏洞攻擊碼是以魚叉式釣魚攻擊（SPEAR PHISHING）附件的方式抵達，偽稱來自電線廠商，實際上則是會植入一個遠端存取工具。這個偽裝是有原因的，因為這些攻擊主要是針對電子製造相關的公司。我們相信針對性攻擊/鎖定目標攻擊(Targeted attack )會偽裝生意夥伴的電子郵件地址來寄送郵件。

郵件樣本內容如下：

圖2：魚叉式釣魚郵件樣本

雖然電子郵件本身有提到訂單請求，但收到郵件的使用者看不到商業文件，而是會看到一個PPSX檔案，點擊後會顯示如下：繼續閱讀

Android 惡意程式威脅持續不斷,五個提升企業行動裝置安全的原則

2017 年 08 月 17 日2017 年 08 月 18 日趨勢科技 TrendMicro

由於全球手機作業系統主要分成 Android 和 iOS 兩大陣營，因此不論新聞上出現哪一陣營的威脅，都會引起廣大注意。根據最近一份統計，截至 2017 年 5 月為止，Android 全球活躍用戶大約超過 20 億以上，而且許多用戶都會在工作上使用到行動裝置。在這樣的情況下，不論企業或一般使用者，都應隨時掌握最新的威脅情勢，並且養成良好的使用習慣與採取最佳實務原則來保障 Android 裝置安全。

Android 資安公告：解決存在已久的威脅

雖然 Android 發布資安公告早已不是新聞，但所有 Android 用戶，尤其是利用行動裝置來存取企業敏感資料的使用者，千萬不能掉以輕心。

「Android 用戶對於資安公告千萬不能掉以輕心。」

七月初左右，Google 發布了當月份的資安公告，裡面包含兩項修補，解決了幾個月前所發現一些存在已久的漏洞。趨勢科技技術通訊研究員 Giannina Escueta 表示，這次的資安公告主要是針對今年三月以來一直困擾 Android 用戶的 Mediaserver 問題，包括記憶體損毀漏洞，以及遠端執行程式碼漏洞。

此外，這份資安公告也希望針對其系統多媒體架構以及 Broadcom 和 Qualcomm 相關元件的問題加以解決，還有其他 55 項 Qualcomm 非開放程式碼元件的優先問題。儘管這些問題對 Android 用戶來說是相當大的威脅，例如根據 Android Open Source Project 指出，可能讓駭客利用具備管理權限的執行程序來執行任意程式碼，但看來這次 Google 倒是及時在漏洞還未出現攻擊案例之前釋出了修補更新。

Android Open Source Project 指出：「我們未曾接到任何客戶因這些漏洞而遭到攻擊的通報，或是這些新通報問題遭到濫用的情況。」

「Judy」手機惡意程式影響數百萬 Android 用戶

然而前述漏洞還未遭到攻擊就已被修補的狀況，對行動惡意程式來說並不常見。今年稍早，有大批 Android 用戶遭到一個名為「Judy」的手機惡意程式攻擊，根據 BGR 特約作者 Yoni Heisler 指出，前後約有 3650 萬名受害者。繼續閱讀

這些員工沒看穿的騙局,造成的損失竟比病毒還大!

2017 年 08 月 14 日2017 年 08 月 01 日趨勢科技 TrendMicro

近兩成的企業資料外洩事件,來自內部人為疏失,而非病毒!

員工被認為是公司最大的資產，卻也是資安最脆弱的一環。雖然企業經常遭受駭客蓄意的破壞或惡意入侵，但也有許多資安事件是因為疏忽大意或缺乏安全意識所造成。在今年初，一家投資管理軟體廠商因為變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱 BEC）造成600萬美元損失而被告。

罪魁禍首？沒有遵循正確匯款流程的員工。在這種情況下，如果企業具備適當的安全措施，而且員工能夠確實遵守程序或具備看穿騙局的知識，就能夠成為防禦的關鍵。

19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成

2014年的一份問卷調查顯示有19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成。各式各樣可以有效利用員工的詐騙手法讓網路犯罪分子偏好社交工程（social engineering ），而不去用更加複雜的方法。

實際的詐騙手法可能有所不同，但底下列出最常用的技術 – 出現在許多電視和電影場景裡，可以幫助使用者更加了解自己他們所面臨的社交工程威脅：

假托技術（Pretexting）

冒充老闆

他如何進入?

竊資達人（Identity Thief）：Sandy冒充前老闆說服員工給禁區密碼。

你有沒有非預期地接到來自“技術支援”人員的電話，內容是關於需要立即處理的問題？也許來電者會要求提供個人資料或帳號資訊來立即處理問題。這種社交工程的手法被稱為假托技術（Pretexting）。繼續閱讀

太過老舊,越獄過的手機可以加入公司的BYOD計劃嗎?

2017 年 08 月 10 日2017 年 08 月 01 日趨勢科技 TrendMicro

有大量的BYOD設備被用來儲存、連接和處理公司機密資料。如果設備落入壞人之手就會產生很大的風險。除了惡意竊取資料的駭客，員工若是將設備遺忘在大眾運輸系統上也可能會暴露敏感資料。

很多人只在自己的設備上設定最低程度的認證，以為自己永遠不會遺失或被竊。這意味著只要花點功夫就可以拿到儲存在這些設備上的重要資料。企業該怎麼做?

資訊安全指南：處理自帶設備（BYOD）環境所面臨的威脅

自帶設備（BYOD）在過去幾年大大地盛行，因為企業也想要提高工作效率並且降低營運成本。雖然BYOD為員工和企業都帶來了不少好處，但也在安全方面帶來些問題。本指南會將重點放在企業因為BYOD所會面臨的主要威脅、以及如何解決這些威脅的最佳實作和解決方案。

惡意行動應用程式

隨著行動設備形成企業BYOD生態系的很大一部分，企業必須認識到使用者從這些設備下載惡意行動應用程式所會造成的風險。透過第三方應用程式商店和分享網站下載的使用者往往不會檢查所下載應用程式的真實性，不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者，如Super Mario Run。讓某些應用程式特別危險的是，它們運作起來看似很像真正的應用程式，但會包含其他的惡意程式碼，如垃圾廣告，甚至是惡意軟體。

《延伸閱讀》超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

防禦惡意應用程式：對於行動設備，企業應該考慮提供具備應用程式信譽評比技術的端點安全解決方案，可以偵測應用程式是否可以安全使用。此外，企業解決方案應該包含設備管理和應用程式管理功能，讓IT專業人員能夠從單一的中央控制台來管理應用程式安裝。

此外，企業還可以利用網路解決方案來在問題出現前先封鎖惡意行動應用程式，可以透過網路活動來先一步偵測惡意軟體。

網路釣魚