詐騙集團又有詐騙新招!這次詐騙集團將被害人瞄準從事兩岸三地經營企業的臺商,詐騙過程均使用臺商熟知的大陸常用語,詐騙戶頭也從以往的臺灣帳戶移轉至臺商在香港及大陸銀行開設的帳戶,臺灣的親友應請兩岸三地的臺商多加留意、慎防遭詐。
常年在大陸經商的60歲汪先生,於上(3)月返臺與家人團聚時,其所持有之中國移動通信的門號接獲詐騙集團假冒香港灣仔入境處的陳專員來電,聲稱汪先生於上海入境處申辦之港澳通行證涉及違法,並將電話轉接至自稱上海徐匯公安局的白警官,白警官核對汪先生臺胞證資料均無誤後,告知汪先生在上海交通銀行的帳戶涉及境外犯罪案件,然後線上再轉接電話至胡姓檢察官,此時檢察官告知汪先生違反「防範金融犯罪條例第3款第7條第2項-非法向群眾集資258萬人民幣」立即開了拘捕令,表明需汪先生繳交保證金以自清,若不配合將凍結汪先生在香港及大陸的資產,並一併凍結臺灣帳戶。
趨勢科技在之前的一篇文章中討論過中國駭客組織Winnti如何利用GitHub來散播惡意軟體,這種發展顯示出該集團已經進化,開始運用跟之前攻擊遊戲、製藥和電信公司時不同的戰術。透過本文,我們會仔細檢視跟Winnti集團有關的對象,希望提供一般使用者和企業對這些惡意分子所利用和運作工具(尤其是伺服器基礎設施)有更多的了解。
搜尋網域註冊來找線索
惡意分子通常會註冊和使用多個網域,以便將他們的惡意軟體分散到不同的命令和控制(C&C)伺服器。註冊網域都會需要某些識別資訊:實體或郵寄地址、電子郵件地址和電話號碼。在這之中,需要有效的電子郵件地址,因為註冊商需要寄信給新網域擁有者來確認購買,同時也是控制網域所需的資訊。
大多數詐騙分子會建立一次性電子郵件地址或使用偷來的電子郵件地址,這兩者都很容易建立或取得。但隨著時間久了,詐騙分子在註冊新網域時也會疲於改變資料,犯下重複使用電子郵件地址的錯誤。
仔細分析這惡意分子在2014年到2015年間的網域註冊可以識別出有一組身分被用來註冊多個網域,作為Winnti集團所使用特定惡意軟體的C&C伺服器。具體地說,我們收集到暱稱Hack520的詳細資料,認定他跟Winnti有關。
Winnti集團是誰?
Winnti惡意軟體背後的集團(我們就稱之為Winnti集團)起初是傳統的網路詐騙者,同時具備駭客技術能力來進行金融詐騙。根據他們所註冊網域的使用情況,這集團一開始是在2007年進行假(流氓)防毒產品的生意。在2009年,Winnti集團轉移目標到韓國的遊戲公司,使用自製的資料和檔案竊取惡意軟體。
這集團的主要動機是為了錢,特色是會用自主研發的特製工具來進行攻擊。他們曾經攻擊遊戲伺服器來非法取得遊戲內的金幣(「遊戲黃金」也具備現實世界的價值)和偷走網路遊戲專案的程式碼。這團體還會竊取數位憑證,用來簽署自己的惡意軟體以達到不被偵測的效果。這Winnti集團的目標很多元,包括製藥和電信等企業。這集團因為進行針對性攻擊/鎖定目標攻擊(Targeted attack )相關惡意活動而被關注,如部署魚叉式釣魚攻擊(SPEAR PHISHING)和建立後門。
在研究Winnti集團的過程中,趨勢科技發現沒被回報過的惡意軟體可以歸因到此團體,因為這惡意軟體所用的程式庫和攻擊用基礎設施所用的註冊網域。這些樣本還讓我們找出更多的C&C伺服器,得到比原本預計更多的資訊。
仔細檢視Hack520
對Hack520所註冊網域的初步調查顯示,有類似網域(如下)使用其他身分註冊。
其中有數個網域都跟Winnti惡意分子所使用的惡意軟體有關聯。令人驚訝的是,不用花多長時間就可以取得關於Hack520的資訊:有人用這暱稱經營部落格,一個Twitter帳號(使用類似Hack520的暱稱)也直接連結到這部落格。
近日爆發大規模假冒 Google Docs 邀請的釣魚信件,受害者會收到來自熟人的 Gmail 郵件,要求開放權限給 「Google Docs」應用程式,一旦授權,歹徒不僅能讀取 Gmail信件,還能利用其名義發釣魚信給通訊錄中的每一個聯絡人,因此這個不肖程式短期內廣為擴散。無獨有偶,最新勒索病毒 Mole, 也利用 Google Doc 散播!
新型態網路釣魚,與激進駭客組織 Pawn Storm “偽裝 Gmail 的安全通知”手法雷同
這個冒牌的 Google Docs 應用程式有別於一般的網路釣魚攻擊,不會騙取使用者的帳號密碼,而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證,簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。
若您最近若收到看似正常的 Google Docs 文件連結,小心成為最新一波精密網路釣魚攻擊的受害者。在這波網路釣魚詐騙當中,歹徒假冒的 Google Docs ,因此較一般傳統網路釣魚(Phishing)更容易讓人失去戒心。
首先,歹徒會假借分享文件的名義,冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結,頁面上會列出使用者所擁有的全部帳號。接著,該網頁會請使用者選擇一個帳號,並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而,一旦使用者授權給該應用程式,該程式就能存取其電子郵件信箱和通訊錄,不僅能讀取信件,還能利用其名義發信。接著,該程式會讀取受害者的通訊錄,然後再用同樣的手法,發信給通訊錄中的每一個聯絡人。藉由這種複製方法,這個不肖程式短期內就能散布得非常廣。
冒牌的 Google Docs 應用程式,不會騙取帳號密碼,而是利用 OAuth機制登入使用者的帳號
這個冒牌的 Google Docs 應用程式有別於真正的網路釣魚攻擊,不會騙取使用者的帳號密碼,而是利用最近 Pawn Storm 網路間諜攻擊所使用的 Open Authentication (開放認證,簡稱 OAuth) 機制來登入使用者的帳號並蒐集資訊。
OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制,此機制的好處是使用者不須提供自己的帳號密碼,而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
儘管 OAuth 既方便又應用廣泛,但卻也可能讓使用者暴露於風險。駭客可只需設法通過服務供應商的背景審查,就能讓自己的應用程式通過驗證,成為可以合法使用 OAuth 機制的應用程式。接著駭客就能利用進階社交工程(social engineering )詐騙來騙取使用者的 OAuth 認證碼。由於某些網路服務供應商只會要求第三方應用程式提供電子郵件地址和網站網址就能使用 OAuth。因此,像 Pawn Storm 這樣經驗豐富的駭客團體才能利用 OAuth 來從事網路釣魚詐騙。比如偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式 (如下圖)………>>看完整報導
Google 在 Twitter 帳號上發表聲明
Google 是從Reddit 討論串聽到這項風聲,並隨即在一小時內將這個不肖應用程式下架。此外也在其官方 Twitter 帳號上發表以下聲明 (如圖): 繼續閱讀
趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中,清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察,其行動最遠可追溯至 17 年前,主要攻擊目標為政府、軍事、媒體以及政治機構,足跡遍布全球。此外,報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳,而且光 2016 年就成長了 400%。
Pawn Storm 的發展史
根據我們的研究,Pawn Storm 行動最遠可追溯至 2004 年,但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起,人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚(Phishing)伎倆,成功襲擊了全球各類目標。
儘管該團體在美國大選期間出盡鋒頭,但其實他們過去三年來成功入侵了非常多機構:
2016 年 Pawn Storm 仍繼續從事網路間諜行動,但手法卻出現兩項重大改變。雖然歹徒依舊持續不斷騙取重要鎖定目標的帳號密碼,而且次數更加頻繁,行動也更加堅決,但歹徒卻開始朝網路宣傳發展。根據該集團使用的網路釣魚網域可以看出,其主要對象已變成了政黨與媒體。 繼續閱讀
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
《資安趨勢部落格一周回顧》
熟人分享的 Google Docs 連結,一點就中新型態網路釣魚!
人工智慧年度論壇研討會開幕 趨勢科技創辦人張明正籲加速人才養成 電腦硬派月刊
有了AI,人生還有意義嗎? 遠見雜誌
惡意病毒BrickerBot直接把 智慧家電變磚 回復原廠設定是無法解決的 電腦王阿達
勒索病毒耍孤僻 不要贖金還逼打電玩 中央社即時新聞網
apple不是apple?「同形異義字」攻擊令你連上假網站 關鍵評論網
駭客假冒台灣廣達 穀歌、臉書被騙30億元 中時電子報網
酒店經紀組詐欺車手集團 假冒親友Line借款行騙 自由時報電子報
Google遭新式釣魚信攻擊 廣大用戶怨被駭 台灣蘋果日報網
駭客勒索Netflix!影集被盜,股價不跌反漲 匯流新聞網
遭控害希拉蕊落選 美FBI局長:噁心 中時電子報網
研究:逾8成組織今年第一季曾遭受過DDoS攻擊 iThome
軍方網絡遭駭20天 韓當局渾然不知 中時電子報網
抓到了!駭進南韓國防部 北韓網軍幹的 tvbs新聞網
北韓射彈3連敗 陸專家:並非美國搞鬼 中央社即時新聞網
CEO的資安惡夢 IT系統被中斷 今日新聞網
Intel 為企業用戶補上了一個存在十年之久的安全漏洞 Engadget中文版
微軟越來越慢了:花了6個月才修復Office嚴重漏洞 新浪網(臺灣)
研究:數百款Android程式潛藏開放埠漏洞,允駭客偷走手機內的資料、控制裝置 iThome
物聯網變身黑暗森林:殭屍網絡、守護者、毀滅者層出不窮 每日頭條
Watson認知物聯網是一張安全的網嗎? iThome
八成民眾贊同政府應該立資安專法,但七成民眾沒聽過資安法 iThome
國銀業者重視資安與綠能 紛紛通過重要認證 聯合新聞網
比特幣採擴設備Antminer被爆有後門,恐使全球7成採礦能力停擺 iThome
BW專稿/ISACA調查:網路安全技能不足讓四分之一的機構出現6個月曝險期 中央日報網路報
人工智慧年度論壇研討會開幕 趨勢科技創辦人張明正籲加速人才養成 電腦硬派月刊
全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)創辦人暨董事長張明正,今日於暨南國際大學出席「人工智慧年度論壇研討會(AI Forum)」時再度強調,面對新一波全球科技浪潮-人工智慧(AI)之加速發展階段,台灣應積極強化AI領域人才培育工作,才能迅速與國際人才需求接軌,同時企業也必須調整步伐,在產業革新之關鍵時刻,主動打造科技菁英的未來進路。
<回到新聞條列重點>
有了AI,人生還有意義嗎? 遠見雜誌
「互聯網現在只是開胃菜,真正的主菜是AI(人工智能)!」今年4月1日在深圳IT領袖峰會上,大陸BAT(百度、阿里巴巴、騰訊)三大巨頭李彥宏、馬雲和馬化騰,正如火如荼地討論未來科技。
<回到新聞條列重點>
惡意病毒BrickerBot直接把 智慧家電變磚 回復原廠設定是無法解決的 電腦王阿達
講變「磚」應該不少人都聽得懂吧,在過去智慧型產品,只要韌體上出問題(大多都是因為改機或刷機而造成),就有可能發生「硬體可以通電開機,但是系統卻無法正常啟用」的狀況,這種狀況我們就俗稱「變磚」,現在就有病毒,是專門來讓你家裏面的智慧家電變磚的。
<回到新聞條列重點>
勒索病毒耍孤僻 不要贖金還逼打電玩 中央社即時新聞網
在勒索病毒把網友當搖錢樹的今天,幾乎每個犯罪分子都想盡辦法來分一杯羹,但有 3隻勒索病毒特別與眾不同,它要的不是贖金,而是要受害者玩指定遊戲得高分或讀完資安文章。
<回到新聞條列重點>
apple不是apple?「同形異義字」攻擊令你連上假網站 關鍵評論網
аррIе.com可以不是真「apple」?中國資安研究人員Zheng Xudong近日公開調查,指他在數月前發現三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞,令罪犯可以製作出「同形異義字」的假Apple釣魚網站,加上「安全」HTTPS認證,看起來更和真的「apple.com」一樣!
<回到新聞條列重點>
駭客假冒台灣廣達 穀歌、臉書被騙30億元 中時電子報網
網路詐騙當道,駭客也無所不在,但被騙的不只是市井小民甚至連網路大公司也深受其害,有美國媒體揭露,一名外籍駭客利用台灣廣達電腦(Quanta Computer)的名義騙過谷歌(google)和臉書(facebook),得手近美金一億元(台幣約30億)。
<回到新聞條列重點>
酒店經紀組詐欺車手集團 假冒親友Line借款行騙 自由時報電子報
警方表示,刑事局統計去年國人遭詐騙案件,發現民眾最常遭受詐騙手法依序為「假冒親友名義」、「ATM解除分期付款設定」和「假網拍」等情形。其中,「假冒親友名義」排名第一,是詐騙集團慣用手法,歹徒盜用民眾LINE、臉書等帳號後,冒充本人向好友名單發送訊息,要求親友匯款救急;或以隨機打電話,要對方「猜猜我是誰?」等被害人說出親友名字後,就順勢假冒其人,再借錢。
<回到新聞條列重點>
Google遭新式釣魚信攻擊 廣大用戶怨被駭 台灣蘋果日報網
網路巨擘Google近日有眾多用戶遭新式釣魚手法攻擊,不少用戶收到朋友或同事寄來電郵,分享Google文件檔案,不疑有他點開文件,結果帳戶遭駭客控制。Google母公司Alphabet周三警告用戶,對這類電郵務必提高警覺。
<回到新聞條列重點>
駭客勒索Netflix!影集被盜,股價不跌反漲 匯流新聞網
Netflix在美國最熱門的影集之一《勁爆女子監獄》(Orange Is The New Black)預計在6月上架第5季,卻在上週透過Pastebin和GitHub平台被流出。駭客組織「黑暗霸主」(thedarkoverlord)同時在推特貼文,表示這就是他們所為,原因是Nexflix不願意付他們贖金,並且點名其他影視發行大咖,包括福斯(FOX)、國家地理、ABC電視網等,要他們等著瞧,這次玩真的、不是演習。
<回到新聞條列重點>
遭控害希拉蕊落選 美FBI局長:噁心 中時電子報網
美國聯邦調查局局長柯米(James Comey)3日出席參議院司法委員會監管聯邦調查局的聽證會時表示,他對希拉蕊指責「害」她落選,感到些微噁心,但他也表示不後悔當初的決定。
<回到新聞條列重點>
研究:逾8成組織今年第一季曾遭受過DDoS攻擊 iThome
Neustar的第一季全球DDoS攻擊報告指出受訪的1010個組織,84%表示曾受到DDoS攻擊,在這些攻擊中,45%的攻擊流量超過10Gbps,1成5超過50Gbps,比例為去年的兩倍。
<回到新聞條列重點>
Mirai殭屍網絡正是其中的典型案例。其在最近幾個月中曾涉及一系列DDoS攻擊活動,其中包括去年10月針對DNS服務供應商Dyn的大規模襲擊。該殭屍網絡規模龐大,據稱擁有高達30萬台遭受入侵的物聯網設備。如果黑客以栽種方式修改其原始碼以將目前尚未使用的眾多其它受感染設備納入網絡,其設備規模將進一步顯著擴大。
<回到新聞條列重點>
軍方網絡遭駭20天 韓當局渾然不知 中時電子報網
南韓軍方2日承認,關於去年9月發生的軍事機密網絡泄露事件(應對韓半島爆發全面戰爭的《作戰計劃5027》等),南韓國防部監察團表示,北韓駭客突破韓軍電腦網絡樞紐——國防綜合數據中心(國防網,DIDC)後,將資料偷走,在大約20天後韓軍當局發現時,情報一直在外泄。
<回到新聞條列重點>
抓到了!駭進南韓國防部 北韓網軍幹的 tvbs新聞網
經常對外嗆聲的北韓倒底有多少軍事實力?其實外界看法不一,但北韓駭客的實力大家都不敢輕忽,根據了解,北韓有一批訓練精良的駭客大軍隨時都能駭進全世界,南韓國防部去年被駭,經過近一年的調查,確定就是北韓駭客做的。
<回到新聞條列重點>
北韓射彈3連敗 陸專家:並非美國搞鬼 中央社即時新聞網
北韓4月3度試射飛彈失敗,有分析認為是美國透過網路攻擊在背後搞鬼。但中國大陸飛彈技術專家楊承軍表示,北韓飛彈資訊化水準不高,美國以駭客攻擊干擾是無根據的猜測。
<回到新聞條列重點>
CEO的資安惡夢 IT系統被中斷 今日新聞網
會計師事務所調查,面對駭客攻擊事件頻傳,不少企業領袖對資安問題相當關心,其中,各CEO最擔心的3種狀況,以IT系統遭中斷與干擾居冠、資安系統漏洞影響業務資訊居次、違反個資法居第3。
<回到新聞條列重點>
Intel 為企業用戶補上了一個存在十年之久的安全漏洞 Engadget中文版
早些時候,Intel 發佈了一項韌體更新,據稱其最主要的目的,是解決一個在商務 PC 上已經存在了約十年的安全漏洞。在更新說明中,官方提到這一漏洞在 Active Management Technology、Standard Manageability、Small Business Technology 裡都有,而三者恰恰都屬於 Intel 為企業系統而設的處理器功能套件。是說,它們本來的作用是讓 IT 部門更好地管理公司的電腦,而漏洞的存在讓心懷不軌的駭客也有了可乘之機。
<回到新聞條列重點>
微軟越來越慢了:花了6個月才修復Office嚴重漏洞 新浪網(臺灣)
該漏洞於2016年10月報告給微軟。利用這一漏洞,惡意軟體可以隱藏在.doc文件中,導致Windows和Office用戶面臨風險。當受害者打開.doc文件時,惡意軟體能自動連接伺服器,下載HTML應用,導致黑客獲得設備的全部控制權。這一漏洞存在於Office的每個版本。
微軟於4月11日發佈了這一漏洞的補丁,而這花了整整6個月時間。
<回到新聞條列重點>
研究:數百款Android程式潛藏開放埠漏洞,允駭客偷走手機內的資料、控制裝置 iThome
密西根大學研究團隊掃描Google Play上使用開放埠的行動程式,發現其中有410款沒有妥善保護開放埠安全,另以手動檢視確認有開放埠漏洞的則有57款,可能導致駭客遠端入侵裝置竊取資料。
<回到新聞條列重點>
物聯網變身黑暗森林:殭屍網絡、守護者、毀滅者層出不窮 每日頭條
針對物聯網設備編寫的蠕蟲越來越多,自2016年Dyn被DDoS斷網後,幾乎每月都能聽到新的變種。這些蠕蟲做的事情各種各樣,有構建殭屍網絡刷流量打DDoS的,有加固設備的,還有rm格盤式變磚攻擊的。下文是gizmodo.com對近期物聯網安全狀況的概覽介紹,值得關注。需要指出,文中作者很是崇拜變磚蠕蟲BrickerBot的作者,嘶吼對此持保留意見,或許加固的做法會更好一些。
<回到新聞條列重點>
Watson認知物聯網是一張安全的網嗎? iThome
過不了多久,我們的世界就將遍布數以百億計的聯網設備。它們將無處不在,為眾人所有,並且通過開放的互聯網連接至企業的系統。
當如此之多的設備成為物聯網中的節點,我們該如何確保它們的安全呢?這一點單憑人類一己之力恐怕無法做到。物聯網時代將需要一種全新的認知安全,讓機器學會如何照顧彼此。
<回到新聞條列重點>
八成民眾贊同政府應該立資安專法,但七成民眾沒聽過資安法 iThome
從消基會和資策會資安所聯手進行的問卷調查顯示,八成民眾認同應該要制定資安專法,不過,資安保護相關條文中,有超過九成的民眾知道個資法,對其他資安保護法律所知有限。
<回到新聞條列重點>
國銀業者重視資安與綠能 紛紛通過重要認證 聯合新聞網
國銀業者重視資安與綠能,紛紛通過重要認證。元大人壽今年正式通過由英國標準協會(下稱BSI)認證的「ISO 27001 資訊安全管理系統(Information Security Management System, ISMS)」國際標準認證,玉山銀玉山世界卡榮獲減碳標籤、碳中和雙認證。
<回到新聞條列重點>
比特幣採擴設備Antminer被爆有後門,恐使全球7成採礦能力停擺 iThome
研究人員揭露比特幣採礦設備Antminer有一後門程式Antbleed,每隔1至11分鐘回傳Antminer使用資訊以確認採礦者的身份,若身份驗證錯誤就會從遠端關閉採礦功能,若遭到有心人士利用將影響市場上7成的採礦能力。
<回到新聞條列重點>
BW專稿/ISACA調查:網路安全技能不足讓四分之一的機構出現6個月曝險期 中央日報網路報
國際電腦稽核協會(ISACA) Cybersecurity Nexus (CSX)進行的網路安全勞動力最新調查顯示,僅有59%的受訪機構表示,每個網路安全職位至少收到五名應徵者的申請,收到20個以上應徵者申請的機構僅占13%。相對的,調查顯示大多數的公司職缺都有60至250名應徵者。ISACA 2017年網路安全現狀(State of Cyber Security 2017)報告顯示,37%的受訪者表示,不到四分之一的應徵者具有保障公司網路安全的相關資格,而這一事實也讓這一問題更加複雜。
<回到新聞條列重點>
