企業資安 - 資安趨勢部落格

《資安漫畫》還用公司 email 註冊社群網站？上班族四個使用社群網路 NG行為

2016 年 12 月 12 日2016 年 12 月 13 日趨勢科技 TrendMicro

在臉書或推特這類的社群網路上發文時, 你會不經意談到與公司或工作有關的內容嗎？雖然使用社群網路有種好像跟朋友正在面對面坐著聊天的感覺，而且也相當容易就會聊到日常生活的瑣事或私密內容。但一個不小心，PO 文可能會洩漏了公司或客戶的資料，對發文者和公司都不是件值得按讚的事。下面就是幾個NG的例子。

NG1：使用公司的電子郵件帳號註冊社群網站

使用在 Facebook 帳號的電子郵件，在網路犯罪地下市場販售的個資中，黑市價碼較高，因為攻擊者可使用許多策略來攻破信任的圈子進入攻擊目標的社交圈名單。因為攻擊者可使用許多策略來攻破信任的圈子進入攻擊目標的社交圈名單。將一個不認識或裝熟的人加入你的社群網站小團體中，等於就是將朋友們的資料向不能受信任的第三者公開，即使對方是名人也是一樣。許多人使用公司電子郵件地址註冊 LinkedIn, Facebook 和 Adobe 等網站，小心被竊的憑證可能讓攻擊者進入公司內部網路。

NG2：將工作上的情報資訊公開

將公司或客戶開發中商品、規格、價錢、開賣日提前曝光，有可能不慎讓競爭對手得到資訊，恐怕會影響到公司或客戶的利益。發文前檢查三遍，任何與公司業務相關的機密資料，不要PO 上網路。以免像當年的微軟員工一樣，在LinkedIn 個人資料檔說了不能說的秘密。或是像十三名維珍航空公司艙員因為在臉書上公開討論工作上的事情而被解僱，他們分享飛機引擎更換的時間，還有某些機艙內有蟑螂出沒。他們還連帶侮辱了乘客-那些支付他們薪水的衣食父母。
網路上有一個知名的故事：一位 Cisco 的準員工面試了一份顯然不太情願的工作。這位年輕人在 Twitter 上抱怨自己「必須為了這份豐厚的報酬而每天通勤到 San Jose 上班，而且恨透了這份工作。」不幸的是，一位 Cisco 的員工看到了這則訊息，然後將這則訊息傳遍了整個公司和網際網路，因而引起宣然大波。

NG3：在社群網路上批評往來客戶或競爭對手

萬一你的社群網站隱私設定百密一疏，你自認為天衣無縫的抱怨文，不小心被客戶看到了，你個人單方面所發表的意見，客戶可能會曲解公司的立場。不單會傷害到公司好不容易與客戶間建立的良好關係，更有可能會因此失去這個客戶。
客戶看到你的 Facebook 貼文的原因，可能是:

Facebook 隱私設定不周全
忘了曾經加客戶為朋友
你和客戶有共同的朋友,其中有人對你的留言按讚叫好

NG4：未經允許擅自公開與客戶開會內容或照片

不管你有沒有 “偶像包袱”，大多數的人都不喜歡突然看到自己的照片被公開在社群網路上，更何況也有可能會被看到工作場合上不適合公開的事實。前陣子阿帕契風波成為新聞焦點，其實早在 2012 年英國也有相關網路事件，當時威廉王子在英國皇家空軍基地擔任救難直升機駕駛，為展現親民作風，也常常將他的軍旅照片刊登在網站上。其中有張照片是威廉王子與他的救難小隊組員，在看來像是指揮中心辦公室的地方氣氛和樂地聊天，這張照片發佈沒隔到一天，就被網友發現了問題。原來會把登入密碼也大方的貼在牆壁上的不只是尋常百姓！隨後，皇家空軍也發表官方聲明表示，已經全面更換了共同登入的使用者名稱以及密碼，也強制要求基地中的幕僚人員全面重設自己的使用者名稱以及密碼，以確保基地的資訊安全。

*小提醒:公眾場合上無法正正當當公開的事，在社群網路上就不要輕易的公開出來。
為了防止自己被朋友發布的相片或貼文所標示，且該發文無預期的在自己的臉書上被公開，請將自己臉書帳號內的＂標籤審查＂功能開啟．

在主畫面右上角點選「▼」，選擇「設定」
請點選左側「動態時報與標籤」
請點選「在朋友將你標註在內的貼文，顯示在你的動態時報之前，先加以審查」右側的「編輯」，從選單中選擇「啟用」功能
當有人標記你時，在審查頁面就會出現該內容，你可自行決定是否加到自己的動態時報上與否

當年英國威廉王子這張照片發佈不到一天，就被迫全面下架，不過內容早就被有心人備份了….你看到問題了嗎?

Posted by 趨勢科技 Trend Micro

7個使用社群網站安全提醒

發出訊息前先檢查三遍，務必確認沒有任何後顧之憂後再按下發送鍵。
如果發佈的這個訊息只能用悄悄話或私密訊息發送，那就不要張貼。發出訊息前，要有無法確實刪除的心理準備。
千萬別公開個人或公司內部其他同仁的個人資訊 (電子郵件地址、電話號碼、住址等等)。
設立複雜而不易破解的安全強度高的密碼。
若使用不同的社交網路不可使用一模一樣的密碼。
任何與公司業務相關的機密資料，不要PO 上網路。
不要在社交網路提到公司組織成員、內部進行中的專案等等，可能導致企業資料外洩的訊息。

【延伸閱讀】
什麼是 Facebook Fired？下班後，不能在臉書說的話(多則先烈案例)
他在社群網路的推文，為何讓他登機遭拒？
六個常在 Facebook上犯下的錯誤與案例(詳盡案例說明)
“裸胸照的讚不是我按的！”從一張影響選情的 Facebook 照片談社群隱私
找上你的是獵人頭公司，還是….如何看穿商務社群網站上的詐騙？
愛發文打卡者請注意！一天8篇發文，就能推測出你住家和辦公室位置

企業成勒索病毒的金礦：Cerber是如何加密資料庫檔案?

2016 年 12 月 09 日2016 年 12 月 09 日趨勢科技 TrendMicro

或許是為了讓Cerber開發者及其同夥可以賺到最多的錢，這隻勒索病毒 Ransomware (勒索軟體/綁架病毒)增加了對企業造成更大威脅的動作：加密資料庫檔案。這些組織資料的儲藏庫讓企業儲存、檢索、排序、分析和管理資料。有效使用就能夠助於維持組織效率，所以拿這些關鍵資料作人質無疑可以影響公司業務，觸及了底線。

作為提供服務給網路犯罪新手的勒索病毒，Cerber經歷過無數次的改版。它會利用更多技巧，包括整合DDoS元件、使用雙重壓縮的Windows腳本檔案以及利用雲端生產力平台，甚至與資料竊取木馬聯手犯案。

Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

勒索病毒的不斷更新反映出其開發者的活躍程度及下游如何將其當作是有利可圖的生意。比方說，前一個版本在一天內就更新到4.1.5。Cerber開發者對下游抽取40%的佣金，光是今年7月就賺進近20萬美元。

為了讓受害者即刻付贖,資料庫檔案成綁匪肉票

加密資料庫檔案並非Cerber獨有的行為。2016上半年所出現的家族像rypJOKER（RANSOM_CRYPJOKER.A）、SURPRISE（RANSOM_SURPRISE.A）、PowerWare（RANSOM_POWERWARE.A）和Emper（Ransom_EMPER.A）等都將資料庫相關副檔名加入加密列表。包括了dBASE（.dbf）、Microsoft Access（.accdb）、Ability Database（.mdb）和OpenOffice（.odb）等檔案。想想看資料庫檔案對於企業來說有多麼重要，開發者讓它們成為Cerber的加密檔案類型可以說是為了讓受害者更急切與願意付錢的手段。

自動避開俄羅斯等語系

Cerber 4.1.0、4.1.4和4.1.5就跟其它變種（Ransom_CERBER.CAD、Ransom_CERBER.A）一樣，設計成會避開某些語系的設備和系統。它使用API – GetKeyboardLayoutList來取得語言設定，勒索病毒偵測到下列語系就會終止自己：俄羅斯、烏克蘭、白俄羅斯、塔吉克語、亞美尼亞、阿澤里語、格魯吉亞語、哈薩克語、克里吉斯斯拉夫語、土庫曼語、烏茲別克語拉丁語、韃靼語、羅馬尼亞摩爾多瓦語、俄羅斯摩爾多瓦語、阿塞里斯拉夫語和烏茲別克斯拉夫語。趨勢科技從今年3月到11月中在美國、台灣、德國、日本、澳大利亞、中國、法國、義大利、加拿大和韓國所觀察到的大部分Cerber 樣本都能夠看到此一行為。

繼續閱讀

販賣網路遊戲金幣：它如何成為攻擊企業的途徑?

2016 年 11 月 25 日2017 年 08 月 24 日趨勢科技 TrendMicro

作者：Raimund Genes（趨勢科技技術長）

跟 DDoS攻擊網路遊戲產業有類似遭遇的公司可能多不勝數。不過因為遊戲產業有著十億美元的產值，而且是個不斷成長的競爭社群，自然會引起網路犯罪分子的注意。像是最近的一起電子詐騙案，一群駭客從熱門的FIFA系列中挖出價值1600萬美元的金幣，將其賣給歐洲和中國的買家。在趨勢科技的研究中發現，這類遊戲金幣的販賣最終用來資助與網路遊戲無關的網路犯罪行動。

雖然有些網路攻擊似乎只針對特定產業，但威脅本身並無邊界，意味著它們也可能成為對其他產業進行更嚴重網路犯罪的入口。畢竟這麼巨大的潛在收入加上對數位貨幣的無法可管，要如何去阻止網路犯罪分子對網路遊戲產業進行更加多元的攻擊的賺錢大計？

圖1、如何洗出遊戲金幣來資助網路犯罪活動

繼續閱讀

超過一半勒索病毒加密的檔案類型與企業直接相關

2016 年 11 月 02 日2016 年 11 月 02 日趨勢科技 TrendMicro

保護企業環境同時又要維持業務運作是個棘手的平衡。IT管理員面臨著看似不可能的任務，在支援日常營運和維持關鍵服務正常運行的同時又要保護好網路。當安全廠商發布新的修補程式時，在將其部署到實際系統前需要先進行測試。因此，安裝修補程式經常會落在第二順位，因為通常需要重新啟動重要的系統和伺服器，這會拖累整體生產力並造成業務中斷。當然，不願快速地進行修補也令企業出現遭受攻擊的空窗期。

本篇文章是討論勒索病毒危害一般使用者和組織所使用技術之四部曲的最後一部。這些技術顯示出要解決此類威脅所造成風險的最佳作法是在企業網路的不同面向提供多層次的防護：從閘道到端點，再到網路和伺服器。
到這裡參考我們之前的文章：

伺服器上的勒索病毒解決方案

趨勢科技的年中安全綜合報告指出，有超過一半被勒索病毒 Ransomware (勒索軟體/綁架病毒)加密的檔案類型與企業有直接相關 – 資料庫檔案、SQL檔案和伺服器上的網頁都是常被針對的檔案類型。這些都位在伺服器上；對企業而言，伺服器上的勒索病毒是需要處理的確實威脅。我們將探討勒索病毒如何演變成會影響伺服器，及目前有哪些解決方案可以處理此一特定問題。

勒索病毒會搜尋可用的網路分享

除了遭受直接攻擊外，伺服器也常因為同網路內感染勒索病毒的端點而間接地受到影響。檔案分享是常見的原因之一；勒索病毒現在經常都會搜尋可用的網路分享。根據勒索病毒的行為，這可能最終會更直接地影響到伺服器。
伺服器可能經由漏洞而遭受勒索病毒攻擊

除了檔案分享外，伺服器也有遭受直接攻擊的危險。勒索病毒常見的攻擊媒介（如網路釣魚和惡意廣告）並不是用於伺服器。但相對地，伺服器可能經由漏洞而遭受直接攻擊。
攻擊醫院的SAMSAM勒索病毒就是個很好的例子，說明了伺服器也會成為勒索病毒的目標。在這些攻擊中，JBoss（Java網頁應用程式伺服器）漏洞被用來連上組織內的伺服器。將 Webshell 加到這些伺服器上，讓攻擊者能夠遠端控制這些系統。
從那時起，伺服器本身的檔案也成為被加密的目標；而攻擊者也可能試著在中毒網路內進行橫向移動，尋求其他有利可圖的勒索病毒目標。而結果是一樣的：檔案被加密，成為攻擊者勒贖的籌碼。
攻擊伺服器比一般攻擊個別系統的勒索病毒威脅需要花費更多的時間和精力，但獲得的黑心收益也比較高。比方說，當好萊塢長老教會醫療中心（位於加州洛杉磯）在2016年2月遭遇勒索病毒攻擊時，醫院最終支付了40比特幣（Bitcoin）的贖金。當時約等於17,000美元。繼續閱讀

駭客藉由販賣線上遊戲幣資助網路犯罪,企業連帶成了受害者

2016 年 10 月 25 日2017 年 02 月 07 日趨勢科技 TrendMicro

網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器。趨勢科技已見過多起駭客集團所發動的攻擊。

這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。

————————————————————————————-

網路犯罪集團藉由經營線上遊戲幣業務充實資金，進一步拓展網路犯罪活動，攻擊更多企業機構，甚至遊戲伺服器

線上遊戲產業長久以來都是網路犯罪的一大目標。這些年，我們看到玩家遭到各種網路釣魚攻擊，不然就是遊戲帳號被盜。至於遊戲公司，則是遭到分散式阻斷服務 (DDoS) 之類的攻擊。但這些威脅都跟遊戲本身無關，不過，我們最近發現了一種與玩家切身相關且影響廣泛的威脅。

根據趨勢科技最新的研究「網路犯罪集團販賣線上遊戲幣」(The Cybercriminal Roots of Selling Online Gaming Currency) 指出，網路犯罪集團現在會藉由販賣線上遊戲幣的方式來賺錢以資助其犯罪行動。

利用玩家之間相互比較的心理

這類手法專門針對那些會用真錢購買遊戲幣的玩家 (尤其是大型多人線上角色扮演遊戲，簡稱 MMORPG)。MMORPG 是一種讓全球玩家在網路虛擬世界當中共同探險的奇幻冒險遊戲。在這類遊戲當中，玩家很容易產生互相比較的心理，因此那些擁有大量遊戲幣可購買稀有寶物或是意外獲得稀有寶物的玩家，通常都是人人稱羨的對象。

然而，有些玩家會向人購買遊戲幣來節省練功賺遊戲幣的時間和精力，以便在短期之內迅速累積大量遊戲幣。當然，這樣的行為讓遊戲開發人員和廠商不齒，因為這簡直就是作弊，是一種可能被「封帳號」的違規行為。

當然，在線上遊戲當中作弊並不犯法，就像買賣線上遊戲代幣也不犯法。網路犯罪集團深知這點，也藉此發展出一套賺錢秘方。網路上已出現許多販賣線上遊戲幣的網站，而這類熱門的遊戲包括：《FIFA》、《魔獸世界》、《流亡黯道》等等，更有些人提供代練《寶可夢》帳號的服務。這些網站都有自己的廣告、促銷活動，甚至提供加密的付款機制。事實上，它們絕大部分就像一般的購物網站一樣提供了快速、安全的交易機制，更有 7 天 24 小時全天候線上即時通訊技術支援。