資安趨勢部落格 – 第 665 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

網路釣魚如何盜帳號,冒用身分? 辨認網路釣魚四個小秘訣!

2015 年 06 月 18 日2015 年 06 月 22 日趨勢科技 TrendMicro

一封假冒 Facebook 安全中心:“12 小時內不驗證帳號,將被永久停權”訊息“受害人重登入遭盜刷!!
點色情影片,還拖臉書朋友下水! 看FB好友私訊推薦影片,竟被木馬附身!

圖說: 駭客以羶腥色影片，引誘網友點選觀看影片，並下載藏有惡意程式的影片播放元件，達到其散佈此訊息與網路釣魚的目的。 — 圖說: 駭客以名人腥色影片，引誘網友點選觀看影片，並下載藏有惡意程式的影片播放元件，達到其散佈此訊息與網路釣魚的目的。

網路釣魚（Phishing）,不再只是個人帳號密碼被盜而已:
●一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊,登上媒體版面
●最近大舉入侵台灣的勒索軟體 Ransomware也經常使用類似的社交工程（social engineering ）信件手法,達到綁架電腦的目的。比如勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件

一位使用者在社群網站上瀏覽最新動態時看到一則有關熱門話題的「獨家」影片。使用者點了一下影片連結，然後彈出一個視窗要求使用者再次登入其社群網站帳號，不然就是在該網站上註冊其電子郵件帳號和其他資訊才能觀看這段獨家影片。在使用者登入之後，又再轉到另一個網頁，結果就看到 (或沒看到) 所謂的獨家影片，之後，使用者關了這個視窗，然後繼續上網。

這樣的情節在今日非常普遍，不論是網站、貼文或是電子郵件，都會出現一些有趣或重要話題且內容「獨家」的連結，但點進去之後卻是一連串要求使用者註冊或登入的網頁，不然就是奇怪的問卷調查、討厭的彈出視窗以及應用程式或工具的下載網頁。

任何平常有上網習慣的人，都有機會遇到這類連結和網頁，而且若您曾經為了看到這些內容而提供過您的帳號資訊或個人資訊，那您最好趕緊更換密碼，因為您很可能已經是網路釣魚（Phishing）的受害者。

您是否曾經發生網路帳號被人盜用？或者曾經有朋友說你為何寄了奇怪的電子郵件給他？或者發現「自己」竟然在社群網站上張貼了一些奇怪的內容或垃圾連結，但卻一頭霧水自己怎會貼這些東西？這些情況很可能都要追溯到上次您點進一連串奇怪網頁最後卻什麼也沒看到的那件事。

網路釣魚（Phishing）一直是網路詐騙犯罪集團慣用的一種手段，專門誘騙使用者交出自己的個人資訊，例如：帳號登入資訊、信用卡卡號和銀行帳號、身分證號碼，以及其他重要資料。這也算是一種身分竊盜，至少是過去經常得逞的一種方法，歹徒會利用一個幾可亂真的網頁或電子郵件來假冒人們信賴的一些機構，例如線上支付機構或銀行，誘騙不知情的使用者提供自己的資訊。

[延伸閱讀：10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!]

假冒的電子郵件或網站會要求使用者點選某個連結來更新其個人資料或進行某些交易。此連結會將使用者帶到一個假冒的網站來輸入其個人資料或金融帳號資訊，如此就能取得這些資料。網路釣魚（Phishing）有各種形態，如：魚叉式網路釣魚、視訊網路釣魚、簡訊網路釣魚等等。魚叉式網路釣魚是專門騙取特定對象的資訊，例如某大型機構的員工，其最終目標是竊取該公司的機密，因此也是「進階持續性滲透攻擊」（Advanced Persistent Threat，簡稱APT攻擊）慣用的手法。視訊網路釣魚就如同電話網路釣魚一樣，是歹徒經常用來取得使用者資料的一種社交工程（social engineering ）手法，而簡訊網路釣魚則是以簡訊為管道的類似手法。

您應小心的九個社群媒體威脅 (9 Social Media Threats You Need to Be Aware Of)] 繼續閱讀

行動憑證和開發者帳號：誰是假冒的？

2015 年 06 月 17 日2015 年 06 月 17 日趨勢科技 TrendMicro

如果企業繼續忽視他們在應用程式商店上的情況，就可能有失去客戶的風險。隨著惡意行動軟體持續成長，（Google Play上前 50 的免費應用程式,近 80％是山寨版! 恐引發個資外洩、手機中毒及金錢損失）公司和開發者還遭遇另一個來自山寨版的挑戰。

對於需要在Google Play上推出官方行動應用程式的公司來說，假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說，也有類似的影響，只是較為個人。如果使用者被騙去下載這些應用程式，最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。

在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式，他們可以很好地幫助使用者分辨那些是正牌應用程式，哪些是假冒的版本。例如：理想狀況下，所有的應用程式都該由同一名開發者發布，像是下列的各種趨勢科技應用程式：

圖1、Google Play上的趨勢科技程式

然而，我們也注意到有些組織並沒有做到這一點。相反地，出現多個開發者在發佈各種版本的官方應用程式。

圖2、各種銀行應用程式有著不同的開發者

為什麼會這樣？Android要求所有的應用程式都要簽章過（即使只是自我簽章）。當然，大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式，即使它們會被整合在一個帳號下。此外，可能用不同帳號來上傳應用程式，即使它們全都是同一家公司。繼續閱讀

一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)

2015 年 06 月 16 日2015 年 06 月 15 日趨勢科技 TrendMicro

趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞，攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。

這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式（佔 Google Play上所有應用程式的5.6%）都可能受此漏洞影響。

該漏洞被存在於Cordova的一個功能內，讓Secondary Configuration Variables（也就是偏好設定）可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新（也就是Github的提交）的一部分，Cordova Android也更新為0.9.3。

我們的研究顯示，如果Base Activity沒有被適當的防護且偏好設定設成預設值，攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。

漏洞攻擊成功的先決條件

只要符合兩個條件就能成功地利用此漏洞：

應用程式至少有一個元件延伸自Cordova的Base Activity：CordovaActivity或設定Cordova框架（像java）沒有被適當的防護，也就是說可以被應用程式外部存取。
至少一個Cordova支援的偏好設定（除了LogLevel的和ErrorUrl）未在設定檔案（xml）中被定義。

它如何運作

要了解該漏洞如何運作，要先來看看應用程式的偏好設定如何設置。繼續閱讀

DNS變更惡意軟體進入家用路由器

2015 年 06 月 16 日2015 年 06 月 10 日趨勢科技 TrendMicro

家用路由器可以被用來竊取使用者的認證憑據，只是大多數人並不知道。壞蛋們已經找到方法來用網域名稱系統（DNS）變更惡意軟體來將最不受注意的網路路由器變成他們惡意計畫裡的重要工具。

有路由器會在出貨時帶有惡意DNS伺服器設定。在這次的情況裡，惡意軟體被用來篡改路由器和其DNS設定。當使用者想連上正常的銀行網站或其他壞人設定的網頁時，惡意軟體會將使用者導到惡意版本的網頁。這讓網路犯罪分子可以竊取使用者的帳號認證憑據和密碼等資訊。

越來越多的相關惡意網站出現在巴西（佔了近88%的感染數量）、美國和日本。這些網站會在內部網路執行瀏覽器腳本來對受害者的路由器進行暴力攻擊。再藉由正確認證憑據連上管理界面，該腳本發送帶有惡意DNS伺服器IP地址的HTTP請求到路由器。一旦惡意版本設定替換掉目前的IP地址就完成了感染。除了瀏覽器暫存檔外，沒有檔案會在受害者電腦上建立，不需要使用持續性技術，沒有改變什麼。

修改DNS設定代表使用者不知道他們所要連上的是可信網站的山寨版。不變更預設密碼的使用者很容易遭受此類攻擊。

路由器 DNS惡意軟體使用暴力攻擊

DNS是轉換IP地址跟網路名稱的網際網路標準。就像是電話簿一樣將人性化的主機名稱轉換成電腦接受的IP地址。網路犯罪分子建立DNS變更惡意軟體來修改系統的DNS設定。我們在2011年就討論過DNS變更惡意軟體，當時的惡意軟體感染了400多萬台電腦來加入Esthost殭屍網路。我們參與了Ghost Click行動將這殭屍網路給剷除。繼續閱讀

安裝竊聽器,落伍了! 你親手安裝的手機app,可能會自動幫你打開麥克風錄音(第一季資安綜合報告新戰術分析)

2015 年 06 月 15 日2015 年 06 月 17 日趨勢科技 TrendMicro

惡意廣告會感染網站或廣告網路，使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡，使用者甚至不需要點擊廣告就會被感染

在過去，間諜會在聚會的房間裡安裝竊聽器以記錄談話。如今，網路犯罪分子可以透過社交工程來在手機上安裝應用程式以打開麥克風，進而記錄任何談話。

在趨勢科技最近的2015第一季資安綜合報告中，趨勢科技的威脅研究人員強調了許多正在影響我們的最新威脅。惡意分子在積極地尋找新方法來攻擊受害者並且尋找可以關注的新目標。讓我們來看看一些最近的威脅以及你可以如何加強防護來對抗它們。

惡意分子在全球增長:中國和俄羅斯仍然佔了大宗

趨勢科技針對地下世界活動的研究中，找到許多網路犯罪分子所使用的新工具和技術，越來越多非傳統地區日趨活躍。中國和俄羅斯仍然佔了大宗，但我們現在也看到來自巴西和非洲的惡意分子。很大的原因是進行網路犯罪很容易，只需要有一台電腦跟連上網路。深層網路內讓人開始駭客生涯的工具也變得更加易用和便宜，讓新手很容易就可以變成網路犯罪分子。在今年，趨勢科技會繼續發表關於中國、俄羅斯和巴西地下市場的新數據，再加上美國及日本的資訊，好讓讀者對這些地下世界如何運作有深入的了解。我們利用這些資訊來開發產品所使用的新技術，保護客戶免受這些最新威脅的影響。

攻擊中所使用的新戰術

在第一季內我們看到一些新戰術被使用，讓惡意分子可以確保受害者更容易被攻擊成功。在這裡強調一些重點：

惡意廣告：這些威脅很有挑戰性是因為它們會感染網站或廣告網路，讓受害人會連到惡意網站來遭受感染。使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡，使用者甚至不需要點擊廣告就會被感染。惡意分子也利用零時差漏洞來提高感染數量。
針對此一威脅的最好防護是確保你啟用網頁/網域信譽為評比技術（如趨勢科技所提供）來在這些廣告或惡意網站感染使用者前先加以封鎖。我們的端點解決方案所使用的新漏洞防護技術也可以主動地封鎖帶有漏洞攻擊碼（甚至是零時差漏洞）的網站。
勒索軟體 Ransomware和加密勒索軟體：這類威脅在黑洞漏洞攻擊包（被用來散布這類威脅）作者Paunch被捕後又捲土重來。我們看到很多加密勒索軟體的新變種和家族，同時看到網路犯罪分子開始針對企業團體（中小企業和大型企業）。受害者往往會支付贖金，因為其所用的加密技術無法被破解，惡意分子會在收到付款後送出解密金鑰。
我們並不認可這種做法，並建議使用者要使用良好的備份解決方案，可以在中毒後重建系統。最好的防護是防止此威脅進入。幾乎所有的勒索軟體都是透過電子郵件散播，無論是透過附加檔案或內嵌的連結。
趨勢科技建議要遵循良好的電子郵件實作，但我們同時也開發了新技術以提高偵測率。電子郵件沙箱技術（Deep Discovery Email Inspector，InterScan Messaging，ScanMail）可以在郵件遞送給使用者前先加以辨識。OfficeScan 11 SP1內建了新的勒索軟體 Ransomware偵測技術。InterScan Messaging具備社交工程（social engineering ）防護以辨識攻擊所使用的網路釣魚（Phishing）郵件。

繼續閱讀