微軟、PayPal和Netflix是2019年第一季最常被盜用進行網路釣魚攻擊的品牌

網路釣魚(Phishing)社交工程(social engineering )詐騙仍然是網路安全專家最關注的問題,因為駭客持續地利用這些伎倆來誘騙電子郵件收件者。品牌盜用是種舊但惡名昭彰的社交工程手法,持續地被利用著,趨勢科技Cloud App Security在2018年就偵測並封鎖了350萬次此類攻擊。Vade Secure一份新出爐的報告進一步證明了網路釣魚攻擊持續使用了品牌盜用,這份報告列出2019年第一季網路釣魚攻擊最常盜用的品牌。

[延伸閱讀:Office 365被入侵帳號在3月份被用來寄出150萬份電子郵件威脅]

微軟是最常被盜用的品牌

儘管微軟釣魚網址數量從2018年第四季以來已經減少了4.5%,但仍然名列前茅。Vade Secure認為這是因為Office 365帳密可以被用來賺錢,為攻擊者提供進入整個Office 365平台的進入點。他們也可以利用被入侵帳號來進行攻擊。

繼續閱讀

新出爐的報告顯示有25%的網路釣魚攻擊繞過Office 365的安全防護

電子郵件仍是種常見的感染媒介,因為它很容易被濫用,攻擊者可以利用它來製造持續且數量龐大的威脅。僅僅在2018一年,趨勢科技 Cloud App Security™ 就封鎖了890萬封通過Office 365內建安全機制的高風險郵件威脅。新出爐的Avanan報告進一步證明了郵件服務如何的脆弱,該報告發現,針對Office 365所進行的546,247次網路釣魚攻擊中,有25%能夠繞過其安全機制。

該報告檢視了寄送到Office 365和G Suite的5550萬封電子郵件,發現每99封就有一封是網路釣魚郵件。該份報告將這些網路釣魚郵件再細分下去,惡意軟體類型釣魚郵件或利用釣魚郵件在受害者系統上安裝惡意軟體佔了50.7%,騙取帳密的釣魚郵件佔了40.9%,敲詐勒索類型為8%,而魚叉式網路釣魚則是0.4%。

[延伸閱讀:網路釣魚郵件利用ZeroFont躲過Microsoft Office 365過濾機制]

用於網絡釣魚及其他基郵件類型攻擊的作法

Avanan報告還指出網路犯罪分子經常會假冒品牌來偽造顯示名稱,讓受害者點入惡意連結或將帳密無意間提供給假的登入頁面。該報告指出,每25封品牌郵件可能至少有一封是網路釣魚郵件。

繼續閱讀

《網路釣魚》9 名員工誤點網址,導致35 萬名客戶個資曝光

美國奧勒岡州 DHS 遭遇網路釣魚攻擊

美國奧勒岡州的 Department of Human Services (DHS) 近期對外公告,有超過 35 萬名客戶的健康資訊遭到曝光。經奧勒岡州 DHS 資安團隊調查發現,研判資料外洩的起因是:有九名員工點擊了網路釣魚 URL,使員工的電子郵件帳戶資訊與信箱遭到入侵。

《網路釣魚》9 名員工誤點網址,導致35 萬名客戶個資曝光

〔延伸閱讀: 變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大!


據新聞稿指出,奧勒岡州 DHS 員工是在 2019 年 1 月 8 日收到魚叉式網路釣魚的電子郵件,而遭到入侵的信箱內據說有將近 200 萬封電子郵件。直到 1 月 28 日,才確定有客戶的個人健康資訊或受保護的健康資訊 (PHI) 遭到未經授權人士的存取。奧勒岡州 DHS 表示,雖然他們阻止了更進一步對入侵信箱的未授權存取,但卻無法證實是否有任何 PHI 遭到竊取或濫用。

客戶遭外洩的 PHI 屬於健康保險隱私及責任法案 (HIPAA) 的保護範圍,此外,該事件依奧勒岡州身分竊取保護法 (Identity Theft Protection Act) 亦屬違法。該資料外洩中可能遭到入侵的資訊包括下列項目:姓氏和名字、地址、生日、社會安全碼、個案編號,以及其他用於管理 DHS 計畫的資訊。

網路罪犯為了入侵電子郵件帳戶及各種其他服務,使用越來越多樣化的方式來發動網路釣魚攻擊。美國特勤局在 1 月分享了可能連結到加密文件的魚叉式網路釣魚電子郵件相關資訊。使用者點擊 URL 時,會出現假的 Office 365 登入要求表單,要求其輸入電子郵件帳戶憑證。使用者一旦採信,網路罪犯便能取得其電子郵件帳戶的存取權。

繼續閱讀

網路釣魚利用瀏覽器擴充套件SingleFile 複製合法網站, 避免被偵測

網路釣魚靠著冒充身份來引誘毫無防備的受害者下載檔案或點入連結的簡單概念,成為網路犯罪歷久不衰的手法,不過網路釣客使用的策略已經越來越加複雜。趨勢科技近日發現有利用合法工具SingleFile作為混淆手法,避免偵測的網路釣魚活動。

網路釣魚利用瀏覽器擴充套件SingleFile 複製合法網站, 避免被偵測

SingleFile是Google ChromeMozilla Firefox的擴充套件,讓使用者能夠將網頁另存成單一的HTML檔案。雖然瀏覽器可以讓使用者將網頁儲存為「.htm」文件,但這通常代表會為網頁內的所有檔案建立多個資料夾。SingleFile簡化了儲存網頁及所有檔案的流程,可以應用在各種情境,如儲存整個網站。但它對駭客來說也一樣有用,因為我們發現駭客會利用SingleFile來混淆網路釣魚攻擊。

Figure 1. Tool options for the Chrome version of SingleFile

圖1. Chrome版SingleFile的工具選項

我們看到的樣本顯示網路犯罪份子用SingleFile複製合法網站的登入頁面進行網路釣魚活動。產生登入頁面的方法很簡單:

  • 攻擊者連上要仿冒的網站登入頁面(我們所看到樣本是金流服務網站Stripe)。
  • 接著用SingleFile儲存並產生包含整個網頁的檔案,包括了所有的圖片(儲存為svg檔)。

儘管這手法很簡單卻非常有效,因為它實際上產生了跟原始登入頁面完全相同的版本。

繼續閱讀

【網路釣魚 】「Soula」偽造搜尋引擎登入畫面,針對韓國網站發動水坑攻擊,竊取帳密

趨勢科技發現一波網路釣魚活動利用注入假登入表單來竊取使用者帳密,至少有四家韓國網站受害,包括了該國訪問量最大的商務網站。雖然我們之前就看過網路犯罪分子對網站注入惡意JavaScript來載入瀏覽器漏洞攻擊碼或金融資料擷取病毒,但利用水坑攻擊進行網路釣魚並不常見。這波我們標示為「Soula」的攻擊活動(偵測為Trojan.HTML.PHISH.TIAOOHDW)會跳出偽造韓國常用搜尋引擎登入畫面來蓋過原始網頁以收集資料。它會不經確認就直接將記錄的帳密送到攻擊者的伺服器,所以我們認為駭客還在研究與收集資訊的階段。

攻擊行為

「Soula」針對韓國網站發動水坑攻擊竊取帳密

圖1、 Soula的攻擊鏈。

我們在3月14日追蹤了受害網站的JavaScript注入。注入腳本針對網站訪問者來在主要網頁載入了網路釣魚表單。它會掃描HTTP referer標頭字串來檢查是否包含跟熱門搜尋引擎或社群媒體網站相關的關鍵字,以驗證訪問者是否是真人。因為HTTP referer會將來源位置網頁標識為請求頁面,這樣就能夠輕易地確認訪問者是否為真實使用者(如果請求來自搜尋引擎或社群媒體),過濾掉bot爬蟲及威脅引擎掃描程式。

設置 cookie 計算訪問次數 ,掩蓋惡意行為

該腳本接著會掃描HTTP User-Agent標頭來找出是否有iPhoneiPadiPodiOSAndroid等字串,以確認使用者是用桌機或行動裝置,好提供對應的網路釣魚表單。行動用戶要點擊被駭網站上的任一按鈕才會看到假登入表單。為了掩蓋惡意行為,它會設置cookie來計算訪問次數,並在受害者第六次訪問網站後才會出現彈跳式視窗。這cookie也會在最後一次互動後兩小時過期。

繼續閱讀