資安趨勢部落格 – 第 862 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

以”你的照片”為餌的點擊劫持（clickjack）最常出現在Facebook、Twitter、Google+

2013 年 02 月 22 日2014 年 07 月 18 日 Trend Labs 趨勢科技全球技術支援與研發中心

Sherry在深夜裡收到一則從親密好友所傳來的Twitter私密訊息 – 「有沒有看過你的這張照片呀，哈哈」，還包含一個短網址。因為這位朋友是個攝影師，也有她的照片。所以收到這訊息並不奇怪。於是她點了進去,賓果!這個常用的社交工程陷阱( Social Engineering),讓她就此中了clickjacking點擊劫持。你猜到了嗎?這假造朋友發的訊息，裡面的網站連結導到一個會偷密碼的假Twitter網站。

註:點擊劫持（clickjacking）是一種將惡意程式隱藏在看似正常的網頁中,並誘使使用者點擊的手段。比如受害人收到一封包含一段影片的電子郵件，但按下「播放」按鈕並不會真正播放影片，反而是被誘騙到另一個購物網站。

假的 Twitter 登錄頁面,一直出現密碼錯誤訊息,其實密碼已經被偷了

當Sherry從iPad點入這私密訊息裡的網頁連結，行動瀏覽器帶她到看來像是Twitter的登錄頁面,，即使她覺得很奇怪，為什麼照片沒有出現在Twitter應用程式瀏覽器內。正在看電視影集的她心不在焉的，試了幾次輸入帳號密碼，「假Twitter網站」都顯示密碼錯誤。她很沮喪也放棄了，就上床睡覺了。但這錯誤的嚴重性一直到幾個小時之後就浮現了。

點擊劫持的後果

Sherry睡不著，看了看手機，凌晨四點半。手機出現訊息通知，有則來自朋友的Twitter私密訊息，問說：「你傳給我的是垃圾訊息嗎?還是你真的有我好笑的圖片？」”哦，不！我做了什麼？”Sherry 知道麻煩來了,只因為她點了那個連結。

一整天裡Sherry收到數十封簡訊、Twitter推文、電子郵件和Facebook留言，告訴她有人駭入她的Twitter帳號。

因為登錄到「假Twitter」網站，而給了非法份子Twitter帳號密碼。他們就可以登錄到Sherry真正的Twitter帳號，發送一樣的垃圾訊息跟惡意連結 – 「有沒有看過你的這張照片呀，哈哈」給所有關注我的人，讓這起犯罪攻擊繼續循環下去。這就是所謂的clickjacking點擊劫持。通常出現在社群媒體的動態消息、塗鴉牆和私密訊息（Facebook、Twitter、Google+等等），讓不知情的人點入會竊取密碼和資料的網站。

這結果可能很災難性，如果你的銀行帳號和社群媒體帳號使用相同密碼的話。網路犯罪份子可能會登錄到銀行帳戶，並在幾小時內偷走被害者的錢、身份認證以及盜刷信用卡。

如果你已經中了點擊劫持該怎麼辦?

如果你懷疑可能中了點擊劫持，馬上變更你的密碼。然後檢查是否有任何新應用程式有權限連到你的帳號，因為它們可能是惡意的，並且會竊取資料。（當你改變密碼時，Twitter會強迫你檢查所有有權限連到你帳號的應用程式。）
如果你有其他重要帳號使用已經被竊取的密碼，要馬上全部更換，而且不要使用相同的密碼。繼續閱讀

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

2013 年 02 月 21 日2013 年 02 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

除了會替使用者訂閱不需要的服務還有會侵略性的派送廣告的惡意應用程式外，Android使用者也必須要小心那些有後門功能的應用程式。

雖然二〇一二年的主要惡意應用程式是加值服務濫用程式跟廣告軟體，但它們並不是Android上唯一的威脅。最近的頭條新聞有個關於殭屍網路/傀儡網路 Botnet運行在超過一百萬支智慧型手機上的報告，這正好說明了針對Android攻擊的多樣化，而且還沒有看到盡頭。

而在出現這些報告之前，我們從二〇一二年七月就開始看到這類型的惡意軟體，到目前為止實際偵測到4,282個樣本。趨勢科技所分析的相關樣本（趨勢科技偵測為ANDROIDOS_KSAPP.A，ANDROIDOS_KSAPP.VTD，ANDROIDOS_KSAPP.CTA，ANDROIDOS_KSAPP.CTB和AndroidOS_KSAPP.HRX）是從某第三方應用程式商店取得，但我們認為也可能出現在其他網站上。通常這些應用程式是放在遊戲類，有些會做成熱門遊戲的重新包裝版本。

我們所分析的第一批樣本是用相同的應用程式名稱，應該是來自同一家公司。

一旦這些惡意應用程式被安裝成功，它會連到下列的遠端網站以取得壓縮過的腳本程式，然後讀取這腳本程式：

https://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0

https://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
https://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0

需要解讀下載的腳本程式讓它比一般出現在Android上的殭屍網路/傀儡網路 Botnet惡意軟體更加複雜，因為惡意軟體可以透過新腳本程式來變更自己。

如上圖所示，這惡意軟體還會更新執行中的腳本程式，以避免被防毒軟體偵測。這個更新機制讓惡意軟體可以下載自身的新變種。遠端腳本程式還包含自訂指令，讓遠端攻擊者可以在受感染設備上執行。例如，應用程式可以執行測試用函數（代碼如下所示）：

解讀遠端腳本程式，可以用Java反射（reflections）安裝新的Java物件（如變數和函數），因此動態的遠端程式碼可以在本地端執行，這可能會導致其他惡意檔案的下載。為了提示使用者安裝這些檔案，應用程式會顯示通知列或彈跳視窗。下載這些檔案的使用者則不幸的會讓他們的設備受到更多惡意軟體感染。更不用說安裝ANDROIDOS_KSAPP變種可以讓遠端攻擊者控制使用者的設備，執行更多可怕的指令。

二〇一二年已經成為Android威脅的一年，而不僅是試試水溫而已。在我們的二〇一二年度安全綜合報導中提到，Android惡意軟體的數量成長到卅五萬，相對於我們在二〇一一年所看到的一千個行動惡意軟體，這是個跳躍性的變化。這成長讓人聯想到一般電腦上的威脅歷史，只是用更快的速度。如果這種趨勢繼續下去，我們預測今年惡意和高風險Android應用程式的數量將會在二〇一三年達到一百萬。繼續閱讀

一場荒謬的 facebook 臉書愛情故事

2013 年 02 月 20 日2017 年 08 月 02 日趨勢科技 TrendMicro

這則新聞說新竹市有碩士學歷,宋姓男子不滿施姓女友移情別戀美國男子，宋男在分手隔月竟假冒該女全名申請臉書帳號，並將臉書設定為”公開”,陸續惡意貼文,比如「我在美國那段時間都當美國男人的性奴隸ㄛ，這是我一輩子最光榮的事跡」,並刻意在「台中金錢豹酒店」打卡，PO文說「我真想到這上班…」。法官認為，宋男年齡已屆不惑，竟以激烈手段嚴重毀損施女名譽。該男子被判偽造文書罪。提醒大家在臉書發言請三思而後行,更別把臉書當作私人復仇工具,以免觸法。

同樣是臉書冒用事件,以下這故事讓小編想到本部落格提過有趣的手機與 iPad失而復得故事(找回手機只要一張辣妹照片和一把鐵鎚?),同樣是一張臉書大頭貼引發的精采故事,也都引發媒體報導,很精采,也很多省思

——————————————————————————————-

足球隊員和過世的虛擬女友:一張被高中同學冒用的臉書大頭貼,引發的荒謬/激勵故事?

“Babe 寶貝”網路上跟你親暱交談的真的是照片上的人嗎?

作者：Richard Medugno

你有聽過激勵人心的美國聖馬大學後衛足球隊員Manti Te’o故事嗎? 這裡是關於這「醜聞」的簡短版本：Manti 在網路上愛上一個名叫 Lennay 的女孩。他從未在「真實世界」裡見過她，不過已經把她當成了自己的女朋友。 2012年九月，就讀史丹福大學女友 Lennay 在 Manti奶奶過世的同一天裡也因為白血病「走」了。這顯然地也激勵了Manti在賽季中帶領大學球隊「愛爾蘭戰士」打出好成績，以紀念他所逝去的親人們。他還在之後的電視訪談中提到他的「過世女友」。後經媒體踢爆外祖母的故事是真的,但女友是假的。聖母大學召開記者會說明，指出Te’o並不是騙子，他也是這場騙局的受害者，是有人偽造了Kekua這個人的存在，他們只是網路上的情侶關係。

最後，人們發現這騙局背後是個名叫 Ronaiah Tuiasosopo 的南加州阿呆。為什麼他要創造周密的計劃來唬弄一個有名的足球運動員？這原因可能只有他自己知道。但明顯地，他有非常多的時間。

Ronaiah 利用他高中同學 Diane O’Meara 貼在 facebook 臉書上的照片來創造出讓 Manti 陷入情網的 Lennay。然後利用社群網路和這可憐的傢伙聊天，並且在打電話時變造聲音。

Diane 完全不知道她的照片被用來欺騙 Manti，這個在醜聞爆發前她不認識也沒聽說過的人。而當騙局被揭發後，Diane突然被推到全國的鎂光燈前，必須被電視台的新聞工作人員追逐，還在TODAY上接受採訪，陳述她個人的說法。

這是個只會發生在美國，發生在網路時代，一個完全荒謬的故事。我們不要浪費時間斥責這些年輕人（這裡指所有廿出頭的）所犯的過錯，但我們可以利用這個時間點來作個機會教育。這故事所能學到的教訓很多。以下是給這扭曲的三角網路中每個角色的建議：

1.被冒用照片的女主角 Diane O’Meara – 要知道誰是你的朋友！ 冒著被說是多管閒事的風險，O’Meara，你原本可以避免掉許多不必要的關注和污名化，如果你只接受你真正認識並在生活中有來往的人為臉書好友。僅僅只因為你跟某人一起上課，不代表你應該讓這個人來影響你的人生（數位或其他方式）。請看：「相信我，親愛的，你沒有八百個真正的好友」，然後開始移除好友。

Diane完全不知道她的照片被用來欺騙Manti，這個在醜聞爆發前她不認識也沒聽說過的人。而當騙局被揭發後，Diane突然被推到全國的鎂光燈前，必須被電視台的新聞工作人員追逐，還在TODAY上接受採訪，陳述她個人的說法。 — Diane完全不知道她的照片被用來欺騙Manti，這個在醜聞爆發前她不認識也沒聽說過的人。而當騙局被揭發後，Diane突然被推到全國的鎂光燈前，必須被電視台的新聞工作人員追逐，還在TODAY上接受採訪。

繼續閱讀

如何更安全地使用PDF檔案

2013 年 02 月 19 日2013 年 02 月 21 日 Trend Labs 趨勢科技全球技術支援與研發中心

Adobe Reader最近出現新的零時差漏洞攻擊，不禁會讓人想知道，是否有更安全的方式來使用PDF檔案。答案是肯定的：你可以在使用PDF檔案時降低它的風險。以下是建議的作法:

保持PDF閱讀器在最新版本,使用內建的自動更新功能或直接從廠商網站下載。

首先是每次都必須重複強調的，保持PDF閱讀器在最新版本。許多受歡迎的PDF閱讀器都內建某種形式的自動更新功能，讓你更容易做到這一點。要小心從不知名網站下載來的「更新」，因為常常會出現惡意的版本。使用內建的自動更新功能或直接從廠商網站下載。

這裡先不提那些老生常談的建議，像是不要打開可疑檔案或網站等。現在讓我們假設攻擊已經出現，透過那些看似正常而無法輕易分辨的手法，像是黑洞垃圾郵件攻擊。

你可能會以很多種方式接觸到惡意PDF檔案，但大致來說，可以歸類為在瀏覽器內或不是兩種。瀏覽器內的攻擊是PDF檔案會在瀏覽器中打開，透過外掛程式或瀏覽器本身的功能。漏洞攻擊包就是個讓使用者經由瀏覽器接觸到PDF檔案的例子。

另外一種則是相反地，在瀏覽器以外的攻擊：檔案經由郵件程式或瀏覽器儲存到電腦上，然後用PDF閱讀器打開它。

在瀏覽器內的攻擊，你可以做的就是盡量不要使用外掛程式來開啟PDF檔案。Google Chrome和Mozilla Firefox都可以使用整合的PDF閱讀器而無需依賴於外部應用程式。（Chrome瀏覽器是內建的功能，Firefox則需要下載一個外掛程式）。想要使用這功能，可能需要先關閉PDF閱讀器所安裝到瀏覽器的外掛程式，不同瀏覽器可能有不同的作法。

至於瀏覽器以外的攻擊，經由PDF閱讀器去開啟PDF檔案。一個常見的建議是避免使用Adobe Reader，但這並不是萬靈丹。第三方閱讀器也不能倖免於漏洞攻擊。使用不同的PDF閱讀器只是治標而不治本的作法，並沒有真正提供太多保護。繼續閱讀

從青少年一天的作息,看廣告商如何蒐集孩子們的網路隱私

2013 年 02 月 18 日2013 年 02 月 18 日趨勢科技 TrendMicro

從青少年一天的數位生活作息,看廣告商如何蒐集孩子們的網路隱私 孩子們所貼出的資訊，甚至那些沒有貼出的資訊，像是他們在哪點入、他們喜歡什麼和他們搜尋的東西，對於想賣他們東西的企業來說都是非常有價值的資料。孩子們很容易被操弄，大多數都沒有意識到廣告商在追踪他們，或是他們的資訊會被用來向他們發送精準的廣告。

作者：Anne Livingston和Lynette Owens

孩子們花很多時間上網。他們在網路上找功課答案、一起合作學校專案、分享事物、玩遊戲和看影片。在網路上時，他們可能會覺得自己只跟家人和朋友分享，但許多企業也正在看著。網站和廣告網路透過追蹤工具來記錄孩子和大人們在網路上做些什麼。

華爾街日報發現廣告商收集這些資訊來建立消費者檔案。這些檔案並不包括真實姓名，但幾乎包括其它所有的一切：年齡、口味、愛好、購物習慣、種族、興趣和位置。孩子們所貼出的資訊，甚至那些沒有貼出的資訊，像是他們在哪點入、他們喜歡什麼和他們搜尋的東西，對於想賣他們東西的企業來說都是非常有價值的資料。

Pew研究中心發現，有81％的家長對於廣告商從他們的孩子身上收集多少資訊感到憂心。孩子們很容易被操弄，大多數都沒有意識到廣告商在追踪他們，或是他們的資訊會被用來向他們發送精準的廣告。這些廣告並不只是出現在螢幕上的橫幅。企業們正在開發互動式的廣告，讓孩子們的個人資訊成為廣告的一部分。

一個青少年的數位生活

想了解資料是如何被生成和利用，讓我們來看看一個典型青少年的一天：她在網路上作了什麼，企業們如何追蹤她的活動，以及他們如何使用這資訊以對她行銷：

起床了。檢查社群網路帳號。

在網路上所收集到最個人的資料是孩子自己所輸入的。當他們加入一個網路服務，他們會提供自己的電子郵件、姓名和其他個人資料。在這些服務裡，企業們可能會要求他們填寫問卷調查或是參加問答以收集更多的資訊。

快一點，找找地理作業的答案

當孩子們瀏覽網站，企業們會將稱為Cookie的小文件檔放在他們的電腦上。追蹤公司、資料中介商和廣告網路利用這些Cookie來收集他們在網上做什麼的資訊。柏克萊大學所做關於網站隱私普查的一項研究發現，最受歡迎的網站們平均會放50個第三方Cookie，有一個放了234個。華爾街日報還發現，兒童喜歡的網站會比大人上的網站放更多資料收集技術到電腦上。

寫封電子郵件給老師。

Google會掃描經由他們免費電子郵件服務Gmail所發送的電子郵件內容。他們這樣做的原因，有部分是為了提供垃圾郵件過濾和病毒偵測。他們還會搜尋電子郵件內的關鍵字，以期找出更多個人興趣，並將之加到網路個人檔案。他們現在可以在他們的Gmail服務裡，根據你所輸入或搜尋的事物來提供橫幅廣告。

送祝賀訊息給Facebook好友。

對Facebook訊息來說也是一樣。當孩子們發送訊息給Facebook上的朋友，Facebook會自動掃描他們的訊息來偵測病毒和關鍵字。當孩子們在訊息裡提到某個品牌或公司，就可以出現在他們Facebook的「喜好」上。

坐車上學，用智慧型手機上網。 針對性的廣告也出現在行動裝置上。當孩子們用他們的手機找東西時，資料像是他們的實體位置可以被自動的收集。廣告網路可以知道他們在哪裡，提供他們附近商店的廣告。

找到新的應用程序，並下載到自己的行動設備 行動應用程式會收集各種資料。有些應用程式會收集像是位置、電話號碼和聯絡人等資料。FTC審查了受兒童歡迎的兩百多個遊戲和應用程式，發現許多應用程式會將資料賣給不同的廣告網路。比方說，憤怒鳥應用程式會將資料分享給四家針對行動廣告的公司，兩家行動廣告網路，一家應用程式分析網站和一家廣告最佳化及回報公司。 晚餐後，登入Facebook和逛網頁。 當登錄到Facebook，Facebook會記錄使用者所瀏覽的每一個可以讓人按「讚」的網頁，不管他們有沒有真的按「讚」下去（許多網站都有這樣的功能）。