資安趨勢部落格 – 第 864 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

詐騙份子會想用我的資料做些什麼?

2013 年 01 月 30 日2013 年 07 月 03 日 Trend Labs 趨勢科技全球技術支援與研發中心

順帶一提，我想起當我跟鄰居提起我在資訊安全界工作時，他的下個問題就是：「這些詐騙份子為什麼想要我的資料？」越多人問我這個問題，也就越加明顯地，使用者資料是非常有價值的。

當你知道，只要花五美元就可以在地下論壇或網站購買你所有的個人資料，會感到很驚訝嗎？有些人可能還會驚訝地發現，被販賣的資訊還遠遠不止於你的姓名和地址。

在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先，可能是文字檔或CSV檔案，一個包含所有資料，用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中，方便閱覽。此外，「Fullz」也可能透過可攜式資料庫格式來傳遞，像是MDF檔案，方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題，還有駕照資訊、社會安全號碼以及其他資料。

這些詐騙份子很邪惡，卻不代表沒有生意頭腦。如下圖，一個賣方提供折扣給大量購買的訂單。

這些詐騙份子還提供轉錄（Dumps）資料出售，這是來自你信用卡磁條的原始數據。除了轉錄（Dumps）資料，他們也賣塑片（Plastics），用來寫入轉錄（Dumps）資料的空白卡。

最後，為了讓詐騙活動更加容易，攻擊者也販賣銀行帳戶登錄資訊和高階電子產品。被賣的銀行帳戶可以直接用來存取錢，不再需要買轉錄（Dumps）資料和塑片（Plastics）了，只需要使用你的銀行登錄資訊，並且把錢轉走。

高階電子產品也可以用合理的價格在黑市上販賣。這些詐騙份子利用偷來的信用卡資料來以零售價購買設備，並且在網路上折扣價出售以換取現金。

詐騙份子可以用我的資料做些什麼？

雖然很多人可能會說，「如果犯罪份子拿了兩萬份Fullz，不會正好用到我那份。」這並不是真的。雖然偷你資料的網路犯罪份子可能不會用到所有的兩萬份轉錄（Dumps）資料，他們可能會用低價去拋售部分未使用到的資料。繼續閱讀

祭司在德爾斐神廟說了什麼關於IaaS雲端服務的事情？

2013 年 01 月 29 日2013 年 01 月 29 日 Trend Labs 趨勢科技全球技術支援與研發中心

引用維基百科：

皮提亞，古希臘的阿波羅神女祭司，服務於帕納塞斯山上的德爾斐神廟。她以傳達阿波羅神的神諭而聞名，被認為能夠預見到未來。

亞馬遜網路服務（AWS）在二〇一二年十一月的第一次使用者大會門票被超訂而且銷售一空。因為該公司提供所有公共雲所需的基礎設施：Linux和Windows虛擬主機、資料庫、儲存空間、彈性負載平衡器、訊息…很明顯地，基礎設施即服務（IaaS）已經吸引了廣大的注意。在二〇一二年也看到了Google運算雲的出現，還有類似的服務來自微軟，以及惠普基於OpenStack所推出的公共雲，提供客戶許多現有Terremark、Joyent、Rackspace、DELL和其他IaaS公司之外的選項。高唱著降低成本和商品化的服務，讓消費者可以有多種選擇。而私有雲看來就只有VMware的vCloud和微軟私有雲在彼此競爭，提供給尋求商業化產品的客戶。同時OpenStack在開放原始碼產品上成為CloudStack和Eucalyptus的強大對手。顯然地，企業使用IaaS的日子已經到來。

所以2013年保持的IaaS什麼？

並非一切都歸於雲端。開發人員應該要能夠掌握雲端API。就好像雲端並不是虛擬化，也非簡單的只是雲端代管服務。雲端內的應用程式需要適用於雲端，應用程式的開發必須要能最大化地利用雲端平台，使用新的功能。

雲端加行動才完整。企業不會想在資料中心的防火牆上開洞，好讓行動應用程式存取資料。因此，這些應用程式會放在雲端中。後端即服務（Backend as a Service，BaaS）對行動運算將成為必須。
我的雲端服務水準協議（SLA）在哪裡？採用雲端技術是供應商和消費者間共同的責任，因此，應用程式要能保護自己。
雲端成本將會被嚴密的審查，以確定雲端運算的真正價值。參考一下那些可以描繪出成本的公司（比方說CloudSyn）。
混合雲的一年 – 企業會在vCloud、微軟或OpenStack/Cloudstack產品間做選擇，然後快速進入公共雲以分擔工作負荷。

我們確實在期待未來一年會是雲端服務成熟和鞏固的時候。你對於IaaS在二〇一三年有什麼期待呢？

＠原文出處：What does the Oracle at Delphi say about IaaS cloud offerings? 作者：Jonathan Gershater

◎即刻加入趨勢科技社群網站,精彩不漏網

Android 除錯問題

2013 年 01 月 28 日2013 年 01 月 30 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技最近發現，當應用程式在Android設備上執行時，Android的除錯功能可以被用來竊取資訊。透過一些步驟，可以在Android上建立一個應用程式來除錯另一個執行中的應用程式。這除錯用的應用程式將有機會獲得被除錯應用程式的所有資訊，所以要偷像帳號、密碼等東西都是輕而易舉。

這漏洞只出現在Android 2.3（薑餅人）或更早的版本上。今日所有正在販售的Android設備都使用更新的版本，薑餅人最後一次更新是在於二〇一一年九月。然而根據Google自己的統計數字顯示，超過一半使用中的Android設備仍然執行這些較舊版本的Android。

在某種程度上，這問題是整個Android生態系統問題的縮影。讓我們將這生態系統分成三個部分：應用程式開發者，Google和電信業者以及最終使用者。各部分可以做些什麼？

應用程式開發者: 該要考慮安全性，而不僅僅是功能和易於使用而已

在這特定案例裡，一個應用程式如果被設定為可除錯就會有這漏洞。一般來說，可除錯版本的應用程式不該對外發布。（大概有5％的熱門免費應用程式是可除錯的，所以風險不小。）

然而在一般情況下，行動應用程式的「最佳實作」可能並不像桌面應用程式那樣固定。行動應用程式開發者還是應該要考慮他們應用程式的安全性，而不僅僅是功能和易於使用而已。

Google/電信業者:Google在設計Android時應該考慮提供一種方式讓舊設備仍然可以取得安全更新，獨立於電信業者和製造商之外

正如我們上面所提到的，新版本的Android並沒有這個問題。但是Android有更新上的問題，許多運作正常設備的使用者將不會收到更新，也讓他們暴露在風險中。繼續閱讀

人氣行動應用遊戲「Temple Run 2」出現 Android 山寨版,下載後強迫放送廣告

2013 年 01 月 24 日2013 年 01 月 25 日趨勢科技 TrendMicro

在 Apple App Store上發布不過幾天，山寨 Android 版 Temple Run 2 已經出現在某些網站上了。

在Apple App Store發表僅僅四天後就出現了廿萬次的下載，Temple Run 2在 Temple Run粉絲群和遊戲愛好者之間的確備受期待。這遊戲的Android版本原定在本週發表，但趨勢科技已經看到有些網站出現疑似 Android 版 Temple Run 2的販賣。

我們分析了一個號稱是 Temple Run 2的應用程式, 令使用者大失所望的是，這些應用程式都沒有執行真正的Temple Run遊戲。這被趨勢科技偵測為ANDROIDOS_FAKETEMPLRUN.A的應用程式會派送廣告給使用者。

趨勢科技還注意到有其他網站提供Temple Run 2。仔細查看一下其中一個網站上的描述，開發人員有對這應用程式做出聲明。雖然網站沒有出現任何惡意行為，利用Temple Run 2去誘騙使用者下載「桌布」應用程式（有些網站提供的是解謎應用程式等等）還是相當可疑。

雖然目前所看到的幾起事件都只會造成輕微的傷害。但隨著發表日期的接近，我們也可能會看到帶有更大破壞能力版本的出現。

高人氣可能帶來危險

這並不是第一次有可疑的開發者想要借用Temple Run受歡迎的程度了。甚至在它發表Android版本之前，趨勢科技就注意到有山寨版出現Android Market上，而Google也馬上將其刪除。其他高人氣的行動應用程式，像是Instagram、憤怒鳥和Farm Frenzy在過去也都出現過山寨版。

在我們的二〇一三年資安威脅繼續閱讀

行動用戶很可能會比一般電腦使用者遭網路釣魚（Phishing）攻擊高出三倍

2013 年 01 月 24 日2013 年 03 月 04 日 Trend Labs 趨勢科技全球技術支援與研發中心

手機可以用來做任何事情，而且效能就跟一般電腦一樣強大~病毒也是如此

作者：Jonathan Leopando

使用者很容易就會認為行動設備是種可以隨拿隨用的簡易設備，並不會造成安全風險。—沒有什麼比這更錯的了。今日的行動設備就跟一般電腦一樣，所有該有的功能都有。

在上個月，喬治亞理工學院研究發現，因為使用者介面的關係，行動瀏覽器所提供的資訊往往並不足以讓使用者判斷網站是否有潛在的危險。

其中最有問題的是在顯示SSL資訊方面。和一般電腦相比，行動瀏覽器在顯示網站是否在使用SSL時非常受限。雖然會有基本鎖頭符號來表示是否正在使用SSL，但其他進階資訊則可能無法立即顯示。比方說，桌面瀏覽器會強調憑證單位好讓使用者進一步的驗證，但這在行動瀏覽器上並非總是立即出現。

行動用戶很可能會比一般電腦使用者更容易遭網路釣魚（Phishing）攻擊

原因很簡單：使用者界面限制。行動設備上的空間和一般電腦相較起來是有限得多。而且行動使用者介面也往往會設計得特別簡潔。這會限制使用者可以在瀏覽器得到用來判斷網站是真是假的資訊數量。

這或許也可以解釋為什麼有研究顯示行動用戶很可能會比一般電腦使用者更容易成為網路釣魚（Phishing）攻擊的犧牲者。然而，並不只是技術上的原因，使用者的態度可能才是主因。

CNN 報導指出:Trusteer分析了多個曾經代管網路釣魚（Phishing）網站日誌檔（存取記錄）,網路釣魚郵件送出後，行動用戶通常是第一個連上的網站的設備

根據這篇報導指出在一月，Trusteer分析了多個曾經代管網路釣魚（Phishing）網站日誌檔（存取記錄）。記錄顯示有多少使用者連上這些惡意網站，他們是什麼時候連上的，他們是否輸入自己的帳戶登錄資料，以及用來連上網站的設備。

以下是Trusteer的發現：

一、網路釣魚郵件送出後，行動用戶通常是第一個連上的。

「這是有道理的，因為行動用戶總是保持在連線狀態，也最有可能在郵件送達時於第一時間閱讀。桌上電腦使用者只有在使用電腦時才會看信。」Trusteer的執行長Mickey Boodaei如此說。

「此外，多數詐騙電子郵件都要求立即採取行動。比方說，他們通常會聲稱在使用者帳號偵測到可疑活動，並且需要立刻採取行動。多數落入陷阱的受害者會很快地去連上釣魚網站。」

這很重要，因為網路服務供應商和主機代管廠商會監視他們網路上的釣魚活動，並快速採取行動以封鎖網路釣魚網站。

網路安全專家警告說：網路釣魚郵件攻擊裡最陰險的一種就是，假警告郵件可能會說該公司要通知你關於最近所公佈的一起安全攻擊事件 – 這恰恰也是他們所犯下的「完美掩護。」

二、行動用戶輸入登錄資料的機率比桌面電腦使用者高出三倍以上。

好消息是，大多數人（不管是不是行動用戶）連上釣魚網站時都不會輸入任何登錄資料。但是，對於那些有輸入的族群來說，行動用戶顯然更容易落入網路釣魚（Phishing）的陷阱。

三、iPhone使用者連上釣魚網站的數量是黑莓機使用者的八倍以上。

根據ComScore的最新數據顯示，在美國市場，黑莓機仍然有比iPhone更多的機子正在使用中。根據Boodaei，「在黑莓機和iPhone上都一樣很難注意到網路釣魚（Phishing）。」

那麼是什麼造成這差距呢？Boodaei推測，許多黑莓機使用者是企業用戶，是由雇主所配發黑莓機，所以至少都有經過一些安全訓練。相反地，絕大部分的iPhone都屬於消費者的行動設備。繼續閱讀