作者:JM Hipolito
在趨勢科技研究威脅的過程裡,我們看過了不同類型的社交工程陷阱( Social Engineering),好用來帶起不同的情緒,像是害怕或高興。這些誘餌往往很有效,因為我們過去看過好幾個成功的事件。然而,它們也很容易辨認,因為往往都使用類似的主題,就是最近發生的事件或節慶。
還有些則利用了不同的、更為低調的作法。這些伎倆不是為了引起注意,而是盡可能的避免。它們試圖融入目標受害者的日常生活,或利用他們的興趣來引他們入局。雖然這些伎倆相較於他們所帶來的攻擊來說非常安靜,它們很難被偵測,但往往更加險惡。
其中一個例子是水坑技術,被用在最近一次影響了Facebook和Apple等公司的攻擊裡。選擇使用行動開發者論壇當做水坑,這誘餌幾乎是完全被動的,並不施展任何手段來吸引受害者訪問該網站。這網站是被精心挑選過的,因為它已經被確認是目標攻擊受害者平常會去逛的網站。
早些時候,趨勢科技也看到最近所公佈的Mandiant報告被當做誘餌。這攻擊開始於寄件者建議去閱讀聲稱是該報告的PDF檔案(當然,這實際上是個惡意PDF檔案,被我們偵測為TROJ_PIDIEF.VEV)。
殭屍(步履蹣跚,會吃人肉的那種,不是出現在電腦上的那種)最近真是風靡一時。出現在電視影集和電視遊樂器上。甚至還有殭屍會在大街上散步。無論為什麼,殭屍都是我們現在喜歡用來嚇自己的有趣題材。
所以當人們想要作個有趣的惡作劇時,會選擇殭屍這題材也就毫不奇怪了。駭客入侵和遊戲間有些相似之處,我們最近也在殭屍上看到這一點。有人駭入交通號誌系統去警告司機「前有僵屍」。上禮拜,我們看到美國蒙大拿州大瀑布城的一家地方電視台 – KRTV的緊急警報系統被駭客入侵,送出警報給看電視新聞的居民:「死人從墳墓裡爬起來,開始攻擊活人。」
我們看這些故事時會邊笑邊分享,因為聽起來蠻聰明有趣的。但其中有危險的部分,這可不是開玩笑的。
關鍵基礎設施可能會被入侵
這些事件的重點是重要公共安全通訊基礎設施被入侵,然後被用在別的目的上。
我們都知道,當重要的公共安全通訊基礎設施被以「突擊(swatting)」的方式濫用時,可能會出現可怕的後果。突擊指的是人們用假的求助電話報警。結果讓全副武裝的特警隊(SWAT)衝進不知情而無辜的人家裡。雖然在這些事件裡沒有人被殺害,但那是因為有良好的訓練和運氣好。但事實上這系統已經受到破壞,將全副武裝的警隊送去他們認為有危險且可能需要使用致命武器的地方時,會讓別人的生命陷入危險中。
要認識到公路號誌和緊急警報系統被駭的風險,就必須專注在一個事實上,現在我們所看到的假消息都很有趣,同時荒謬而令人難以置信。我們會發現這是個笑話而不會採取行動。但如果這消息雖然是捏造的,但卻像是真的時,會發生什麼事呢?
根據趨勢科技針對臉書用戶進行的「你的臉書感情狀態」調查顯示,超過6成的網友會在分手後持續關注舊情人的臉書,且超過7成受訪者表示「寧願一天不看國內外新聞,也無法忍受一天不看心儀者的臉書動態」。然而,調查中也發現,僅有3成網友每月檢查一次臉書隱私設定,甚至有1成5從未更改過臉書隱私設定,顯示大部分網友在高度依賴臉書的情況下,仍未警覺到安全隱私設定的重要性。
趨勢科技發表「你的Facebook感情狀態」趣味調查,根據此份針對將近1,500位網友的調查顯示,超過7成的民眾會據實地在臉書上更新感情狀態。有64%民眾在分手後,仍會持續關注前情人動態。63%的人會在意自己的另一半是否加舊情人為臉書朋友。另外,甚至有超過7成的受訪者表示不能一天不關注心儀者的臉書動態。顯見多數民眾已將上臉書關注身邊朋友視為每日例行公事。
當網路釣魚進入行動世界
作者:Gelo Abendan
根據趨勢科技在2012年所觀察到的網路釣魚(Phishing)數量,可以看出網路犯罪份子已經開始針對新目標 – 行動設備。
在2012年,趨勢科技發現有4000個 網路釣魚(Phishing)網址是為了行動平台而設計。雖然這數字還不到該年度所有釣魚網址的百分之一,但還是可以看出行動設備(智慧型手機、平板電腦等)的確是會面臨網路釣魚(Phishing)攻擊的平台。
網路犯罪分子利用偽裝成正常網站的網路釣魚(Phishing)站來誘騙使用者透露出敏感資訊,像是使用者名稱、密碼,甚至是帳戶的詳細資料。
更值得擔心的是,這些網路釣魚攻擊偽裝成什麼樣的網站。在2012年,有75%的行動釣魚網址偽裝成知名銀行或金融單位網站。一旦使用者被誘騙洩露出這些網站的登錄資料,網路犯罪份子就可以利用這些偷來的資料,透過受害者帳號來進行未經授權的交易及購物。
網路犯罪分子利用Google眼鏡熱潮
網路犯罪分子都會想要利用流行而新鮮的事物。這裡有個案例分享,萬眾矚目的Google眼鏡也被用來當作社交工程陷阱( Social Engineering)誘餌,好引誘無辜受害者進入騙局。
趨勢科技發現當搜尋「free Google Glasses」(免費Google眼鏡)時,出現的前幾名搜尋結果中有一個是吸引人的YouTube連結,標題是「{FREE}] Google Project Glass [[FREE GOOGLE GLASSES]」:
這影片複製了原本的Google眼鏡在YouTube上的行銷影片。它還包括如何獲得免費Google眼鏡的資訊,參考下列截圖:
影片下面的文字寫著:
原文:
The future is here!
Google Project Glass is Augmented Reality Glasses
The glasses is not available for public,but it’s possible to get similar glasses for free!
Check it out: (移除了惡意連結)
譯文:
這就是未來
Google眼鏡是擴增實境眼鏡
這眼鏡尚未公開推出,但有機會可以免費獲得
可以到:(移除了惡意連結)
一旦使用者連到該網站,並遵循了如何獲得眼鏡的說明後,就會看到一個包含三個連結的網頁。點入這些連結本來應該會連到如何成為Google眼鏡測試者的說明頁面。
但其實點入這些連結只會將使用者帶入各種問卷調查騙局。有些甚至會透過輸入電話號碼和「確認碼」(透過簡訊發送到使用者自己的手機)到一個網站,讓使用者訂閱不必要的加值服務。
目前,使用者並無法獲得Google眼鏡。只能在八個多月前的2012 Google I/O上預購,而且一個如何創意使用Google眼鏡的活動才剛結束。趨勢科技建議使用者不要點入任何不熟的連結,尤其是那些好到無法置信的交易。(想到預購價要1500美元,這的確好到不可置信)。使用者同時也要小心可能會有騙局利用#IfIhadGlass活動。
趨勢科技已經封鎖了所有相關網站以保護使用者。
@原文出處:Cybercriminals Hop On the Google Project Glass Bandwagon
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎ 歡迎加入趨勢科技社群網站
