趨勢科技發現有個提供號稱可增加Instagram粉絲服務的網站,不過和之前的攻擊不同,這些網站需要付費,金額根據你所想要的粉絲數量而定。
圖一、Instagram粉絲價目表
儘管這網站使用大量的Instagram標誌,但它和這服務沒有關係。它提供一個訂購表格來要求使用者姓名、電子郵件地址、電話號碼和付費資訊。即使你試著用假帳號來填這表格,它還是會接受任何使用者所輸入的資訊。它甚至提供關於網站本身的資訊,還有常見問答網頁。
圖二、關於網頁
Pinterest密碼更新成功通知,一查看新密碼就中毒?!原來是網路釣魚
Blackhole 漏洞攻擊套件垃圾郵件侵襲 Pinterest
社交網站一向是網路犯罪者各種不同惡意活動經常使用的媒介,其手法大多利用網路釣魚(Phishing)和垃圾郵件(SPAM)。而 Blackhole 漏洞攻擊套件 (簡稱 BHEK) 垃圾郵件正是讓網際網路使用者困擾已久的此類攻擊之一 。BHEK 垃圾郵件行動專門利用知名品牌與網站來誘騙使用者。
正因如此,最近看到 BHEK 垃圾郵件開始侵襲 Pinterest 網站與該網站的使用者,其實一點也不令人意外。該網站在遭遇這波攻垃圾郵件攻擊行動之前,就曾經遭受過其他威脅,例如問卷調查詐騙與專門將使用者導向惡意網站的垃圾郵件。
目前趨勢科技已採集到這波垃圾郵件的樣本,並且分析其感染過程,以下是整個感染過程的詳細步驟:
- 使用者的信箱收到垃圾郵件,垃圾郵件看起來就像 Pinterest 所發出的電子郵件通知,告訴使用者其密碼已變更成功,並且附上一個連結讓使用者查看新的密碼。
- 使用者若點選了該連結,就會被重導至一系列的網站,此重導程式碼就是趨勢科技所偵測到的 HTML_IFRAME.USR。
- HTML_IFRAME.USR接著下載另一個惡意程式到系統上:TROJ_PIDIEF.USR,後者又在系統上植入 BKDR_KRIDEX.KA。這個最後植入的程式是一個後門惡意程式,能夠執行遠端駭客所下達的指令,使系統出現安全漏洞。 繼續閱讀
隱私權與安全的決擇:雲端廠商能在兩者之間取得平衡嗎?
趨勢科技在 2013 年預測當中預測了網路犯罪者將會濫用合法的雲端服務來從事非法活動。很不幸的,這件事已經成真,而且就今日的局勢來看,情況不太可能好轉。
例如,我們看到一波垃圾郵件(SPAM)行動將 Dropbox 當成惡意程式的集散地。這並非合法雲端服務遭到惡意濫用的唯一個案,只是最近較引人注意的案例而已。
此問題並不僅限於單一熱門服務而已,其他諸如 Evernote 與 Sendspace 等網站也都曾經遭人濫用。我們不禁要問,這些服務是否能夠防止同樣的事件再度發生。不過,我們也聽到了另一種要求的聲音:隱私權。
今日的人比以往更在意自己的資料是否被政府看到,或者被服務供應商用於牟利。因此,人們會要求更多的隱私權。例如,對於雲端儲存服務廠商,人們可能會要求廠商不能知道他們在伺服器上存放了什麼檔案。對廠商來說,客戶的資料將只是一堆無法解開的機器碼,毫無意義。
但資料隱私與資料安全基本上存在著一些衝突。舉例來說,儲存服務廠商希望能防止其服務遭歹徒用於散布惡意程式,所以就採用了一些強大的軟體解決方案,如:檔案掃瞄、沙盒 (Sandbox) 模擬測試等等,來檢查所有上傳的檔案。先不論成本和伺服器規格必須因而提高,這樣的作法「還」可能被許多使用者視為一種監視行為。(在今日的氛圍下,這樣的指控很容易就能摧毀一家公司。)
另一種相反的情況是:廠商提供完全私密的儲存空間,「所有的」加密都在使用者裝置上執行,廠商對其網站上所儲存的內容全然不知。這樣服務肯定會被歹徒所利用,雖然雲端廠商必須滿足合法客戶對於安全與隱私權的要求,但卻會造就一套無法偵查使用者非法行為的系統。
當然,前述兩者都是極端的情況,不過卻也點出所有雲端供應商皆必須面臨的決擇。廠商必須找到一個符合其策略和商業模式的平衡點。然而,這就意謂其服務不可避免地會遭到某種程度的濫用,而且很可能被視為做生意的必然代價。 繼續閱讀
錯誤的資料外洩通知個案:Ubisoft 資料外洩通知信件
倘若您的企業不幸必須通知客戶有關資料外洩的情況,千萬不要在密碼重設通知信件當中提供連結,這等於鼓勵客戶養成不安全的習慣,使得他們很容易在這類事件發生之後遭到網路釣魚(Phishing)攻擊。請務必建議客戶自行前往您的網站,然後依照畫面上很容易找到的指示操作。
Rik Ferguson | 趨勢科技全球安全研究副總
我收到一封來自遊戲出版商 Ubisoft 的資料外洩通知信件,信件內容表示:
「最近我們發現駭客入侵了我們其中一個網站,並且擅自存取了我們的線上系統。我們立即採取了必要措施來阻止存取,同時亦著手調查此次事件,並且復原遭入侵的系統。
在這過程當中,我們發現我們的帳號資料庫已遭非法存取,包括:使用者名稱、電子郵件地址,還有已加密的密碼。請注意,Ubisoft 並未儲存任何個人付款資訊,因此您的扣款卡/信用卡資料並未受到此次入侵影響。
有鑑於此,我們建議您修改下列帳號的密碼:<帳號名稱>。」
此外,Ubisoft 部落格上的進一步說明指出,駭客使用了偷來的帳號密碼來非法存取該公司的系統。
接著,通知郵件表示:「為了謹慎起見,我們也建議您至任何您使用相同或類似密碼的網站上修改密碼。」這一點在這類情況之下確實是一項良好建議,但若仔細推敲 Ubisoft 的部落格內容就會發現,其情況可能比「為了謹慎起見」更加危急。
該公司的部落格文章表示:「密碼並非以純文字方式儲存,而是以編碼過的數值儲存。這些數值無法逆向解開,但卻可以強行破解,尤其是當密碼強度不足時。這就是為何我們建議使用者修改密碼。」 繼續閱讀
三個良好的近距離無線通訊(NFC)使用習慣
我在瑞士的hashdays安全會議上談論了關於近距離無線通訊(NFC)的安全性。具體來說,是關於個人和企業可以如何安全地使用它。
雖然NFC技術還沒有被廣泛的使用,但早期採用者(像是這部落格的許多讀者)已經在生活裡開始使用。有些手機製造商也開始宣傳著他們的行動設備有加入NFC技術。在我的談話裡,我討論了哪些NFC應用可以被視為安全,而哪些還只是「方便」而已,以及企業可以做些什麼來保護他們的客戶安全。和哪些NFC功能應該被設計實現或完全避免。
對於一般使用者,我談話裡最重要的一部分是他們可以如何保護自己的安全。養成良好的NFC使用習慣是從來不嫌早的。哪些習慣可以讓你保持安全呢?它們就是:
- 將行動設備上鎖。一般來說,設備必須要開啟或解鎖時才可以讀取NFC標籤。只要簡單地將螢幕上鎖(即使沒有設定密碼)就可以保護使用者免於這些威脅。
- 至於被動標籤,可以利用RFID/NFC阻斷裝置(像是錢包)。被動標籤會在NFC範圍下發射固定的訊息,這代表如果隨身攜帶這些設備而沒有使用阻斷裝置會有些微的隱私風險(防靜電袋也可以阻斷RFID設備)。對於行動設備來說,因為設備上鎖時將會自動關閉NFC讀取器,所以就沒必要進行這項預防措施。
- 在行動設備上使用NFC讀取應用程式。在預設狀況下,如果有在NFC標籤內偵測到網址的話,大多數行動設備就會去打開它。如果你無法確認這標籤的話,就不應該盲目地打開它。可以利用像NFC TagInfo或NFC TagInfo by NXP的應用程式來預先讀取標籤。這應用程式可以告訴你標籤上有什麼資訊。可以幫助你判斷是不是要去掃描它。 繼續閱讀