何謂 - 資安趨勢部落格

什麼是社交工程（social engineering ）陷阱/詐騙?

2019 年 07 月 16 日2021 年 08 月 23 日趨勢科技 TrendMicro

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;996 名公僕因為一封標題為「李宗瑞影片，趕快下載呦！」信件, 以上是因好奇心中了社交工程陷阱著名案例。

你可以強化各種防禦措施，但人類的情感可能是整個安全防護體系中最脆弱的一個環節。正如趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言，「您的許多連線可能都十分安全，唯有椅子和鍵盤之間的這個連線可能造成問題。」

社交工程技巧：操控人類心理的藝術

社交工程技巧涵蓋許多用以操控人類心理，使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套利用目前備受矚目的重大事件與新聞作為誘餌，無論是政治、運動、娛樂性質，同時也不分全球性或地區性。此外，社交工程圈套也可能利用日常活動作為誘餌，例如線上理財、投資、帳單管理以及購物等等。

您今天收到了哪些垃圾郵件？

您或許曾受吸引而去閱讀一些您收到的垃圾郵件的標題：

垃圾郵件是藉著博取收件者的信任感所設下的圈套。最近常見的手段即是偽裝成宅配業者寄出不在府通知郵件。例如：「您有包裹未取。詳情請點擊以下網址」等的文字記載」或是讓很多 FB 用戶上當的「 12 小時內不驗證你的 Facebook 帳號,將被永久停權」 ,都在企圖誘導收件者進入不正當的網站，此手法近來頻頻可見。包誇近年大舉入侵全球的勒索病毒 Ransomware (勒索軟體/綁架病毒) 。

這些社交工程信件,常利用熱門政治新聞、宗教、文化、社會、環保以及科技活動相關議題，以及名名人八卦、慘劇、天災等等為散播主旨。
每年報稅期間’網路罪犯總會冒用稅務機關的標誌，試圖引誘納稅人中計。中國發生慘烈的大地震期間，風暴傀儡網路隨即散發中國再度遭地震襲擊的假新聞，垃圾郵件如洪水般湧入使用者的收件匣。這些垃圾郵件夾帶一個影片連結，一旦按下之後，便會下載一隻如蟲 (WORM_NUWAR.YH) 變更受害電腦設定，使之成為傀儡網路的成員。

無庸置疑：社交工程技巧極為有效

早在病毒問世之際，網路罪犯便開始使用社交工程技巧。雖然電腦威脅不斷進化，但有一個事實從未曾改變：社交工程技巧的有效性。社交工程技巧的成功可歸因於它利用人類先天具有的情感，例如同理心、同情心、好奇及心恐懼等。人們會對運動員的成就讚嘆不已，對病痛感到畏懼，對於遭受天災侵襲的景況心生悲憫。社交工程技巧操弄這些情感，藉此引誘人們採取網路罪犯所期待的行動，以便讓他們的惡毒詭計得逞。

社交工程技巧能夠奏效的原因在於它利用人類輕信他人的天性。輕信他人的天性導致許多人可能成為攻擊行動的受害者。目前已有許多軟硬體能有效防範各式各樣的網路威脅。然而，整個防護體系中最脆弱的一個環節也是最可能遭受攻擊之處。就此而言，這個最脆弱的環節指的就是使用者。

社交工程技巧的演進

雖然社交工程技巧已經流傳多年，但仍一再被利用，並且不斷演進。各式各樣的資安威脅，都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在，蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言，利用各地的重大事件或新聞為誘餌，使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測，同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家，這種方式可能特別有效。

什麼是社交工程惡意程式？

社交工程惡意程式專門假冒其他軟體和/或隱藏在其他軟體之內，引誘使用者下載並安裝該軟體，藉此趁機安裝惡意軟體。社交工程惡意程式不論對個人或對公司都會造成嚴重的風險，進而導致機密資訊遭盜用竊取、損毀或外流。

由於今日經由網頁感染的惡意程式佔所有惡意程式的50% 以上，因此這類威脅必須透過更精良的技術和資源來防範，而這也是桌上型電腦資訊安全產品目前努力的方向。

如何避免誤觸社交工程信件？

如果信件當中含有網站連結，請將滑鼠移到連結上停一下，看看其顯示的網址是否與電子郵件的來源相同。例如，發信的公司網域名稱與網址所顯示的網域可能不同。
仔細觀察訊息內容，如果它一直在催促您盡快開啟某個附件檔案或點選某個連結，那很可能有詐。
先將附件檔案另存新檔，然後掃描看看是否為惡意檔案，切勿貿然直接從電子郵件內開啟附件檔案。

延伸閱讀:

PC-cillin 雲端版整合 AI 人工智慧的多層式防護，精準預測即時抵禦未知威脅》即刻免費下載試用

假防毒軟體裝神弄鬼, 新北市王同學付費解毒愈解愈毒(認識假防毒軟體 Fake AV)

2013 年 08 月 13 日2023 年 03 月 14 日趨勢科技 TrendMicro

刑事局接獲報案得知，新北市王姓女研究生（廿四歲）點擊網路釣魚（Phishing）的連結，隨即出現即時掃毒畫面的方式，緊接呈現掃毒結果，跑出十餘筆病毒資料，詳細記錄被感染的電腦位置。她多次重新開機，不是顯示微軟開機的黑畫面，就是藍底白字的英文說明，指電腦中毒無法正常運作，必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」，結果非但不解毒，反而讓電腦中毒,不僅詐騙刷卡費用，也盜取個人資料。

編按:其實這些畫面可能是螢幕保護程式,請參考:當機又重開機！原來是流氓軟體利用螢幕保護程式製造恐慌)

本案例「好心」地跳出防毒軟體的購買頁面名為「Privacy Protection」假防毒軟體，還區分一年及三年的不同版本。王女不疑有他線上刷卡購買兩千元後,隨即收到電子郵件傳來一個壓縮檔案，包含金鑰密碼；但她解除壓縮執行軟體，電腦卻毫無動靜，不僅不能解毒，電腦還中毒，發現是騙局一場後，氣得向警方報案。

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台,請參考假防毒軟體從電腦移植到了 Android 平台

Virus Shield 於2014年 3 月 28 日首次現身 Google Play 商店，以 3.99 美元的價格販售。根據趨勢科技的調查，其購買及下載的人次超過 10,000 以上。事實上，這款惡意程式在一星期內即登上銷售排行榜第一。

趨勢科技對這款 App 程式做了進一步的分析來了解其運作。根據分析顯示，該程式會在畫面上顯示一個打叉 (X) 的圖案，當使用者點一下之後就會變成打勾 (V) 圖案。該程式在應用程式商店的說明當中運用了一些聰明的社交工程技巧，讓人以為它是一個合法的應用程式，因而才會購買及下載。其中一項就是它獲得了 4.7 顆星的驚人評價與 Google+ 社群的 2,500 次推薦。該程式後來被 Google Play 下架,但仍在網路上流通，而且歹徒很可能會在其他網路商店上架，或者透過直接下載的方式販售 (這是美國以外地區最流行的攻擊手法)。

這類 App 程式突顯了趨勢科技「行動裝置應用程式信譽評等服務」一項全新功能對保護客戶安全的重要性。除了原有的靜態分析之外，行動裝置應用程式信譽評等服務現在更利用一套先進的動態分析環境來發現諸如此類的假應用程式。

全文：全球下載破萬次的資安付費App 竟毫無功能?!付費防毒程式「Virus Shield」假防毒軟體,已遭Google Play下架 ,用戶切勿上當

其實假防毒軟體在國外已經散播好多年了,以下文章介紹各種假防毒軟體詐騙手法

什麼是假防毒軟體 Fake AV(案例:假Facebook 密碼更新通知信，內有”假掃瞄，真騙錢”木馬)

「我都用免費的防毒軟體！」但你怎麼知道你那些正在掃毒的畫面是 flash 做的假頁面?Google曾經提出的報告，網路上的惡意程式中，有15%是假的防毒軟體所造成的，而這些假防毒軟體已經進化到集團操作，可以欺騙搜尋引擎的網站排名機制，用作弊的方式讓刻意製作好的假防毒軟體的網站搜尋排序在前面,塑造高下載率的假象。

橫跨 6個國家破百萬名的消費者購買假防毒軟體

有個新聞說美國聯邦法院以高達1.63億美元的重罰判決一名販售假防毒軟體的女性，該女子透過社交工程陷阱( Social Engineering)，欺騙使用者讓他們以為自己的電腦潛藏病毒或其他惡意軟體,接著推銷一經付費便可立即下載使用的假防毒軟體。該集團誘騙橫跨 6個國家破百萬名的消費者購買假防毒軟體。相關報導:FTC slaps scareware distributor with $163 million fine

最早的假防毒軟體利用恐嚇軟體手法（scareware tactics）憑藉的是讓使用者信以為真的感染警告。不過這個手法的威脅情勢已轉化為營利為主，促使網路犯罪份子運用更多的迂迴狡詐的技術。

以下以 facebook 密碼詐騙信為案例

假Facebook 密碼更新通知信，內有”假掃瞄，真騙錢”木馬

一封來自 The Facebook Team 的信件，以標題“Facebook Password Reset Confirmation,”( Facebook 密碼確認) 大量散播，該信件內容說明因為安全起見收件者的facebook 密碼已經更新，新的密碼在附件中。經趨勢科技測試發現裡頭有一隻木馬TROJ_BREDLAB.SMF ，一經執行會連線到某個網站下載假防毒軟體TROJ_FAKEAV.BLV，藉以進行”假掃瞄，真騙錢”詐騙，受害者不只會被騙錢買沒有掃瞄能力的完整版防毒軟體，還會被偷信用卡帳號資訊。

假的Facebook 密碼通知信

新的Facebook 密碼附件其實含有木馬

一旦執行會出現電腦已遭感染訊息

假防毒軟體會引導受害者進一步買完整版防毒軟體，還有維妙維肖的得獎保證

現在最常用的是Black_Hat SEO 搜尋引擎毒化尋引擎毒化的手法，模仿即時防毒軟體產品掃瞄電腦的畫面，讓使用者只要進入某些特定網站就會遭感染。

進化版能測知目標電腦上執行的作業系統版本，然後跟著調整相對應的詐騙介面。

感染後會如何？

1.要脅付費購買才能清除毒窟

這個會自動在您電腦開機時幫你掃毒的假好心軟體,在你被看起來很逼真的掃瞄頁面嚇到後，然後會告訴你共抓到有多少隻病毒, 如果你想要徹底清除病毒，請輸入信用卡資料付費。所以也有人把這些假防毒真詐財的軟體成為恐嚇軟體。

2.假線上掃毒騙個資

以Flash動畫做出正在掃描的視窗頁面，引誘受害者去點選相關的設定,其實是下載病毒,這些假的線上掃毒服務,聲稱要登錄 Email 才能使用，他們也可能冒用其他廠商的免費線上掃毒服務，賺黑心錢。

3.難以解除安裝，無法執行 Windows 更新

一旦感染到假防毒軟體，就難以解除安裝。甚至無法再執行Windows更新，或安裝某些防毒軟體。

繼續閱讀

什麼是「Botnet傀儡殭屍網路」？

2011 年 10 月 13 日2017 年 02 月 08 日趨勢科技 TrendMicro

什麼是「Botnet傀儡網路」？跟「殭屍網路」是一樣的嗎？

Botnet傀儡網路另一個說法是殭屍網路，顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式，即會像傀儡一般任人擺佈執行各種惡意行為，當一部電腦成為傀儡網路 Botnet的一部份時，意味著Bot操縱者可將募集到的龐大網路軍團當作機器人來遠端遙控，從事各種非法入侵近年來尤以藉著「網頁掛馬」（入侵合法網頁植入惡意連結）進行資料竊取危害甚遽。瀏覽網頁者在無法察覺的情況下，連線到殭屍網路背景植入間諜軟體等載惡意程式，並從此成為殭屍網路的一員，繼續壯大殭屍網路軍團。

電腦被遠端遙控會有什麼後果呢?請參考這個案例烏龍派出所！駭客網路預告殺人　日本警方抓錯人日本警方根據網路IP位置，陸續逮捕一名43歲動漫表演家及大阪府津市的一位28歲無業男子。不過，就在大阪府檢方將表演家起訴之後，9月中旬與三重縣警方開始交換辦案資訊時，發現兩人的電腦遭到新型病毒感染，遭人從遠端遙控，留下這些帶有犯罪內容的訊息。

Bot 殭屍網路是網路犯罪者最常使用來從事詐欺與竊盜的主要管道，除此之外，Bot 網路還可用於針對商業網站發動聯合攻擊，讓這些網站無法使用。由於感染殭屍病毒多數沒有徵兆，一般受害者通常並不知道電腦已經遭受遠端控制。

「Botnet傀儡網路/殭屍網路」的起源？

1988年時，Jarkko Oikarinen在芬蘭的歐蘆大學(University of Oulu)設計出一套線上聊天系統，稱之為Internet relay chat (IRC)，隔年Greg Lindahl在IRC架構上撰寫了GM (Game Manager for the Hunt the Wumpus game)，這是第一個IRC bot，當初的bot只是一個方便管理系統的工具，並未有任何惡意的行為，然而現今的bot已經成為網路安全的一大隱患，也成為駭客賺錢的有利工具。

繼續閱讀