假扮宅配,冒充系統管理員…網購族和上班族必學防止社交工程信件上鉤7步驟

4koma-46-1 4koma-46-2 4koma-46-3 4koma-46-4

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;996 名公僕因為一封標題為「李宗瑞影片,趕快下載呦!」信件, 以上是因好奇心中了網路釣魚陷阱著名案例。
垃圾郵件是藉著博取收件者的信任感所設下的圈套。最近常見的手段即是偽裝成宅配業者寄出不在府通知郵件。例如:「您有包裹未取。詳情請點擊以下網址」等的文字記載。企圖誘導收件者進入不正當的網站,此手法近來頻頻可見。

假冒email系統管理員的郵件至特定的承辦人員信箱
假冒email系統管理員的郵件至特定的承辦人員信箱

Continue reading “假扮宅配,冒充系統管理員…網購族和上班族必學防止社交工程信件上鉤7步驟"

Google 宣布其安全瀏覽機制,將防範社交工程冒牌內容

為了打造更安全的上網體驗,Google去年 11 月才宣布強化其安全瀏覽 (Safe Browsing) 機制,現在又宣布其安全瀏覽機制將增加冒牌內容的防範。

 

八年多來,該公司的安全瀏覽機制一直在努力遏止網路不良份子的各種活動,包括傳統的網路釣魚,以及誤導使用者下載不良軟體或洩漏敏感資料,如:電話、密碼、甚至信用卡卡號。2015 年底,Google 又再度強化這項機制來掃蕩一些專門誘騙不知情使用者的社交工程詐騙,因為這些伎倆已經成為網路犯罪集團詐騙使用者的常見方式。 Continue reading “Google 宣布其安全瀏覽機制,將防範社交工程冒牌內容″

【新興騙局:BEC 】專門入侵企業高階主管郵件帳號,假交辦事項 ,真匯款詐財

一位會計師收到一封來自公司執行長的電子郵件,要他等待來自合作夥伴的電話,警告不要將郵件分享給任何人看,因為擔心監管單位會反彈。該公司最終因為匯款詐騙而損失48萬美元。

BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚(Phishing)手法達成

mail2

 

  對抗企業郵件受駭,該如何開始?

如果你公司的高階主管透過電子郵件要求你為業務支出匯款,你會怎麼做?

網路犯罪分子會奸詐地計畫社交工程(social engineering )和入侵電腦計畫來誘騙員工匯款,企業因為郵件詐騙而遭受嚴重的危險。此一新興的全球性威脅被稱為企業郵件受駭(business email compromise,BEC),光在2013年10月到2015年8月間就已經有79個國家的8,179家公司受害。

 BEC 詐騙為網路犯罪分子帶來可觀的收入。美國聯邦調查局光是過去一年就因為這類型的電子郵件而發出多次警告。美國聯邦調查局指出其目標是會與外國供應商合作或會定期進行電匯付款的公司。在去年二月,回報的受害者總數達到2,126家,損失達2億1,500萬美元。到了八月,受害者人數已激增到8,179家,損失增加到近8億美元。

你要怎麼保護自己的公司不要成為上述數字的一部分?

Continue reading “【新興騙局:BEC 】專門入侵企業高階主管郵件帳號,假交辦事項 ,真匯款詐財"

< 資安漫畫 > 資料外洩肇因於網路釣魚信

資安漫畫-社交工程信件與資料外洩

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

 

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!

【人,是最大安全漏洞】員工誤開有毒信,成為重大資安新聞事件共通點

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊,登上媒體版面;報導指出美國遭遇史上最大宗聯邦僱員個資遭駭案;可能導因於駭客將病毒電郵偽裝成同事間電郵,誘使收件人開啟,導致400萬筆個資遭竊;無獨有偶 員工誤開有毒郵件,日本國民年金機構外洩125萬筆個資!日本國民年金機構對外證實,由於職員使用電腦時開啟含病毒的電子郵件,導致機關內保存的國民年金相關個資外洩,目前已確定有125萬筆國民個資外洩。

 

最近大舉入侵台灣的勒索軟體 Ransomware 也經常使用類似的社交工程(social engineering )信件的手法,達到綁架電腦的目的。比如趨勢科技部落格報導過的這篇 勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件。"員工滿意度調查"、"免費星巴克"、"個人簡歷"….都是過去曾機發生過的網路釣魚信件主旨。(詳見本文誤點率高的十個網路釣魚主題類型 )

 

phishing 0608 HD

 

不要以為只有大咖會被攻擊,一般用戶也得在點擊滑鼠前三思

員工信箱是 APT 目標攻擊最佳掩護攻擊的進入點,比如攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件;電子偽裝成來資訊部門的系統更新通知….,這則新聞 CNN:俄羅斯駭進白宮 得手歐巴馬非公開行程也是以釣魚信件成功入侵白宮電腦系統。不要再以為只有大咖會被攻擊 ,本文將介紹10 個誤點率高的網路釣魚類型,如果你是中小型的企業,你不能指望免於這類型的攻擊。除了要確保員工的安全教育,中小型組織應該要找到結合郵件安全和終端防護的組合方案。一般用戶,也得在點擊滑鼠前三思而後行,因為以好奇心為誘餌的社交工程(social engineering )就在你身邊Continue reading “10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!"

電子機票、稅務、付款、採購單確認信,夾帶巨集病毒,覬覦個資

微軟在今年初報告巨集相關威脅被垃圾郵件用來散播惡意軟體的數量增加。同樣地,趨勢科技也看到了附加內嵌巨集的微軟Word文件與Excel 試算表的垃圾郵件在急劇增加。

巨集是一組用來自動執行某些工作的指令或程式碼,但最近又再度被那些壞份子用來自動化惡意軟體相關工作。下面是一些我們提到各種巨集惡意軟體的部落格文章:

 

 

最近垃圾郵件會散播BARTALEX惡意軟體

下圖的最新電子郵件樣本顯示出偽加拿大航空電子機票與錯的航空公司資訊以DOC檔案格式加到郵件內。開啟DOC檔案會帶來內含惡意巨集的文件。趨勢科技將其偵測為 W2KM_BARTALEX.EU

圖1、偽加拿大航空電子機票帶有惡意巨集DOC檔案

 

圖2、在微軟Word 2010中開啟時的巨集警告

Continue reading “電子機票、稅務、付款、採購單確認信,夾帶巨集病毒,覬覦個資"

多起網路攻擊以露骨情色誘人,受駭者羞於啟齒,疫發不可收拾!


Porn sites end user-blog

情色內容是網路犯罪伎倆的主流之一,網路犯罪份子以情色當誘餌,利用受駭者羞於回報的心理,大肆從容布局,近日有一起魚叉式網路釣魚(Phishing)以此類手法攻擊五個以色列組織(涵蓋政府、運輸、基礎設施、軍事和學術單位)及一個科威特組織。這讓攻擊者有更多的時間來利用惡意軟體從系統中獲取資訊。這意味著過去情色內容普遍被認為只針對個人用戶,但現在這股情色攻擊潮流也轉向APT攻擊 /目標攻擊。

攻擊整理幾個本部落格介紹過的曾經疫發不可收拾以情色當誘餌的案例:

想看 iCloud被駭明星影片,請先分享到fb?! 搜尋被駭明星關鍵字,當心病毒守株待兔

病毒說: 想看 iCloud被駭明星影片,請先分享到fb,受害者的塗鴉牆上充滿帶有惡意連結的垃圾訊息。
病毒以 iCloud被駭明星影片為誘因,讓受害者的塗鴉牆上充滿帶有惡意連結的垃圾訊息

 

「這個男人摸了一千個女孩的乳房」 影片勿點選對新一波臉書釣魚攻擊來襲

駭客透過臉書散播一個名為「這個男人摸了一千個女孩的乳房」的影片網址,一旦點選下載影片外掛元件後即陷入駭客陷阱,不但個人資料全都露,並會自動將此訊息傳送給好友,成為駭客散播有害訊息的幫兇
駭客透過臉書散播一個名為「這個男人摸了一千個女孩的乳房」的影片網址,一旦點選下載影片外掛元件後即陷入駭客陷阱,不但個人資料全都露,並會自動將此訊息傳送給好友,成為駭客散播有害訊息的幫兇

Continue reading “多起網路攻擊以露骨情色誘人,受駭者羞於啟齒,疫發不可收拾!"

“無法區分詐騙信件"網路釣魚得逞關鍵-從 eBay外洩百萬個資談社交工程

 

國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。

隱私 DLP pivacy

如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。

根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。

 

社交工程在eBay入侵外洩事件中扮演重要角色 

如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ,這已經成為網路犯罪戰略的一部分:

  • 社交工程,也就是用欺騙的方式,現在網路犯罪分子著重於金錢更甚於出名,所以大量的加以使用。它可能會用各種的形式出現。趨勢科技TrendLabs的報告 – 「社交工程如何運作」強調了常用的招數,例如假的「必點」社群媒體文章,要求立即採取行動的可疑電子郵件,和賽季或節日相關的太過優惠促銷等。
  • 與此同時,員工並沒有接受足夠的安全意識培訓。一份來自Enterprise Management Associates在2014年的研究發現,有超過一半的工作者沒有接受任何的安全意識培訓(SAT)。該報告調查了各種規模企業的600人。沒有安全意識培訓,人們可能容易在不安全的地方輸入認證資料或點入惡意連結
  • 並不是只有一般網路犯罪份子會利用社交工程(social engineering 。國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。 

在eBay案例中,社交工程(social engineering 做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。

攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。

eBay外洩事件的長期影響:更多社交工程 

社交工程(social engineering 會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。

社交工程(social engineering 會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。

「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」

魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。

企業可以做些什麼來避免像eBay這樣的事件?

eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:

冒用多家公司內嵌Dropbox連結散播的UPATRE惡意軟體

趨勢科技最近看到好幾起垃圾郵件(SPAM)會利用熱門的檔案代管服務 – Dropbox。郵件的內嵌連結會下載UPATRE惡意軟體變種。UPATRE以下載其他惡意軟體而惡名昭彰,其中包括ZBOT惡意軟體和CryptoLocker勒索軟體 Ransomware 和網銀木馬ZeuS,新變種甚至可以避開防毒軟體。

我們所看到的垃圾郵件樣本之一會偽裝成eFax傳真通知郵件,並且在郵件內文加入Dropbox連結。一旦不知情的使用者點入連結,就會被導到一個Dropbox網址,進而下載被偵測為TROJ_UPATRE.YYMV的惡意檔案。一旦執行,它會下載一個ZBOT變種,偵測為TSPY_ZBOT.YYMV,它會植入一個被偵測為RTKT_NECURS.MJYE的Rootkit程式。該NECURS變種會在受感染系統上停用安全解決方案,造成進一步的感染。

 

圖一、這些垃圾郵件樣本

 

圖二、正常的eFax電子郵件通知

Continue reading “冒用多家公司內嵌Dropbox連結散播的UPATRE惡意軟體"

< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)

 

台灣政府機關下載或開啟附件檔案之前請務必三思!趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動,名為「PLEAD」,犯罪份子使用魚叉式網路釣魚(Phishing)電子郵件,內含以「強制從右至左書寫」(RTLO) 技巧來偽裝檔名的附件,並利用 Windows 的漏洞來攻擊受害者,誘騙缺乏警戒的收件人開啟並下載惡意附件檔案,進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。

 

趨勢科技台灣區技術總監戴燊表示:「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元,這些字元是為了支援世界上從右至左書寫的語言,讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧,歹徒可將惡意檔案偽裝成看似無害的文件。」

專門攻擊台灣政府機關  新「鎖定目標攻擊」現身!
檔案名稱精心造假   引誘收件者下載惡意附件

趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出,在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。

APT

趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD,來自於其相關惡意軟體所發出後門指令的字母。

此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡,攻擊者利用RTLO(從右至左覆蓋)技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr顯示成xxx.rcs.pdf

在某些PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術,如同一起針對台灣某部會的案例,聲稱是關於技術顧問會議的參考資料:

圖一:寄送至台灣政府單位的電子郵件

 

一旦.7z附加檔案被解開,收件者會看到兩個檔案,看來像一個PowerPoint文件和一個Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元,可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。

此威脅的主角還包括一個用作誘餌的.DOC文件,圖二內的第二個檔案,其唯一的作用是增加電子郵件的可信度。

針對台灣政府單位的APT 攻擊

圖二:解開的附件檔顯示RTLO伎倆作用在.SCR檔案上

 

為了進一步讓受害者相信.SCR檔案是PPT文件,這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。

針對台灣政府單位的APT 攻擊

圖三:.SCR產生這個PPT檔案作為誘餌

 

另一封電子郵件偽裝成台商企業的統計數據:

針對台灣政府單位的APT 攻擊
針對台灣政府單位的APT 攻擊

圖四:第二封電子郵件樣本,被寄送到不同的台灣政府單位

 

針對台灣政府單位的APT 攻擊

圖五:附件檔解開後發現該檔案是個可執行檔

Continue reading “< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)"