古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

強烈建議使用者不要使用Classic Ether Wallet的服務,因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣(古典以太坊,ETC),在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意,古典以太坊與 Ethereum(以太坊,ETH)是不同的,這是因為一次駭客事件讓以太坊社群分裂所造成

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商,進而劫持了該網站

根據 Ethereum Classic的開發者,駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商,進而劫持了該網站(偽裝成高階主管或上級主管是常見的社交工程詐騙手法,常被用來取得寶貴資料)。經由此作法,駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來,讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件,並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告,不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導,數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者,讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限,詐騙者會鎖定受害者,從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難,因為交易在本質上是不可逆轉的。

除了社交工程外,還有其他更加複雜的威脅,尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上,而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年,我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進,有漏洞的物聯網(IoT ,Internet of Thing)設備成為首要目標。從數位錄影機到路由器和連網監控攝影機,惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年,我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統,可能會影響生產力和運作能力,進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統,需要小心警慎和積極作為: Continue reading “古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議”

駭客如何反將組織一軍?

伺機而動:駭客如何反制防護策略並用於攻擊

在運動電影、戰爭故事和犯罪情節當中,總會出現下列主軸:知己知彼,百戰百勝。

人們在層層設定 (包括網路安全領域) 中,採用了這種戰術,且通常成功率很高。安全研究人員不斷努力徹查並瞭解駭客使用的技術,以便打造可防禦特定威脅的目標式防護。不過,大多數人都沒有發現到,在防護端另一側的敵人,也正發展出相同的策略趨勢。

惡意的駭客與白帽駭客一樣,都持續精進自己的技術。再者,現在有些攻擊者並不會採用已知的系統漏洞,反而想利用組織部署的惡意行動封鎖防護措施,來反將組織一軍。

這些安全措施本應讓消費者與企業用來保護最重要的資料與內容,為何反被網路罪犯作為攻擊武器?接下來,讓我們來看看目前駭客會使用的幾個狡猾技術。

員工平日訓練有素? 駭客總有辦法突破心防

許多企業的安全防禦基礎之一,是對員工進行專業的特殊培訓。這有助員工瞭解如何找出具有攻擊徵兆的惡意活動,並掌握自己在公司整體資料防護中所扮演的個別角色。許多的培訓課程都教導員工,除非獲得授權人或團體的許可,否則都不要提供個人或公司的敏感詳細資料。

對此,駭客可偽造冒牌電子郵件,引誘受害者點選會干擾內部系統的惡意連結。

擬定這個策略後,駭客即開始利用網路釣魚(Phishing),該技術會依靠仿真的訊息,說服受害者提供敏感資訊。在這類攻擊當中,攻擊者可能會偽造來自權威機構 (例如銀行或執法部門) 且看似合法的訊息。

在某些案例中,當攻擊者鎖定特定企業的成員時,駭客會竭盡所能地瞭解這些對象,並偽造出一封與他們高度相關的訊息。其中可能包括該對象的姓名、公司職稱和其他詳細資料,以吸引閱信者的目光,並誘使他們點選惡意連結或足以干擾系統的附件。 Continue reading “駭客如何反將組織一軍?”

假扮宅配,冒充系統管理員…網購族和上班族必學防止社交工程信件上鉤7步驟

4koma-46-1 4koma-46-2 4koma-46-3 4koma-46-4

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;996 名公僕因為一封標題為「李宗瑞影片,趕快下載呦!」信件, 以上是因好奇心中了網路釣魚陷阱著名案例。
垃圾郵件是藉著博取收件者的信任感所設下的圈套。最近常見的手段即是偽裝成宅配業者寄出不在府通知郵件。例如:「您有包裹未取。詳情請點擊以下網址」等的文字記載。企圖誘導收件者進入不正當的網站,此手法近來頻頻可見。

假冒email系統管理員的郵件至特定的承辦人員信箱
假冒email系統管理員的郵件至特定的承辦人員信箱

Continue reading “假扮宅配,冒充系統管理員…網購族和上班族必學防止社交工程信件上鉤7步驟”

Google 宣布其安全瀏覽機制,將防範社交工程冒牌內容

為了打造更安全的上網體驗,Google去年 11 月才宣布強化其安全瀏覽 (Safe Browsing) 機制,現在又宣布其安全瀏覽機制將增加冒牌內容的防範。

 

八年多來,該公司的安全瀏覽機制一直在努力遏止網路不良份子的各種活動,包括傳統的網路釣魚,以及誤導使用者下載不良軟體或洩漏敏感資料,如:電話、密碼、甚至信用卡卡號。2015 年底,Google 又再度強化這項機制來掃蕩一些專門誘騙不知情使用者的社交工程詐騙,因為這些伎倆已經成為網路犯罪集團詐騙使用者的常見方式。 Continue reading “Google 宣布其安全瀏覽機制,將防範社交工程冒牌內容”

【新興騙局:BEC 】專門入侵企業高階主管郵件帳號,假交辦事項 ,真匯款詐財

一位會計師收到一封來自公司執行長的電子郵件,要他等待來自合作夥伴的電話,警告不要將郵件分享給任何人看,因為擔心監管單位會反彈。該公司最終因為匯款詐騙而損失48萬美元。

BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚(Phishing)手法達成

mail2

 

  對抗企業郵件受駭,該如何開始?

如果你公司的高階主管透過電子郵件要求你為業務支出匯款,你會怎麼做?

網路犯罪分子會奸詐地計畫社交工程(social engineering )和入侵電腦計畫來誘騙員工匯款,企業因為郵件詐騙而遭受嚴重的危險。此一新興的全球性威脅被稱為企業郵件受駭(business email compromise,BEC),光在2013年10月到2015年8月間就已經有79個國家的8,179家公司受害。

 BEC 詐騙為網路犯罪分子帶來可觀的收入。美國聯邦調查局光是過去一年就因為這類型的電子郵件而發出多次警告。美國聯邦調查局指出其目標是會與外國供應商合作或會定期進行電匯付款的公司。在去年二月,回報的受害者總數達到2,126家,損失達2億1,500萬美元。到了八月,受害者人數已激增到8,179家,損失增加到近8億美元。

你要怎麼保護自己的公司不要成為上述數字的一部分?

Continue reading “【新興騙局:BEC 】專門入侵企業高階主管郵件帳號,假交辦事項 ,真匯款詐財”

< 資安漫畫 > 資料外洩肇因於網路釣魚信

資安漫畫-社交工程信件與資料外洩

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

 

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!

【人,是最大安全漏洞】員工誤開有毒信,成為重大資安新聞事件共通點

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊,登上媒體版面;報導指出美國遭遇史上最大宗聯邦僱員個資遭駭案;可能導因於駭客將病毒電郵偽裝成同事間電郵,誘使收件人開啟,導致400萬筆個資遭竊;無獨有偶 員工誤開有毒郵件,日本國民年金機構外洩125萬筆個資!日本國民年金機構對外證實,由於職員使用電腦時開啟含病毒的電子郵件,導致機關內保存的國民年金相關個資外洩,目前已確定有125萬筆國民個資外洩。

 

最近大舉入侵台灣的勒索軟體 Ransomware 也經常使用類似的社交工程(social engineering )信件的手法,達到綁架電腦的目的。比如趨勢科技部落格報導過的這篇 勒索軟體假冒 Chrome,Facebook 和 PayPal發網路釣魚電子郵件。”員工滿意度調查”、”免費星巴克”、”個人簡歷”….都是過去曾機發生過的網路釣魚信件主旨。(詳見本文誤點率高的十個網路釣魚主題類型 )

 

phishing 0608 HD

 

不要以為只有大咖會被攻擊,一般用戶也得在點擊滑鼠前三思

員工信箱是 APT 目標攻擊最佳掩護攻擊的進入點,比如攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件;電子偽裝成來資訊部門的系統更新通知….,這則新聞 CNN:俄羅斯駭進白宮 得手歐巴馬非公開行程也是以釣魚信件成功入侵白宮電腦系統。不要再以為只有大咖會被攻擊 ,本文將介紹10 個誤點率高的網路釣魚類型,如果你是中小型的企業,你不能指望免於這類型的攻擊。除了要確保員工的安全教育,中小型組織應該要找到結合郵件安全和終端防護的組合方案。一般用戶,也得在點擊滑鼠前三思而後行,因為以好奇心為誘餌的社交工程(social engineering )就在你身邊Continue reading “10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!”

電子機票、稅務、付款、採購單確認信,夾帶巨集病毒,覬覦個資

微軟在今年初報告巨集相關威脅被垃圾郵件用來散播惡意軟體的數量增加。同樣地,趨勢科技也看到了附加內嵌巨集的微軟Word文件與Excel 試算表的垃圾郵件在急劇增加。

巨集是一組用來自動執行某些工作的指令或程式碼,但最近又再度被那些壞份子用來自動化惡意軟體相關工作。下面是一些我們提到各種巨集惡意軟體的部落格文章:

 

 

最近垃圾郵件會散播BARTALEX惡意軟體

下圖的最新電子郵件樣本顯示出偽加拿大航空電子機票與錯的航空公司資訊以DOC檔案格式加到郵件內。開啟DOC檔案會帶來內含惡意巨集的文件。趨勢科技將其偵測為 W2KM_BARTALEX.EU

圖1、偽加拿大航空電子機票帶有惡意巨集DOC檔案

 

圖2、在微軟Word 2010中開啟時的巨集警告

Continue reading “電子機票、稅務、付款、採購單確認信,夾帶巨集病毒,覬覦個資”

多起網路攻擊以露骨情色誘人,受駭者羞於啟齒,疫發不可收拾!


Porn sites end user-blog

情色內容是網路犯罪伎倆的主流之一,網路犯罪份子以情色當誘餌,利用受駭者羞於回報的心理,大肆從容布局,近日有一起魚叉式網路釣魚(Phishing)以此類手法攻擊五個以色列組織(涵蓋政府、運輸、基礎設施、軍事和學術單位)及一個科威特組織。這讓攻擊者有更多的時間來利用惡意軟體從系統中獲取資訊。這意味著過去情色內容普遍被認為只針對個人用戶,但現在這股情色攻擊潮流也轉向APT攻擊 /目標攻擊。

攻擊整理幾個本部落格介紹過的曾經疫發不可收拾以情色當誘餌的案例:

想看 iCloud被駭明星影片,請先分享到fb?! 搜尋被駭明星關鍵字,當心病毒守株待兔

病毒說: 想看 iCloud被駭明星影片,請先分享到fb,受害者的塗鴉牆上充滿帶有惡意連結的垃圾訊息。
病毒以 iCloud被駭明星影片為誘因,讓受害者的塗鴉牆上充滿帶有惡意連結的垃圾訊息

 

「這個男人摸了一千個女孩的乳房」 影片勿點選對新一波臉書釣魚攻擊來襲

駭客透過臉書散播一個名為「這個男人摸了一千個女孩的乳房」的影片網址,一旦點選下載影片外掛元件後即陷入駭客陷阱,不但個人資料全都露,並會自動將此訊息傳送給好友,成為駭客散播有害訊息的幫兇
駭客透過臉書散播一個名為「這個男人摸了一千個女孩的乳房」的影片網址,一旦點選下載影片外掛元件後即陷入駭客陷阱,不但個人資料全都露,並會自動將此訊息傳送給好友,成為駭客散播有害訊息的幫兇

Continue reading “多起網路攻擊以露骨情色誘人,受駭者羞於啟齒,疫發不可收拾!”

“無法區分詐騙信件”網路釣魚得逞關鍵-從 eBay外洩百萬個資談社交工程

 

國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。

隱私 DLP pivacy

如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。

根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。

 

社交工程在eBay入侵外洩事件中扮演重要角色 

如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ,這已經成為網路犯罪戰略的一部分:

  • 社交工程,也就是用欺騙的方式,現在網路犯罪分子著重於金錢更甚於出名,所以大量的加以使用。它可能會用各種的形式出現。趨勢科技TrendLabs的報告 – 「社交工程如何運作」強調了常用的招數,例如假的「必點」社群媒體文章,要求立即採取行動的可疑電子郵件,和賽季或節日相關的太過優惠促銷等。
  • 與此同時,員工並沒有接受足夠的安全意識培訓。一份來自Enterprise Management Associates在2014年的研究發現,有超過一半的工作者沒有接受任何的安全意識培訓(SAT)。該報告調查了各種規模企業的600人。沒有安全意識培訓,人們可能容易在不安全的地方輸入認證資料或點入惡意連結
  • 並不是只有一般網路犯罪份子會利用社交工程(social engineering 。國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。 

在eBay案例中,社交工程(social engineering 做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。

攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。

eBay外洩事件的長期影響:更多社交工程 

社交工程(social engineering 會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。

的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。

社交工程(social engineering 會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。

「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」

魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。

企業可以做些什麼來避免像eBay這樣的事件?

eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業: