變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!

 

目前,鍵盤側錄程式仍是變臉詐騙最常用來竊取受害者帳號密碼的工具,且效果良好。但是,想要利用電子郵件來散布執行檔,在今日已經不太容易,因為垃圾郵件過濾軟體通常很快就會發現這類危險郵件並加以標註。反觀 HTML 檔案沒有立即的危險性,除非該檔案被判定為網路釣魚頁面,否則並不會被標註。

 

傳統上,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)都是利用鍵盤側錄程式來從受害電腦竊取使用者的帳號密碼。但是,使用附件方式來夾帶執行檔,通常會讓使用者起疑而不會點選附件檔案,因為執行檔有很高的機率是惡意程式。因此,趨勢科技最近發現一波改用 HTML 網頁為附件的網路釣魚(Phishing)郵件出現。

 

圖 1:夾帶 HTML 附件檔案的網路釣魚郵件。

一旦開啟該 HTML 附件檔案,就會啟動瀏覽器並顯示如下內容:

圖 2:HTML 網路釣魚頁面。 Continue reading “變臉詐騙 (BEC) :執行檔易被起疑心, 改用 HTML 附件讓你上鉤!”

OSX 更新畫面出現山寨版!網路釣魚夾帶惡意軟體,劫持 Apple OS X使用者網路流量

OSX_DOK惡意軟體(趨勢科技偵測為OSX_DOK.C)具備像濫用憑證和躲避防毒軟體等進階技術來感染Apple OSX作業系統電腦。這個惡意軟體專門針對瑞士銀行的用戶,利用網路釣魚(Phishing)攻擊來植入惡意軟體,最終利用中間人(MITM)攻擊來劫持使用者的網路流量。OSX_DOK.C就好像是另一個版本的WERDLOD(趨勢科技偵測為TROJ_WERDLOD,被用在Emmental行動的惡意軟體)。我們在本文章中會進一步探討這有趣的關聯。

 

《延伸閱讀》當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

 

網路釣魚信偽裝成蘇黎世警官,聲稱無法成功連絡到收件者

抵達方式和感染流程

圖1:OSX_DOK.C對Mac系統的感染流程

 

OSX_DOK.C會透過包含特定.zip或.docx檔案的網路釣魚郵件到達。趨勢科技所分析的樣本偽裝成蘇黎世警官,聲稱無法成功連絡到收件者。該郵件還夾帶兩個聲稱關於詢問使用者問題的檔案:一個是.zip檔案,這是個假 OSX應用程式,而另一個則是用 WERDLOD 針對Windows作業系統的.docx檔案。這兩個樣本都是銀行木馬程式,有著類似的功能。

郵件附件檔所用的檔案還包括以下例子:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • 2017.docx

 

刪除系統上的 App Store,出現全螢幕的假 OSX更新畫面

一旦點開網路釣魚郵件內的 docx 檔案,就會跳出一個警告視窗:

圖2:OSX上的警告視窗

 

之後會刪除系統上的App Store,接著出現全螢幕的假OSX更新畫面。

圖3:假 OSX更新畫面

Continue reading “OSX 更新畫面出現山寨版!網路釣魚夾帶惡意軟體,劫持 Apple OS X使用者網路流量”

【釣魚警訊 】網路釣魚信夾帶惡意 Word 、PDF 附件,” Download Now “藏玄機, ,當心帳號密碼被盜

釣魚網站竊取個資案件層出不窮,現在釣魚信件捲土重來,持續騙取被害者的網站登入帳號密碼等等資料。趨勢科技日前接獲回報,發現幾起釣魚信件的案件。

以往釣魚信件常直接將釣魚網站的惡意網址連結置於內文中,或將惡意連結偽冒為正常網址連結,誘使受害人信任而連線至釣魚網站,進而騙取受害人帳號密碼等個資。
此次的釣魚信件案件與前述案件不同,釣魚信件中夾帶惡意附件,駭客誘使受害者下載執行附件後,再連線至釣魚網站。

「釣魚信件」運作模式

〈案例一〉釣魚信件假冒 Word 檔案,誘使受害者點選,實為釣魚網站連結。

點選檢視或下載,會連線至釣魚網站誘使受害者輸入帳號密碼等資訊。

〈案例二〉釣魚信件夾帶惡意附件 pdf 檔。

下載並執行附件後,打開 pdf 檔,裡面要求使用者下載瀏覽 pdf 檔案的程式。

將滑鼠游標移至下載連結上方,發現真實連結網址並不是連線至 ADOBE 的網 站,而是釣魚網站。

「釣魚信件」的5 個防範之道

  1. 點選信件中的網站連結前,移動滑鼠檢查真實連結網址
  2. 確認信件來源,切勿輕易下載附加檔案
  3. 收到要求提供個人資料的電子信件要小心
  4. 檢查信件內是否有拼寫錯誤和語法錯誤
  5. 自行連線至官方網站再輸入資料

安裝具有防範網路釣魚技術的資安/防毒軟體

PC-cillin 封鎖惡意網站 主動偵測並預警來自網站、社群網路和電子郵件中的惡意連結,防範您的上網裝置感染病毒、勒索病毒或間諜程式等網路威脅;防堵網路詐騙自動偵測並封鎖網路釣魚詐騙郵件和垃圾信,防範您的個人資料被騙或遭駭客竊取》即刻免費下載
PC-cillin 封鎖惡意網站 主動偵測並預警來自網站、社群網路和電子郵件中的惡意連結,防範您的上網裝置感染病毒、勒索病毒或間諜程式等網路威脅;防堵網路詐騙自動偵測並封鎖網路釣魚詐騙郵件和垃圾信,防範您的個人資料被騙或遭駭客竊取》即刻免費下載

 

 


 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

駭客如何反將組織一軍?

伺機而動:駭客如何反制防護策略並用於攻擊

在運動電影、戰爭故事和犯罪情節當中,總會出現下列主軸:知己知彼,百戰百勝。

人們在層層設定 (包括網路安全領域) 中,採用了這種戰術,且通常成功率很高。安全研究人員不斷努力徹查並瞭解駭客使用的技術,以便打造可防禦特定威脅的目標式防護。不過,大多數人都沒有發現到,在防護端另一側的敵人,也正發展出相同的策略趨勢。

惡意的駭客與白帽駭客一樣,都持續精進自己的技術。再者,現在有些攻擊者並不會採用已知的系統漏洞,反而想利用組織部署的惡意行動封鎖防護措施,來反將組織一軍。

這些安全措施本應讓消費者與企業用來保護最重要的資料與內容,為何反被網路罪犯作為攻擊武器?接下來,讓我們來看看目前駭客會使用的幾個狡猾技術。

員工平日訓練有素? 駭客總有辦法突破心防

許多企業的安全防禦基礎之一,是對員工進行專業的特殊培訓。這有助員工瞭解如何找出具有攻擊徵兆的惡意活動,並掌握自己在公司整體資料防護中所扮演的個別角色。許多的培訓課程都教導員工,除非獲得授權人或團體的許可,否則都不要提供個人或公司的敏感詳細資料。

對此,駭客可偽造冒牌電子郵件,引誘受害者點選會干擾內部系統的惡意連結。

擬定這個策略後,駭客即開始利用網路釣魚(Phishing),該技術會依靠仿真的訊息,說服受害者提供敏感資訊。在這類攻擊當中,攻擊者可能會偽造來自權威機構 (例如銀行或執法部門) 且看似合法的訊息。

在某些案例中,當攻擊者鎖定特定企業的成員時,駭客會竭盡所能地瞭解這些對象,並偽造出一封與他們高度相關的訊息。其中可能包括該對象的姓名、公司職稱和其他詳細資料,以吸引閱信者的目光,並誘使他們點選惡意連結或足以干擾系統的附件。 Continue reading “駭客如何反將組織一軍?”

騙取 Google 帳號存取權限的新式網路釣魚郵件正夯

最近出現了大量專門騙取 Google 帳號存取權限的新式網路釣魚郵件,其會存取受害人的電子郵件信箱和聯絡人,進一步詳細資訊,請參閱 The VergeQuartzArs Technica 網站。這一波網路釣魚是駭客大規模竊取使用者帳號存取權限最惡毒的手法。

Google Docs連結暗藏危機!一點開帳號全都露

在這波攻擊當中,受害者會收到一封看似正常的電子郵件,裡面附了一個「在 Docs 中開啟」(Open in Docs) 的按鈕。此按鈕背後是一個完全正常的連結,它會連上 Google 的 OAuth 認證服務。駭客會先設計好一個不肖應用程式,然後經由網路釣魚電子郵件散布前述連結來誘騙使用者在 Google 的 OAuth 服務上授權應用程式存取使用者的帳號。

首先,歹徒會假借分享文件的名義,冒充受害者認識的聯絡人發一封信到受害者的 Gmail 信箱。信件內含一個連上正牌 Google 帳號驗證網頁的連結,頁面上會列出使用者所擁有的全部帳號。接著,該網頁會請使用者選擇一個帳號,並詢問使用者是否願意開放存取權限給「Google Docs」的應用程式。然而,一旦使用者授權給該應用程式,該程式就能存取其電子郵件信箱和通訊錄,不僅能讀取信件,還能利用其名義發信。接著,該程式會讀取受害者的通訊錄,然後再用同樣的手法,發信給通訊錄中的每一個聯絡人。藉由這種複製方法,這個不肖程式短期內就能散布得非常廣。

這項技巧非常高明,因為歹徒不需在電子郵件當中夾帶惡意檔案。而且因為這個連結是指向 Google 的服務,因此一般過濾軟體也不會加以攔截。所以,要防範這類攻擊,非常依賴使用者自己的安全意識。

《延伸閱讀》:Gmail 用戶當心!熟人分享的 Google Docs 連結,一點瞬間帳號被盜用

「Google Defender」宣稱可以保障使用者的帳號安全,但其實是新型的網路釣魚手法!

一般的網路釣魚攻擊,目標都是希望駭入使用者的電腦。但這類網路釣魚的目標,卻是進入使用者的 Google 帳號。

我們曾經見過一個叫「Pawn Storm」的駭客團體使用過這類技巧。在那次攻擊中,駭客設計了一個名叫「Google Defender」的不肖應用程式,宣稱可以保障使用者的帳號安全,但其實正好相反!

Pawn Storm 的攻擊同樣也是利用使用者對 OAuth 服務的不了解。當駭客的目標是您的 Google 帳號時,歹徒的攻擊就很難防範,也很難偵測。

《延伸閱讀》:登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

 

Google Defender 發出的存取權限允許請求:偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式
惡名昭彰的Pawn Storm 網路間諜攻擊,也曾偽裝成來自 Gmail 的安全通知,要求收件者安裝一個「官方提供的」Google Defender 帳號保護程式

Continue reading “騙取 Google 帳號存取權限的新式網路釣魚郵件正夯”

真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆

儘管網路釣魚是最古老的網路詐騙手法之一,但至今仍是企業和個人頭痛的問題。事實上,其數量似乎仍在不斷成長。根據網路釣魚防治工作小組 (Anti-Phishing Working Group) 的報告,2016 年估計高達 1 億以上的用戶,因為網路釣魚信件而被導向一個散布 Locky勒索病毒 的網站。網路犯罪集團不斷假冒各種知名服務,例如 Netflix 影音網站的用戶即曾經成為 網路釣魚攻擊的目標,許多人都被騙走了帳號和密碼。

⊙延伸閱讀:勒索病毒再度盯上追劇族,利用Netflix 帳號產生器當誘餌

 

有鑑於網路釣魚如此盛行,使用者務必學會如何分辨網路釣魚郵件。儘管犯罪集團會盡可能讓網路釣魚郵件看起來像真的一樣,但使用者仍有一些蛛絲馬跡可循。以下提供幾個假冒全球知名網站的網路釣魚郵件真實案例來說明使用者該注意哪些地方:

案例 1:LinkedIn -歹徒覬覦該社群網站的企業員工個人資訊

LinkedIn是一個專業人士聚集和建立人脈的社群網站,也因此成了網路犯罪集團覬覦的重要目標,歹徒覬覦它擁有上億用戶的企業員工的個人資訊。

Continue reading “真假大對決:網路釣客針對LinkedIn、 PayPal 、Apple、LINE的網路釣魚技倆”

iPhone被扒走,新手機傳來:”您遺失的裝置已經找到了,請點這裡查看….” 竟是網路釣魚騙Apple ID!

我的一位朋友在街上被人扒走了他的 iPhone 手機。像這樣的狀況,在巴西這類國家的大城市裡,實在是司空見慣。他後來又新買了一支手機,為了方便起見,仍然沿用原來的電話號碼。一開始並沒有什麼異樣,直到他發現自己的 Facebook 密碼被人篡改。

所幸,他的 Facebook 帳號有綁定電話號碼,因此才能救回帳號。不過這件事不太尋常,因為扒手竟然會進入受害者的 Facebook 帳號。歹徒為何對受害者的 Facebook 帳號有興趣?小偷行竊通常只是為了擁有某樣東西或者拿去變賣。災難還沒結束,隔天,我的朋友在他新的手機上收到了一封網路釣魚(Phishing)簡訊。

整起事件令人聯想到的是,傳統犯罪與網路犯罪的界線似乎開始變得模糊,尤其,傳統竊賊和網路犯罪集團未來若彼此合作,其犯罪手法將變得更加複雜。

這是一封葡萄牙文的簡訊,意思大概是說:「親愛的使用者,您遺失的裝置已經找到了,請點選這裡來查看它上次所在的位置:」。訊息後面還附上連結:hxxp://busca-devices.pe.hu。經過我們查證,這是一個網路釣魚網頁,會要求使用者輸入 Apple ID 登入憑證。
圖 1:葡萄牙文的簡訊,意思大概是說:「親愛的使用者,您遺失的裝置已經找到了,請點選這裡來查看它上次所在的位置:」連結經查證為網路釣魚網頁,會要求使用者輸入 Apple ID 登入憑證。

這是一封葡萄牙文的簡訊,意思大概是說:「親愛的使用者,您遺失的裝置已經找到了,請點選這裡來查看它上次所在的位置:」。訊息後面還附上連結:hxxp://busca-devices.pe.hu。經過我們查證,這是一個網路釣魚網頁,會要求使用者輸入 Apple ID 登入憑證。

後來我們又上網查了一下這隻失竊手機最後的位置,官方 iCloud 網站確實顯示其最後位置就是手機被偷的地點。

要求使用者輸入 Apple ID 登入憑證的網路釣魚網頁。
圖 2:要求使用者輸入 Apple ID 登入憑證的網路釣魚網頁。

 

解析歹徒犯案手法 Continue reading “iPhone被扒走,新手機傳來:”您遺失的裝置已經找到了,請點這裡查看….” 竟是網路釣魚騙Apple ID!”

訂單通知夾帶惡意PDF附件檔

趨勢科技最近收到關於一波惡意垃圾郵件攻擊的樣本,它會利用惡意PDF附件檔作為惡意軟體的感染載體。電子郵件本文並不包含任何內容,寄件者也是隨機產生。電子郵件夾帶了 PDF附件檔,開啟之後會出現一個惡意連結,點入連結就會下載惡意軟體到系統上。

 

經過研究,這惡意軟體被偵測為W2KM_CRYPJAFF.G。

強烈建議使用者要小心檢查電子郵件,開啟任何附件檔或連結前要仔細檢查寄件者和內容。

趨勢科技客戶可以受到對此電子郵件威脅的全面保護。

 

⊙原文來源:Order Email Notification Comes With Malicious PDF Attachment

 

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

拼字和文法上的錯誤、看似不尋常的網址,瀏覽器上沒有顯示加密連線的圖案,這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客,通常擁有充沛的資源和豐富的經驗,因此不會犯下這種明顯的錯誤。不僅如此,他們會想出一些非常聰明的社交工程(social engineering )技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件,不論使用哪一種語言,其文字都非常完美且流暢,而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上,登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具,可能導致企業敏感資料遭駭客外洩或損毀,甚至被拿來向企業勒索。

 

Pawn Storm 又名:Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8,這些名字聽起來很像 Instagram 帳號、機密間諜行動,或是剛剛通過的法案,但其實他們都是指同一個網路間諜集團。該集團為了達到目的,通常會從各種不同角度、利用各種不同手法來攻擊同一目標,其攻擊技巧經常屢試不爽,尤其是網路釣魚(Phishing)攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊,趨勢科技的研究報告:「網路間諜與網路宣傳:檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術: Continue reading “登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板”

駭客愛用的5大Gmail詐騙釣魚郵件類型,九成五以上使用惡意網站連結手法

【2017年5月25日,台北訊】去年初,Google即宣布旗下Gmail郵件服務的全球活躍用戶已突破10億人[1],已然成為眾人普遍使用的郵件服務之一;然而近日Gmail釣魚郵件攻擊事件日益增加,如本月初發生的假冒熟人寄送Google Docs 邀請釣魚信件[2],就假以Google Doc服務之名要求存取受害者的通訊錄權限,帶給許多消費者很大的困擾。根據趨勢科技最新MailScanner郵件防護達人於今年1至5月的統計資料顯示,駭客最愛使用的5大Gmail釣魚郵件類型為下:

  1. 優惠折扣通知:過去曾發生駭客欺騙Apple 用戶可領取Apple Store「好康禮物卡」折扣優惠,再以此欺騙消費者填寫個人和財務資料。
  2. 銀行通知:駭客也可能假冒成銀行業者,以欺騙消費者安裝帳號安全管理系統為由,導引其連至一個釣魚網站並竊取用戶ID、密碼、信用卡資訊和聯繫資料。
  3. 社交網站通知:駭客仿冒社群網站的動態更新通知,如「點擊看看誰對你的照片說讚」,「誰將你加為朋友狀態說讚」等。
  4. 網購訊息通知:駭客偽裝成電子商務業者,從「訂單確認通知」、「付款通知」到「出貨通知」,這一連串的網購流程都有可能成為其動手腳的目標。
  5. 中獎通知:駭客可能以「免費抽iPhone 6s」為陷阱,當消費者點選查看信件中的「中獎名單」附檔,就有可能遭受勒索病毒攻擊。

綜觀上述案例,可知駭客主要利用三種方式進行Gmail網路釣魚郵件詐騙,一為直接在郵件正文提供惡意網站連結,導引消費者至其架設的釣魚網站,並輸入重要的個人或財務資訊;二為在信件中夾帶含惡意程式的檔案,吸引消費者點擊下載,最後還有利用郵件軟體或瀏覽器弱點,在信件中包含特殊腳本讓惡意程式在收件人開信後就自動下載後執行,無須點擊連結或開啟附件。而趨勢科技發現在這些Gmail釣魚郵件中,於信件中提供惡意網站連結者,占全部惡意郵件比例的最大宗95.3%,而排名第二的則是夾帶惡意程式檔案附件,發現數量約佔4.4%。 Continue reading “駭客愛用的5大Gmail詐騙釣魚郵件類型,九成五以上使用惡意網站連結手法”