過完元宵節傳統過年才算結束,你的拜年行程還沒結束嗎?為了避開人群及長距離的舟車勞頓,你會考慮「線上拜年」 嗎?「線上拜年」是指,利用 Zoom 或 Microsoft Teams、Google Meet 等視訊通話服務與遠方的父母、親戚、朋友取得聯繫。但在使用的時候,從安全的角度來看有幾點需要注意的事項。
《資安漫畫》「線上拜年」注意事項
《資安漫畫》「貨到通知」「網銀通知」詐騙簡訊防不勝防,搶先攔截是關鍵
前陣子購物節很多人收到 貨到通知簡訊,不疑有它的點入連結,在你掉以輕心之際,藉機騙取個資及金錢。
最近最新的簡訊詐騙,是1月 29日(週五)詐騙集團假冒國泰世華,通知「您網銀帳戶異常,即將凍結」,三天內就有 21 人遭騙,損失 300 多萬。幾日過後,2月5日(五)又化身為台新銀行再騙一次,其中有單一受害者一晚上被轉走 40 萬。2月9日春節連假再度出現冒充富邦人壽與中國信託的釣魚簡訊。這波網銀詐騙的共通點是:都在周五或是長假之前銀行營運空窗期犯案。
簡訊詐騙愈來愈盛行,還有偏愛假冒宅配公司,超過 30 萬用戶受害的 Android 惡意程式家族:XLoader 和 FakeSpy,其中XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密!
正式進入文章前,先考驗大家的眼力
◾國泰世華正版與山寨網址關鍵字比一比,先猜哪一個是正版?
☐ cathaybk
☐ cathay-bk
◾台新銀行正版與山寨網址關鍵字比一比:
☐ taishinbank
☐ taishinz
( 跟官方網址簡直是雙胞胎。😥)
◾ 解答:
國泰世華
✅ cathaybk
❌ cathay-bk
台新銀行
✅taishinbank
❌ taishinz
這波大量的網銀釣魚簡訊,除了利用網址相似度極高的網銀釣魚網站,騙取受害者帳號與密碼外,還會抓緊時間騙取用戶輸入由銀行發出、綁定信任裝置所需的一次性密碼(one-time password,OTP)簡訊,藉此進行非約定轉帳。
根據臺灣金融資安資訊分享與分析中心(F-ISAC)公布的資訊,至少發現6個假冒國泰世華的釣魚網站、17個假冒台新銀行的釣魚網站、11個假冒中國信託銀行的釣魚網站。
受害人:一個晚上網銀帳戶被盜領一空
繼國泰世華銀行後,詐騙集團化身為台新銀行,再度進行詐騙,台新銀行被害人帳戶遭盜用報案有7件,財產損失達55萬2000元,諮詢與檢舉共計10件,刑事局研判,詐騙集團故意利用金融機構週五下班後到隔週一恢復營業的空窗期,讓被害人無法立即向銀行查證。
以下為兩則假冒台新銀行詐騙內文(可能隨時出現其他版本):
詐騙訊息1:
【台新銀行】您的網路銀行更新失敗,請立即輸入您的驗證碼以更新資料,超時請重新輸入 www[.]taishinz[.]com
詐騙訊息2.
【台新銀行】您好,由於網路銀行版本更新,請於2月6日前登入進行驗證否則將停用您的使用權限,超時請至臨櫃辦理www[.]taishinz[.]com
有受害人在 FB 公開自己被害的經過:「大家小心不要一時疏忽 我被騙了凌晨才發現帳戶被盜領一空,很無奈希望不要有人受騙了」「台新網銀綁兩個帳號錢全部被領完,一個晚上轉這麼多錢很恐怖,將近40萬。」
提醒您:台新銀行的正確網址為:
https://www.taishinbank.com.tw/
簡訊認證碼落入歹徒手中
在這篇追蹤報導中 ,發現詐騙集團在網路釣魚網頁,要求輸入簡訊認證碼確認身分。歹徒在作案的手機輸入後,就可執行非約定轉帳,順利轉走 40萬。
10分鐘內未輸入立即失效的OTP認證模式(透過簡訊或電郵傳送的一次性密碼),卻因受害者一時心慌,一步一步掉入陷阱,讓社交工程(social engineering )手法得逞。
出貨通知簡訊暗藏玄機
繼續閱讀《資安新聞周報》一副眼鏡 攻破19款安卓手機人臉辨識/前三大董事會必須關心的資安策略/犯罪組織販售假 COVID-19 陰性證明
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 假中華郵政、假 UPS Taiwan 線上付款網站!網路犯罪用快遞詐騙、信用卡詐騙、摸彩詐騙賀新年
- 企業高層帳號賣家以「Office 365密碼過期」釣魚信,鎖定全球 CEO等高階主管!
- 後門雖不易發現,但誰走後門它卻看得一清二楚
- 基礎架構程式碼:資安風險與如何防範
- 【網銀簡訊釣魚警訊】詐騙集團假冒國泰世華通知「您網銀帳戶異常,即將凍結」當心存款人間蒸發!
- 漫步雲端 你可以走得更輕鬆–趨勢雲端移轉經驗分享
- 2021 年最重要的雲端資安問題
資安新聞精選
趨勢科技榮獲 CRN 評選為 2021 年最酷雲端廠商之一,再次證明趨勢科技不僅致力經營通路,並且隨時掌握通路環境變遷 PC DIY
【當心「包裹到貨」簡訊】Whoscall 公布 2020 常見詐騙術,哪些新招要防? 報橘
驚!歐洲刑警組織示警:犯罪組織偽造武肺陰性證明並販售 新頭殼
新資安報告點出前三大董事會必須關心的資安策略 iThome
台灣團隊研究辨識Deep Fake影片 深偽技術的正邪之戰開打 台灣事實查核中心
導致SonicWall被駭的漏洞,傳出已有其他攻擊行動開始運用 iThome
SolarWinds再出包?中國駭客疑入侵美政府電腦 中央廣播電臺
陪伴.瞭解.保護 教育部籲寒假期間家長留意孩童手機網路使用安全 馬祖日報
寒假期間 家長應留意孩童手機網路使用安全 yam蕃薯藤
5G智慧工廠群雄並起 台灣製造巨頭加快部署 電子時報網
SolarWinds攻擊行動中,約莫有3成受害者並未使用Orion Platform iThome
調查報告指出董事局必須關心的首三大資訊保安策略 Media OutReach
國泰世華網銀釣魚簡訊橫行偷帳密,3 天全國 21 人遭詐損 300 萬 科技新報
賴祥蔚/川普下台後 假新聞仍難解 Al+大數據能終結假訊息嗎? ETtoday新聞雲
操作不慎,駭客竊得的大量企業登入資訊在網路曝光 科技新報網
恐怖!一副眼鏡 攻破19款安卓手機人臉辨識 三立新聞網
用阿里巴巴網路視訊上課 加拿大警告:有安全風險 自由時報電子報
繼續閱讀企業高層帳號賣家以「Office 365密碼過期」釣魚信,鎖定全球 CEO等高階主管!
趨勢科技從八個被入侵網站發現超過300筆不重複釣魚網址和70筆電子郵件地址,包括了40位公司執行長、高階主管、擁有者和創辦人及其他企業員工的郵件地址。
地下市場已經出現販售竊來的Office 365帳號密碼及公司職位等資訊,藉以提供歹徒進行商務電子郵件入侵 (Business Email Compromise,BEC)等攻擊。
這些公司高層的帳密價格從250美元到500美元不等。
趨勢科技自2020年以來一直在追蹤一波以公司高層為目標的網路釣魚活動,重複利用外洩帳密和被入侵網址來鎖定更多目標。
自2020年5月起,趨勢科技一直在追蹤一波針對公司高層的網路釣魚活動。攻擊者重複利用被入侵主機來針對日本、美國、英國、加拿大、澳洲和歐洲等多個國家/地區的製造業、房地產、金融業、政府和科技業進行釣魚攻擊。截至本文撰寫時,我們從八個被入侵網站發現超過300筆不重複釣魚網址和70筆電子郵件地址,包括了40位公司執行長、高階主管、擁有者和創辦人及其他企業員工的郵件地址。我們現在正與有關當局合作來進行進一步的調查。
繼續閱讀後門雖不易發現,但誰走後門它卻看得一清二楚
網路資安人士對於「後門」大多不能認同,當政府或情報單位暗指某款電話、加密工具或產品當中暗藏後門時,不論哪一個陣營都會認為這不應該。
要找出產品的漏洞 (或弱點) 基本上很難,但如果已經知道漏洞在哪裡,那要想出攻擊手法就比較容易。然而蓄意安插的後門,不論是廠商或滲透者所留下的,或許才是最難防的惡意程式。
首先,後門集合了漏洞與漏洞攻擊手法於一身,駭客完全不需再另外安裝惡意程式。而且暗藏後門的系統還是經過合法簽章的正式軟體,能夠通過各種檢查,例如:雜湊碼、檔案大小、程式驗證等等。而且比漏洞更難搞的是,後門還可能內建一些駭客刻意設計的安全與加密機制,增加了第三方威脅研究人員偵測的難度。不僅如此,只要是使用該產品的客戶,他們全都存在著這個可利用的後門,這根本就是駭客的所有願望一次滿足。
這邊稍微釐清一下,此處所指的後門,是正常產品發表時已經存在的後門,而非產品發表後被暗中植入的後門。
在攻擊發動之前不易發覺
雖然程式的後門基本上很難偵測,但它們到底有沒有辦法被發現?答案是有,只不過沒辦法在它蟄伏 (也就是沒有採取任何行動) 的時後發現。
但是一旦有人在利用後門,即使是最隱匿的後門,也有可能被偵測 (儘管也不容易)。傳統的漏洞攻擊特徵比對偵測方法此時並無太大用處,除非後門散布的是先前內部已知的惡意程式,但駭客若這麼做,手法就太粗糙了。那些針對漏洞特徵而製作的入侵防護 (IPS) 規則,無法在早期偵測後門,因為,雖然入侵防護或許能在駭客開始使用後門時,發現到一些行為的變化,但還是要有明確的入侵指標 (IOC) 才比較容易偵測後門。
有了 IOC 之後,就能執行回溯性掃描,例如預先查看一下攻擊的入侵範圍。
一個駭人的事實是,大家都以為許多基礎架構軟體絕對安全無虞,或不會有問題,也正因如此,許多第一線防衛機制都會自動排除或忽略一些可能含有後門的系統而不加以檢查。
繼續閱讀