資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

行動用戶很可能會比一般電腦使用者遭網路釣魚（Phishing）攻擊高出三倍

2013 年 01 月 24 日2013 年 03 月 04 日 Trend Labs 趨勢科技全球技術支援與研發中心

手機可以用來做任何事情，而且效能就跟一般電腦一樣強大~病毒也是如此

使用者很容易就會認為行動設備是種可以隨拿隨用的簡易設備，並不會造成安全風險。—沒有什麼比這更錯的了。今日的行動設備就跟一般電腦一樣，所有該有的功能都有。

在上個月，喬治亞理工學院研究發現，因為使用者介面的關係，行動瀏覽器所提供的資訊往往並不足以讓使用者判斷網站是否有潛在的危險。

其中最有問題的是在顯示SSL資訊方面。和一般電腦相比，行動瀏覽器在顯示網站是否在使用SSL時非常受限。雖然會有基本鎖頭符號來表示是否正在使用SSL，但其他進階資訊則可能無法立即顯示。比方說，桌面瀏覽器會強調憑證單位好讓使用者進一步的驗證，但這在行動瀏覽器上並非總是立即出現。

行動用戶很可能會比一般電腦使用者更容易遭網路釣魚（Phishing）攻擊

原因很簡單：使用者界面限制。行動設備上的空間和一般電腦相較起來是有限得多。而且行動使用者介面也往往會設計得特別簡潔。這會限制使用者可以在瀏覽器得到用來判斷網站是真是假的資訊數量。

這或許也可以解釋為什麼有研究顯示行動用戶很可能會比一般電腦使用者更容易成為網路釣魚（Phishing）攻擊的犧牲者。然而，並不只是技術上的原因，使用者的態度可能才是主因。

CNN 報導指出:Trusteer分析了多個曾經代管網路釣魚（Phishing）網站日誌檔（存取記錄）,網路釣魚郵件送出後，行動用戶通常是第一個連上的網站的設備

根據這篇報導指出在一月，Trusteer分析了多個曾經代管網路釣魚（Phishing）網站日誌檔（存取記錄）。記錄顯示有多少使用者連上這些惡意網站，他們是什麼時候連上的，他們是否輸入自己的帳戶登錄資料，以及用來連上網站的設備。

以下是Trusteer的發現：

一、網路釣魚郵件送出後，行動用戶通常是第一個連上的。

「這是有道理的，因為行動用戶總是保持在連線狀態，也最有可能在郵件送達時於第一時間閱讀。桌上電腦使用者只有在使用電腦時才會看信。」Trusteer的執行長Mickey Boodaei如此說。

「此外，多數詐騙電子郵件都要求立即採取行動。比方說，他們通常會聲稱在使用者帳號偵測到可疑活動，並且需要立刻採取行動。多數落入陷阱的受害者會很快地去連上釣魚網站。」

這很重要，因為網路服務供應商和主機代管廠商會監視他們網路上的釣魚活動，並快速採取行動以封鎖網路釣魚網站。

網路安全專家警告說：網路釣魚郵件攻擊裡最陰險的一種就是，假警告郵件可能會說該公司要通知你關於最近所公佈的一起安全攻擊事件 – 這恰恰也是他們所犯下的「完美掩護。」

二、行動用戶輸入登錄資料的機率比桌面電腦使用者高出三倍以上。

好消息是，大多數人（不管是不是行動用戶）連上釣魚網站時都不會輸入任何登錄資料。但是，對於那些有輸入的族群來說，行動用戶顯然更容易落入網路釣魚（Phishing）的陷阱。

三、iPhone使用者連上釣魚網站的數量是黑莓機使用者的八倍以上。

根據ComScore的最新數據顯示，在美國市場，黑莓機仍然有比iPhone更多的機子正在使用中。根據Boodaei，「在黑莓機和iPhone上都一樣很難注意到網路釣魚（Phishing）。」

那麼是什麼造成這差距呢？Boodaei推測，許多黑莓機使用者是企業用戶，是由雇主所配發黑莓機，所以至少都有經過一些安全訓練。相反地，絕大部分的iPhone都屬於消費者的行動設備。繼續閱讀

十大駭客最愛網釣誘餌，淘寶、花旗銀行、萬事達卡、Paypal 皆入榜

2013 年 01 月 23 日2015 年 06 月 02 日 Trend Labs 趨勢科技全球技術支援與研發中心

最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行

簡單方便是使用者喜愛網路購物的主要原因，雖然方便，但網路購物也可能讓使用者的認證資料和個人身份資料（PII）陷入危險，因為網路犯罪分子可以輕易地設計出網路釣魚（Phishing）攻擊來竊取資料。

<最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行>來自中國的淘宝网在購物網站中排名第一而Paypal 則居網路交易平台冠軍

趨勢科技主動式雲端截毒服務 Smart Protection Network和其他專門技術，我們辨識出二〇一二年十二月的首要網路釣魚（Phishing）網站。下面是針對五十個流行品牌的偽造網站圖表。

最常被網路釣客攻擊的電子商務網站(知名銀行/信用卡公司) 排行前 10名

根據我們所收集的資訊，電子商務網站 – PayPal是最被針對的公司，有17,573個偽造網站利用它的名字，緊接在後的是美國富國銀行（Wells Fargo）。使用者如果被誘騙連上偽PayPal網站，就可能讓系統感染TROJ_QHOST.EQ。到目前為止，這惡意軟體已經感染了台灣、泰國和美國的系統。正如下表所示，排名前十位的詐騙網站差不多都是知名銀行或信用卡公司。

公司名稱/網站	釣魚網站數量
PayPal	18947
富國銀行（Wells Fargo）	2049
Visa	1661
花旗銀行	1628
美國銀行（Bank of America）	1477
萬事達卡	986
Chase	656
Bancolombia	369
Natwest	324
Cielo	310

花旗銀行也是最常被偽造的公司之一，可能是因為黑洞漏洞攻擊包（BHEK）攻擊活動的原因。BHEK最被為人所知的就是會利用有名的公司（如花旗銀行）來引誘使用者打開垃圾郵件，然後點入郵件內夾帶的惡意連結。

某些BHEK攻擊活動會偽裝成花旗銀行來誘騙使用者下載WORM_CRIDEX.CTS，這是一個已知會竊取敏感資料的惡意軟體（如網路銀行憑證）。透過趨勢科技主動式雲端截毒服務 Smart Protection Network，我們確認有277個系統感染這惡意軟體，其中有88％位在美國。

此外，單單在十二月，我們就發現有四個BHEK攻擊活動利用花旗銀行。在最後一次的攻擊活動中，我們發現使用者電腦感染了TROJ_CDOWN.A、SWF_BLACOLE.BBB、JAVA_DLOADR.XM和WORM_CRIDEX.EZ。被偵測為JAVA_DLOADR.XM的JAR檔案出現3,095次，主要受影響使用者位在美國和日本。

公司名稱/網站	釣魚網站數量
AOL	1475
Yahoo	1349
Hotmail	1205
Gmail	1200
其他	188

網路釣魚（Phishing）網站數量最多的購物/拍賣網站是淘寶網

另一方面，網路釣魚（Phishing）網站數量最多的購物/拍賣/交易網站最多的是淘寶網、eBay和Amazon。來自中國的淘寶網在電子商務網站列為最常被偽造成釣魚網頁的第一名。

公司名稱/網站	釣魚網站數量
淘寶網	1691
eBay	504
Amazon.com	251

在我們的研究中，我們也發現下列攻擊會影響世界各地的行動用戶。

我們看到偽裝成丹麥電子支付公司 – Nets Group的攻擊正在增加中。這威脅通常透過電子郵件，要求使用者確認更新或啟動帳號。
針對日本使用者的萬事達卡網路釣魚攻擊活動正在進行中。在986個偽萬事達卡網站中，有717（72％）個是為日本使用者而設計。在十二月，這717個網站吸引了2,029次點擊量，大多來自日本。

針對日本用戶的信用卡釣魚網站

特定惡意集團偽造出902個REMAX網站（一個跨國房地產公司）。
在世界的另一端，巴西仍然充斥著內藏木馬的偽造網站，通常是TROJ_BANLOAD變種，最為人所知的行為是會下載TSPY_BANKER變種。這種攻擊通常透過偽稱來自布拉德斯科銀行、巴西銀行等的電子郵件出現。電子郵件還會夾帶連往惡意網站的短網址，通常來自像bit.ly的短網址服務。位在哥倫比亞的使用者也被被趨勢科技偵測為TSPY_BANKER.TGF的惡意銀行木馬軟體所攻擊。這個惡意軟體利用微軟Excel圖示，並且以免費禮物卡為餌來誘騙使用者執行惡意執行檔案。
不幸的，行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址，所以會讓使用者輕易地認為自己瀏覽的是正常網站。

我們還發現一個帶有附加檔案的垃圾郵件針對大通銀行。趨勢科技將這附加檔案偵測為TROJ_DLOADER.YZX。一旦被執行，這惡意軟體會下載大量其他惡意軟體，如TSPY_ZBOT.MDN、TSPY_ZBOT.LOA和TROJ_FAKE.BMC。

如果我們可以從這些威脅趨勢中學到什麼，那就是我們必須保持小心謹慎，防範網路釣魚攻擊，特別是在假節期間或有其他特殊事件時。想知道如何在這些網路購物的日子裡保護自己，可以參考我們的電子指南 – 「網路購物更簡單」和「享受無憂無慮的行動購物體驗！」還有我們的資料圖表 – 「網路購物小秘訣」。

想知道如何區分偽造的網路釣魚（Phishing）跟正常郵件，就要檢查下列蛛絲馬跡：

繼續閱讀

假Java零時差漏洞修補程式,真勒索軟體

2013 年 01 月 22 日2013 年 01 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者：確保從可靠的來源下載，不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞（CVE-2012-3174）的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而，趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11，這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案，其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe（這兩個檔案都被偵測為BKDR_ANDROM.NTW）。一旦執行，這個後門程式會連到遠端伺服器，讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

JAVA_DLOADER.NTW 會下載並執行Up1.exe（BKDR_ANDROM.NTW）和Up2.exe（TSPY_KEYLOG.NTW）。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV的%User Temp%\{random file name}.exe。經過趨勢科技的分析，這個勒索軟體 Ransomware會鎖定使用者螢幕，並且嘗試連上特定網站以顯示警告訊息給使用者。

繼續閱讀

當你的手機等行動設備被偷時該怎麼辦?

2013 年 01 月 21 日2013 年 08 月 29 日趨勢科技 TrendMicro

小編曾做過一個調查手機中毒,手機遺失,你比較擔心哪一個?,投票結果有 6 成的人比較擔心手機遺失,以下文章我們就來看看這個掉了手機的實際案例,如果是你你會怎麼辦呢?

當你的手機等行動設備被偷時該怎麼辦?

作者：Michael Ricigliano

是的，就發生在我身上。我的iPhone 4S被偷了，就在感恩節週末的家庭出遊路上。

事情就發生在轉眼之間。當我在三明治店幫我小孩清理時，這也是小偷最佳的行動時間。我知道是「他」，因為店家有人發現了，但在要採取行動的時候，這混蛋就一溜煙的跑了。然後他們也承認看到了整個經過。唉〜

從過去的歷史來看，我並不是個容易掉東西的人。我還在用幾十年前發給我的那張舊舊社會安全卡，並且用著在1979年所買的鑰匙圈，所以我對個人財產被侵犯的感覺特別強烈。我特別生氣的是才剛剛拍了一堆我的孩子和家人的照片，但卻還來不及備份我的iPhone就不見了。這些已經永遠不會再回來了。我知道，而且讓我很痛心。

結果

在絕望又憤怒下，我太太和我將所有東西都堆到我們的廂型車上繼續開。她建議我用她iPhone上的「尋找我的iPhone 」應用程式，看能不能追踪到我的手機。「我們會去抓到這傢伙的！」她用著她典型的「就這樣做」語氣講著。我也真的要去拿她的電話了，不過後來我想到車上載滿了小孩，他們不該看到老爸和一個該死的罪犯在加州薩利納斯的某個停車場扭打起來，所以我放棄了這想法。

不過我還是用她的iPhone撥了611，通知AT＆T的客服我要暫停服務，讓這混蛋不能用我的iPhone打電話。（我有用安全密碼來鎖定我的iPhone，所以我可能是太過擔心了，但你永遠不知道會發生什麼事。）AT＆T客服向我詢問「這支被盜iPhone最常撥打的電話，至少要講出一個。」我給了她我太太的手機號碼。這就完成了確認，30秒內我的電話號碼就會被「暫停服務」了。

停掉我的iPhone號碼

我繼續開在路上，看著窗外，拿著我太太的iPhone來代用。就在那一瞬間，我驚覺到手機和行動設備是多麼個人的東西。和我的iPhone相處幾年後，它充滿了我親朋好友的名字和地址，大量我喜歡的音樂和照片，一些很酷的應用程式跟那熟悉的手機殼，這些年來在我的口袋裡或黑暗的電影院內陪伴著我。我甚至將錢包裡的大部分東西清空，將健身房會員卡、借書證、咖啡隨行卡等都轉成照片存在我的手機上，這樣就可以輕易的透過iPhone的照片應用程式來使用。

握住我太太的iPhone時覺得怪怪的。就好像陌生人一樣，嘲笑著、提醒著我，它所裝的東西裡只有很小的部分對我有用。每當我呼吸一次，我就會詛咒小偷一次。

繼續閱讀

如果一定要使用Java,該怎麼辦?

2013 年 01 月 17 日2013 年 01 月 17 日趨勢科技 TrendMicro

當Java 最近又出現另一次零時差漏洞，要使用者「移除Java」的聲音已經成為一種普遍的意見。請參考:Java更新補救安全漏洞美國安部仍籲「停用」

已經有許多關於甲骨文針對最近CVE-2013-0422的Java零時差漏洞修補程式不完全的討論。在這篇文章中，我們想藉此機會來釐清幾個相關問題。

Java仍有很大的風險

根據趨勢科技的分析，我們已經證實CVE-2013-0422的修補程式並不完整。這CVE包含兩個問題。一個來自com.sun.jmx.mbeanserver.MBeanInstantiator class的FindClass method。另一個來自java.lang.invoke.MethodHandle class的invokeWithArguments() method。甲骨文已經修補了後者，但是findclass method仍然可以被用來獲取被限制class的reference。簡單來說，findclass method的問題仍然留下可供利用的後門，可能被另一個新的漏洞所用。

趨勢科技也想澄清另外一點，這次是針對CVE-2012-3174。和某些報導的觀點不同，這並不是Reflection APT的問題。Reflection API的問題已經在CVE-2013-0422裡被修補了。引用美國國家漏洞資料庫（NVD）的話「註：有些團體將CVE-2012-3174和遞迴使用Reflection API的問題關連在一起，但是這問題已經被CVE-2013-0422所包含。」

在這起事件裡，每個人心裡最大的問題是「使用者安裝這修補程式之後安全嗎？」或是「這修補程式可以防護最近利用CVE-2013-0422的攻擊嗎？」是的，直到有人找到新臭蟲跟第一個問題結合為止。Findclass method仍然是個懸而未決的問題，但它本身不能做為漏洞攻擊。不過訊息很清楚：Java仍然是很大的風險。

不過，想辦法去將Java的風險降到最低還是該做的事情。最理想的狀況是你可以移除Java以完全避免風險。但如果因為某些原因而不可行，那這些技巧可以幫你盡可能地減少風險。

在一般情況下，這是個明智的建議。如果可以的話，使用者應該移除Java，如果並不會用到。不幸的是，對於很多使用者來說，這並不是個選項。很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

所以，要如何安全的使用Java？首先，Java威脅主要來自惡意網站的惡意Java程式。如果你是因為應用程式需要而安裝Java，那你可以在瀏覽器禁用Java而不會受到影響。

過去你如果需要這樣做的話，需要一個一個瀏覽器分別設定，但現在不同了。目前的Java版本可以透過Java控制面板來做到這一點。可以在這裡找到如何進行的說明。網頁上的Java程式將無法執行，但Java應用程式可以繼續使用，沒有問題。

基於這個問題，使用者必須考慮自己是否真的需要Java。如果不的話，就應該將其移除。對於無法避免使用Java的使用者而言，還有其他的方法來降低風險：

如果一定要使用Java的該怎麼辦?

很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

如果你因為應用程式需要而安裝Java，就在瀏覽器內選擇停用

如果公司內部網站或銀行網站需要Java,請個別停用瀏覽器內的Java,選擇一個「次要」瀏覽器來上使用Java的網站，然後在主要瀏覽器中停用它

在這種情況下，你需要在瀏覽器內停用Java。選擇「次要」瀏覽器專門用來瀏覽使用Java的網站，然後在主要瀏覽器中停用它。例如，如果你是Chrome使用者，你可以用Firefox或Internet Explorer來瀏覽Java網站。趨勢科技資深安全顧問Rik Ferguson已經發表過一篇文章提供針對瀏覽器來停用Java的詳細步驟:

在Internet Explorer裡停用Java:的Internet Explorer的「工具」選單內選取「管理附加元件」，停用Java™ Plug-in SSV Helper和Java 2™ Plug-in 2 SSV Helper

在Firefox裡停用Java（MacOS和Windows）：在「工具」選單裡選取「附加元件」，停用Java Deployment Toolkit、Java™ Platform和/或Java Applet Plug-in

在Google Chrome裡停用Java：按入Chrome瀏覽器窗口右上角的「扳手」圖示，選取「選項」，進入「進階選項」然後選取「隱私權說明」中的「內容設定」。進入「內容設定」面板後，在「外掛程式」區段中選取「停用個別外掛程式」，找到Java並且點擊「停用」連結就可以了！

在MacOS的Safari裡停用Java：在Safari選單內選取「偏好設定」，按一下「安全性」標籤。取消勾選「啟用Java」
在Windows的Safari裡停用Java：在瀏覽器右上角點選「齒輪」圖示，然後選取「偏好設定」，選取「安全性」，取消勾選「啟用Java」。