Gmail、Google 日曆等服務,已成釣魚郵件與惡意軟體有效散布管道

卡巴斯基發表研究報告,指出用戶眾多的 Gmail 和 Google 日曆等 Google 雲端服務,現在也成為釣魚郵件與惡意軟體散布的有效管道。

資安公司卡巴斯基指出,用戶眾多,使用便利的 Google 各種雲端服務,目前成為駭侵團體發動釣魚郵件並散布惡意軟體的有效管道。

詃公司近來發現,包括 Gmail、Google 日曆、Google 相簿、Google 線上表單、Google Drive 和儲存空間,甚至連網站分析工具 Google Analytics,都傳出駭客利用來散布釣魚垃圾信與惡意軟體的案例。

以 Google 日曆為例,駭客可以透過發送假的行程邀請給受害者,並在邀請中置入惡意軟體連結;通常用戶對於行程邀請的防備心較薄弱,再加上日曆服務不像 Email 一樣多半備有成熟且較精準的垃圾與病毒偵測機制,因此用戶中標比例更高。

同樣的,駭客也會透過共享 Google Photos 相片,來發送夾帶惡意連結的通知信;由於通知信是用 Google Photos 的系統發出,因此用戶不易起疑。

在卡巴斯基的報告中,分享了更多利用 Google 服務發送惡意連結的案例,頗值參考;用戶在收到任何來自 Google 服務的通知或邀請時,也應該仔細檢視發送者,來自不明發送者的邀請不要點開,疑似詐騙或夾帶惡意連結的應立即檢舉。

資料來源:

  1. https://usa.kaspersky.com/blog/spam-through-google-services/17799/

提升域名註冊人的權利與義務的認知意識

ICANN的主要任務之一,是致力於全球域名註冊人的良好註冊,並確保全球域名系統(DNS)安全、穩定地運作,以提供安全、可靠的網際網路服務,同時促進域名產業內的信任、多元選擇和競爭。域名註冊人是DNS組成的一部分,他們是透過與受理註冊機構(Registrars)或經銷商(Resellers)達成協議,而獲得在一段時間內,如1年、2年或5年使用域名的權利的組織或個人,域名的使用如到期後,需要有續用繳費程序,以延續域名的使用權利。域名註冊人擁有的重要權利,包括從受理註冊機構處獲取有關註冊、管理、轉移、續用和恢復域名註冊流程信息的權利。他們亦負有重要責任,包括提供準確的聯繫資訊以便在WHOIS目錄中公佈、通知註冊商任何聯繫資訊的改變,並及時回應註冊商關於其域名註冊資訊的請求。因此教育域名註冊人提升他們權利和責任、全球域名生態系統及ICANN域名政策可能會對域名持有人造成影響等認知,都是十分重要的事情。

 

全球域名體系分為國家頂級域名(Country Codes Top Level Domain, ccTLD)及一般通用域名(Generic Top Level Domain, gTLD)。ccTLD一般由各國的政府註冊管理局與ICANN簽約授予。gTLD則分兩類,舊型的gTLD如.com、.org、edu等,新型的gTLD(New generic Top-Level Domains,簡稱 New gTLD)。New gTLD於 2011 年 6 月開放申請,包括:

  • 一般名稱(Generic gTLDs):如.art、.coffee、.hotel、.music及.office等。
  • 城市/地理及文化名稱(City/Geo/Cultural gTLDs):如.taipei、.berlin、.tokyo等。
  • 品牌及商標名稱(Brand and Trademark gTLDs):如.google、.samsung、.apple等。
  • 國際化域名(IDNS-International TLDS-Non Latin Script):如.公司、.机构、.ポイント、.닷컴、.संगठन等)。

 

因此從2012年起,當New gTLD如.me、.info、.law、.ngo皆推出域名註冊服務時,讓域名註冊人的選擇愈來愈多,這些頂級域名的註冊管理機構及其註冊商,皆須與ICANN訂有合約,合約讓這些管理機構及其註冊商在協議中須能滿足安全穩定域名系統的要求,並促進消費者信任,包括促進簽約方與最終用戶之間的溝通及在必要時尋求正式補救措施等。New gTLD在向ICANN申請核准後,則直接與ICANN簽約成立註冊管理機構(registry),New gTLD的受理註冊機構(registrars)則須向ICANN申請核准後,再向New gTLD註冊管理機構申請核准並簽約,才能提供該New gTLD的域名註冊,受理註冊機構可以同時承接多個New gTLD的註冊,例如.taipei之註冊管理機構為臺北市政府(目前事務性工作委請中華電信協助),可以註冊.taipei的註冊商全球約有30多家,其域名政策亦可查閱nic.taipei網站。

 

因此一個域名註冊人申請域名時,需先決定是註冊ccTLD或gTLD的域名,然後再向有承接該域名的註冊商進行註冊。在域名註冊後,域名權利與責任的溝通都會由該域名註冊商來提供。當然域名註冊商的域名註冊政策,都是由該TLD的註冊局決定,不過通常差異不大。

 

ICANN設有一個ICANN Global Support Center(GSC),對與ICANN的簽約方及所有gTLD的註冊人、網路一般社群公民,提供5*24的電話及線上服務。近幾年GSC的常見註冊人投訴包括:

 

  1.  與WHOIS相關的常見投訴
  • WHOIS數據庫中顯示的註冊數據不正確/無效。
  • 由於歐盟GDPR和臨時規範,註冊數據未顯示(或遭遮蔽)。
  • 域名被暫停或刪除,未能獲得註冊商或經銷商回覆。
  • 註冊人無法更新註冊記錄(無法存取或無法登錄、服務提供商或經銷商不答覆等)。
  • 域名持有者相關問題—以託管服務提供商、經銷商或註冊人組織前僱員的名義註冊的域名等。
  1.  域名轉移常見投訴
  • 無法通過註冊控制面板/用戶面板,檢索“AuthInfo”代碼。
  • 無法通過註冊控制面板/用戶面板解鎖域名。
  • 未列為註冊人或管理員聯繫人的轉移請求。
  • 在Web託管或服務提供商之間請求轉移。
  • 註冊商/經銷商因額外費用拒絕轉讓,例如“轉讓費”。
  • 註冊商/經銷商因未決的註冊期間拒絕轉讓。
  • 無回應/不合作的經銷商或服務提供商。
  • 被劫持的域名/電子郵件帳戶和未經授權的轉移。
  1.  續用更新常見投訴
  • 由於註冊人電子郵件無法正常運行,因此註冊人未收到續用提醒。
  • 由於註冊控制面板無法存取,因此註冊人無法續用或恢復域名使用。
  • 註冊人支付續用費,但域名卻未續用。
  • 註冊商/經銷商未提供有關續用/贖回費用的信息。
  • 客戶服務問題,例如由於付款方式和結算糾紛而導致續用失敗。
  • 經銷商未能發送提醒、通知客戶或上述其他問題。

 

為提升域名註冊人的權利與義務的認知意識,ICANN也持續收集及分析域名註冊人的抱怨及面臨的問題與挑戰,持續發布教育性的內容供註冊人參考,並於ICANN網站設置域名註冊人專區,同時也會於每年ICANN會議中安排場次針對上述問題做討論。

 

參考資料:

去年第四季 DDoS 攻擊量體大減 85%

在 FBI 破獲並關閉 15 個「代客 DDoS」網站後,去年第四季全球 DDoS 攻擊量體大減 85%。

資安廠商 NexusGuard 發表研究報告,指出近期全球 DDoS 攻擊事件的量體,較過去大幅減少。

DDoS 減少的主因,是由於美國聯邦調查局在去年破獲了 15 個代客進行 DDoS 攻擊的網站,這些網站的網域也被美國司法部撤除。

研究報告指出,這些代客攻擊網站自 2014 年起,至少發動了二十萬起 DDoS 攻擊;而在 FBI 破獲這些網後,整體的 DDoS 攻擊事件,不論平均次數或最大攻擊量都大幅減少。

不過該單位也警告,雖然代客進行 DDoS 的攻擊減少了,但這只是 DDoS 攻擊形態的一種,透過 botnet 進行的 DDoS 攻擊仍十分常見,攻擊量體也未見降低。

資料來源:

  1. https://threatpost.com/threatlist-ddos-attack-sizes-drop-85-percent-post-fbi-crackdown/142907/
  2. https://www.nexusguard.com/threat-report-q4-2018

研究指出筆記型電腦 USB 插孔,比一般所知更易遭駭

英國劍橋大學與萊斯大學的最新研究指出,配備 USB C 連接埠的當代筆記型電腦,較一般認知更易遭到駭侵。

兩所大學的資安研究人員,日前在網路與分散式系統資安研究會上發表研究報告;報告指出目前用以保護筆記型電腦 USB 插孔的 IOMMU (輸出入記憶體管理單元),並不足以完全發揮其應有的保護作用。

研究人員自製一稱為 Thunderclap 的測試工具,用以插入受測電腦 USB C 連接埠,觀察電腦反應;結果證實駭侵者能透過 USB 埠,順利取得受害電腦的控制權。可被駭入的系統包括 Windows、macOS、Linux 與 FreeBSD。

研究人員指出,許多透過 USB C 連接的裝置,都具有「直接記憶體存取」(DMA)能力,能夠跳過作業系統監控,存取電腦的主記憶體; IOMMU 的設計目的,就是要防止惡意裝置存取未經許可的記憶體內容,以免重要資料遭竊。然而該系統在許多電腦上是可以關閉的,甚至即使該系統開啟了,還是有被駭入的可能性。

研究人員建議用戶要經常更新作業系統,以取得最新漏洞修補;但更重要的是,要避免在自己的電腦上插入不明周邊裝置。

資料來源:

  1. https://www.cam.ac.uk/research/news/most-laptops-vulnerable-to-attack-via-peripheral-devices-say-researchers
  2. http://thunderclap.io/thunderclap-paper-ndss2019.pdf

美國雲端企業服務大廠 Citrix 遭駭,6TB 文件恐遭伊朗駭客竊走

Iridium 駭客組織是使用一種稱為「密碼噴灑攻擊」(Password spraying attack) 的方式入侵 Citrix;這種方式是利用一些簡單的「萬用密碼」大量嘗試登入同一組織中的許多帳號,可以避免追蹤。

資安廠商 Resecurity 發表報告指出,該單位發現一名為「銥」(Iridium) 的伊朗駭侵團體,入侵了多個美國政府單位、承包商、瓦斯與石油公司,甚至包括企業雲端服務大廠 Citrix。

據報告指出,Citrix 是在去年耶誕假期間遭到 Iridium 駭入;除了這份報告外,FBI 也在今年三月六日前往 Citrix 進行相關調查。

據媒體報導,Citrix 共有多達 6TB 文件資料可能遭駭客竊取;至於文件含有哪些機密內容,目前仍在調查中。 

由於 Citrix 提供許多美國政府單位和中大型企業的雲端服務,也包括遠端存取在內,所以這起駭侵事件中外流的機密資料可能牽連甚廣。

資料來源:

  1. https://www.citrix.com/blogs/2019/03/08/citrix-investigating-unauthorized-access-to-internal-network/
  2. https://resecurity.com/blog/supply-chain-the-major-target-of-cyberespionage-groups/
  3. https://doubleoctopus.com/security-wiki/threats-and-tools/password-spraying/

川金會進行時,北韓駭客持續攻擊美國與盟國單位

正當河內的川金會從籌備、兩人會面到破局,這段期間內北韓駭客依然沒有放鬆對美國及其歐洲盟友的網路攻擊力道。

紐約時報報導,近一年半來,北韓駭客不斷對美國、歐盟及其他盟邦的公家機關、私營企業等單位進行駭侵攻擊,甚至在川金會期間也不放鬆。

資安公司 McAfee 研究指出,自 2017 年以來,北韓駭侵團體不斷試圖駭入美國與其他盟國的銀行、公用事業、石油和瓦斯公司;不論雙方關係緊張還是和緩,攻擊行為都沒有減少。

McAfee 研究人員透過駭入北韓駭客使用的伺服器,直接即時目擊北韓駭客攻擊美國與世界其他國家公司行號的行為,受駭公司多達一百家以上。

駭客利用與北韓友好的納米比亞網路當做跳板,對各國重要公司的內部網路進行攻擊;攻擊目標主要分布在美國紐約、休士頓,以及主要盟邦重要城市的公司,如倫敦、馬德里、東京、特拉維夫、羅馬、曼谷、台北、首爾、東京、香港;甚至連俄羅斯和中國的城市也包括在內。

北韓駭客駭入這些公司的目的尚不明確,但遭攻擊的,多是公司的工程技術人員或高階主管,因為這些人能存取該公司機密資訊或智慧財產。

資料來源:

  1. https://www.nytimes.com/2019/03/03/technology/north-korea-hackers-trump.html
  2. https://www.thesun.co.uk/news/8555223/north-korean-hackers-hit-us-european-banks-trump/

華碩電腦 Live Update遭駭,百萬使用者恐安裝惡意軟體

原本提供即時更新,保護使用者的資訊安全的華碩Asus Live Update,近日被資安公司卡巴斯基公布,此更新機制遭受駭客攻擊利用,變成使用者安裝惡意軟體的一大捷徑。

為方便使用者,華碩(Asus)開發了一款自動、即時的軟體更新工具程式—Asus Live Update,附於華碩筆記型電腦內,當電腦開機時會自動開啟,連入華碩網站檢閱是否有華碩相關軟體更新版本,並進行自動更新。

此項方便的即時更新工具程式,卻在去年(2018)6月至11月間,遭受有心人士透過未知管道獲得之合法華碩數位憑證,將後門或惡意程式植入被更新之軟體中,大量散播惡意軟體,此事件之攻擊手法被稱作「ShadowHammer」。

ShadowHammer攻擊事件

今年(2019)1月時,卡巴斯基公司應用了新的供應鏈攻擊(Supply Chain Attack)相關檢測技術,用以檢測合法程式中被隱藏的異常部分,因此發現華碩電腦可能遭駭並遭植入惡意軟體。在被發現之前,此攻擊可能已經持續了半年以上,影響範圍可能相當大。

Asus目前表示已主動聯繫可能遭受攻擊之用戶,並且提供檢測以及更新之相關服務,也透過客服專員協助相關用戶解決問題,同時亦會持追蹤,確保使用者資訊安全無虞。

除了協助使用者,華碩已針對該軟體進行升級為全新多重驗證機制,針對此次事件的各種可能漏洞,強化其加密機制,確保事件不再發生。

檢測及建議措施

在ShadowHammer攻擊中,目前已經在200支惡意程式樣本中,查出約600個不同的MAC位址,未來將會對更多樣本進行檢測。卡巴斯基也提供擔心的使用者於其網站中(https://shadowhammer.kaspersky.com/),查詢自己電腦是否有問題。同時,華碩已提供ShadowHammer的檢測工具 (https://dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip?_ga=2.20570680.1823363715.1553584600-974246282.1552277686),供擔心的民眾用以檢測電腦是否有被攻擊。

若民眾仍擔心安裝到惡意程式,建議可至「系統設定」視窗中,將「服務」和「啟動」標籤下的Asus Live Update選項取消,停止該程式的開機自動啟動。並且將Asus Live Update更新至最新V3.6.8或是更高的版本。且除非作業系統等較重要之升級,驅動程式不需持續更新,若真的需更新,使用者可直接於官網下載更新,不應透過其他軟體下載安裝,以避免遭植入惡意軟體。

資料來源:

  1. https://securelist.com/operation-shadowhammer/89992/
  2. https://www.kaspersky.com/blog/shadow-hammer-teaser/26149/
  3. https://www.asus.com/tw/News/IsyIB2Q5VN9N1Y3w

請小心您收到的Email,究竟是真是假?!

近期發現「竄改商務電子郵件」詐騙案例近期案例,臺中市某鞋品貿易公司遭詐騙集團鎖定,掌握林姓業務與國外合作公司(下稱A公司)有筆應付款項,仿照A公司業務的電子郵件帳號「xxxxxdaixx@163.com」,設立名稱相似的「xxxxxdeaixx@163.com」假帳號發信給該名林姓業務,謊稱原帳戶因稅務問題進行整併中,要求變更匯款帳戶至瑞典北歐斯安銀行之境外帳戶,林姓業務所屬公司因與A公司長期合作,遂不疑有他,直接以傳真銀行方式匯出臺幣數十萬元。孰料5天後,A公司通知並未收到匯款,林姓業務連忙找出當初聯繫之電子郵件內容,發現假帳號竟多了1個e字母,「e」字之差使公司損失達數十萬元。

  • 經分析是類詐騙手法略述如下:
  1. 詐騙集團攔截被害人公司交易信件,並申請與企業客戶電子郵件地址相似度極高的假郵件使之混淆(如前揭案例僅多一字母「e」,歹徒所設「xxxxxdeaixx@163.com」電子郵件與原本「xxxxxdaixx@163.com」極為相似)。
  2. 模仿原本往來郵件語氣發信給被駭企業之客戶,騙取企業或客戶變更匯款帳戶,藉機詐騙被害人將貨款匯至詐騙集團所預設帳戶。

取得企業客戶的信任而匯款,俟原受款客戶反映未收到貨款時,方知受騙。