[資安小常識] 6 大法則,讓您擁有更安全的線上金融交易!

不論您是在線上查看銀行帳戶餘額、繳納帳單費用、付款、購物或銷售商品,以下 6 大法則可協助您將風險降至最低。 1. 協助電腦抵禦來自網際網路的威脅 使用防火牆、防毒及反間諜軟體來協助保護您的線上交易。將家用的無線連線加密。透過自動更新,讓所有軟體 (包括網頁瀏覽器) 保持在最新狀態。如需詳細資訊,請參閱協助保護您電腦的 4 步驟 (英文)。 2. 建立「強式密碼」 「強式密碼」是指您自己容易記住但別人很難猜中的密碼。強式密碼的長度至少需有 14 個字元 (建議密碼長度越長越好),並需包括數字、符號及大小寫的英文字母。如需詳細資訊,請參閱了解如何建立強式密碼 (英文)。如果您已有想用的密碼,可以透過此網站檢查您的密碼強度 (英文)。 請審慎保護您的密碼和 PIN (個人識別碼)。請勿在電子郵件、立即訊息或電話中分享該資訊。 針對銀行帳戶和其他重要財務資訊,請使用獨特的密碼。請避免在每一處使用相同的密碼。如果有人竊取該密碼,則該密碼保護的所有資訊均有風險。 3. 自行尋找所需的網址 電子郵件訊息、簡訊、立即訊息或快顯廣告中所含的連結,可能會將您導向至看起來合法但其實不然的網站。若要瀏覽網站,請自行輸入網址,或使用您自己的書籤或 [我的最愛] 以連結至該網站。 4. 尋找能證明您資訊安全的標誌 您在網頁上輸入機密資料之前,請先確認: 該網站是否使用加密。加密是指在您的資料跨越網際網路時,可協助加以保護資料的一項安全措施。加密的跡象包括含 https (“s” 代表「安全」) 的網址,以及旁邊有一個關閉的鎖頭 (鎖頭的標誌也可能出現在視窗右下方)。  假設您進入正確的網站,例如您網路銀行的網站,而非假造的網站。如果您正在使用 Internet Explorer,其中一個能證明這是可信賴網址的證據就是如上圖所示的綠色網址列。 5. 僅在您的家用電腦進行金融交易 切勿在公用或共用的電腦或在使用公用無線網路的裝置上 (例如筆記型電腦或行動電話),繳納帳單費用、進行網路銀行操作或進行其他金融交易。這些方式的安全性並不可靠。 6. 運用常識進行判斷 若要保護自己避免遭到詐欺,請留意詐騙郵件。例如,對於下列情形必須特別小心:聽起來過於有利的交易;從您的「銀行」發出的提醒,指出除非您採取一些立即行動,否則您的帳戶將被關閉;通知您已中了樂透彩;或是對方拒絕親自見面進行本地交易。 不論是透過電腦或電話傳送,這類訊息的目的通常都是要引誘您瀏覽虛構的網站,犯罪者則會透過該網站收集您的財務資料 (如果您懷疑該訊息的真實性,請透過普通市內電話之查號台,查詢該公司正確電話號碼後,以電話與該公司聯繫確認。)。了解如何偵察與防禦網路釣魚詐騙 (英文)。


[資安小常識] 小心!瀏覽Facebook時也要注意安全

Facebook 一直是惡意程式作者偏好的熱門目標,然而我們發現有另一項惡意程式種類也使用此熱門社交網路進行傳播。我們偵測到的惡意程式主要元件為 Trojan:Java/Boonana,它是以 Java 編寫而成,因此具有跨平台的感染能力,可感染 Windows、Mac 和 Linux 使用者。 Trojan:Java/Boonana 是透過視訊連結傳送給 Facebook 使用者。藉由按一下連結,使用者將會收到執行 “JPhotoAlbum” 應用程式的提示,這是一個在 JAR 檔案內的 Java 類別 (JPhotoAlbum.jar SHA1:159e6bc0616dec2062c92a7dd918c8179b2de640)。如果是在獨立的瀏覽器或平台上,透過按一下滑鼠允許執行此應用程式,剩餘檔案將會被下載並在電腦上執行。 隨後下載的元件為: cplibs.zip:用於加密/解密 Mac 中類別檔案的公用程式 OSXDriverUpdates.tar:偵測為 Trojan:MacOS_X/Boonana 的 MacOS X 元件 (SHA1:7f0f3ec0460c117e299960a47cac27c7a6d96b32) Nircmd.chm:用於從 cmd 列執行檔案的公用程式 ofex.exe:偵測為 TrojanSpy:Win32/Boonana.A 的鍵盤記錄木馬程式元件 pax_wintl:Java 開放原始碼網路類別 rawpct.jar:IRC 外掛程式類別,可能也用於傳播至 IRC 使用者 rvwop.jar:包含 Facebook 傳播類別且偵測為 Worm:Java/Boonana.A 的 Java 類別 siv.exe:偵測為 TrojanDownloader:Win32/Boonana.A 的下載器元件 VFXdSys.exe:偵測為…


[資安小常識] 您可曾想過用作弊程式取得遊戲的最強裝備?

如果您是《最後一戰》的玩家,那麼您大概就會知道,限量版「火焰盔甲」是非常稀有的盔甲裝備,只有《最後一戰》的製作群、Bungie 公司,還有已經完成這款遊戲過去幾個版本中所有電玩大師挑戰的玩家才可以取得。在最新的《最後一戰:瑞曲之戰》中,有許多玩家想盡各種辦法要破解程式以取得這一套裝備。很明顯的,惡意程式編寫者也抓住這個機會,藉機四處散發包裝成火焰偵查頭盔以及《最後一戰:瑞曲之戰》遊戲程式碼產生器的惡意程式。 圖片 1 – 偵查盔甲 我們遇到兩個案例,分別為偵測出 PWS:Win32/Fignotok.A 的 Mod V3xD.exe (Sha1:1855974d848568968f4c97871a70fa42aff8fbc8) 以及 Halo Reach Flaming Recon.exe (Sha1:775c62aa8530eb616ff5444298d3dc4cff5c823e)。這兩個執行檔都會開啟一個名稱為 haloreachflamingrecon.exe 的檔案,宣稱可以產生火焰盔甲的程式碼。但是,這個檔案不但無法產生程式碼,還會利用詢問使用者的登入詳細資料 (請參閱下圖 2)、然後將資料透過電子郵件傳送至遠端攻擊者的方式,進而竊取使用者的 Xbox Live 遊戲資料。這個檔案還會連線至一個遠端位置 (目前已無法存取),並從這個位置取得其他設定檔案。 圖 2 – 輸入您的 XBox Live 帳號詳細資料以啟用您的火焰盔甲!但是實際上卻是,您只能眼睜睜地看著您的帳號資料被盜。 另外一種利用《最後一戰》來獲利的惡意程式種類中,有一個叫做 Halo Reach Generator.exe 的檔案 (Sha1:7ab2f6cbacd967aa72360af76e666e3c6cbf56ec) 已偵測出有 Worm:Win32/Rebhip.A。這種蠕蟲病毒會透過卸除式磁碟機四處散佈,並且也會竊取機密資訊。 所以,在您利用程式碼產生器來提升遊戲主角裝備等級的同時,請務必三思,因為換來的可能是帳號被盜。沒有人喜歡作弊的人,公平地進行遊戲才是真正的高手。


新的網路詐騙手法 – 利用MSE知名度仿製幾可亂真的惡意程式,引誘使用者下載安裝

一種新的流氓軟體出現了,目前命名為:流氓軟體:MSIL/Zeven。我們在收到這個程式的樣本和 URL 之後,即開始進行相關調查。 設計出這種流氓軟體的人,「非常」喜歡抄襲。他們一開始先自動偵測使用者正在使用的瀏覽器,如果是 Internet Explorer、Chrome 或 Firefox,就假造出惡意程式警告的頁面。這是一種利用社交工程的詐欺手法,目的是要利用使用者對於其常用瀏覽器的信任,誘騙使用者下載並安裝該流氓軟體。這些假造的頁面看起來幾可亂真,甚至還可以矇騙專業技術人員。舉例來說,在 Firefox 的頁面中,您會發現這並不是真正的警告頁面,因為頁面中的英文「out」拼錯了,寫成「Get me our of here」。 但是就上述三種瀏覽器而言,一般來說您不會注意到的是,在真正的瀏覽器警告中並不會提供所謂的「更新」或是「解決方案」。所有此類「更新」連結都指向保證提供「能偵測最新惡意程序的防護程式」。一般正常狀況中任何一種瀏覽器如Internet Explorer、Firefox 和 Chrome 在封鎖一個網站時,並不會提供此類解決方案。 安裝 MSIL/Zeven 後,產品看起來幾可亂真:讓您可以掃描檔案、通知您更新在背景中仍繼續執行,並且讓您可以自行更改安全性和隱私設定。在許多合法的防毒解決方案中也通常都會有這些功能可以使用,但是在 MSIL/Zeven 中,這些功能完全沒有作用;一切都只是假象而已,也不會提供任何防護的功能(就像其他流氓軟體防毒程式一樣)。 當然,當這個程式掃描過您的電腦以後,就會宣稱已在您的電腦中找到恐怖的惡意程式,如下圖所示: 依照慣例,流氓軟體掃描器就算是「找到」惡意檔案,程式也會宣稱除非您進行更新,否則就無法刪除這些惡意檔案。這也就表示,您必須付費購買完整版本的程式,才可以下載更新。但是,這些掃描器所找到的惡意檔案其實是假的;在使用者的電腦裡根本沒有這些檔案。 如果您決定要購買此產品,這個 流氓軟體 就會開啟一個啟用「安全瀏覽模式」和高強度加密功能的 HTML 視窗,在您購買產品時「協助」及「保護」您。當然,這些功能一點用處也沒有,而且無法保護您信用卡詳細資料的安全。 流氓軟體 防毒程式的首頁外觀也與 Microsoft Security Essentials (MSE) 網頁十分相似 – 這也是這些罪犯仿造的手法。設計出這個流氓軟體的人甚至還剽竊 Microsoft Security Essentials 獲得的認證以及與 Microsoft 惡意程式碼防護中心 (MMPC) 的連結 – 非常狡猾。 這是此流氓軟體首頁的螢幕擷取畫面: 以下才是真正的 Microsoft Security Essentials 網頁螢幕擷取畫面,提供您比對:…


[資安小常識] 慎防來路不明的捷徑圖示(LNK),你不能不知的新攻擊手法!

在近期的安全事件追蹤中,微軟發現了駭客透過蓄意偽造之惡意連結圖示(LNK),導致使用者電腦遭感染後自動下載木馬等相關攻擊程序感染之手法;在持續追蹤中,繼 Stuxnet、眾多的 .LNK惡意程式等之後,在近期又出現影響層面最為廣泛且破壞性最高的 Sality引起Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴高度關切;這些惡意程式從原先透過USB等外接設備對使用者進行感染之外,也透過多種其他管道譬如混雜在影音,壓縮檔案中誘騙使用者點選導致觸發感染程序. 針對這些相關攻擊行為,微軟已經在2010年8月2日公佈了 CVE-2010-2568 (於 Microsoft 知識庫文件編號 (2286198) 中說明) 的非例行性更新解決辦法發佈計畫。Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴一直在密切注意這個利用此風險進行惡意攻擊的 .LNK 檔案。正如許多新的攻擊技術,後起的攻擊者都可以快速地將新的技術整合在一起。雖然已有許多種病毒都使用這種傳播方式,但是在本週,其中一種叫做 Sality 的病毒特別引起了我們的注意,尤其是 Sality.AT。Sality 是一種具有高度破壞性的病毒;目前已知此種病毒會感染其他檔案 (感染後即完全移除)、自行複製至卸除式媒體、停用安全防護功能,然後下載其他惡意程式。同時,這也是一種非常大型的病毒種類,可以說是今年最廣泛的種類之一。加入 .LNK 的傳播方式後,受到惡意 .LNK 和 Sality.AT 結合病毒攻擊的電腦數目很快就超過了受到 Stuxnet 病毒攻擊的電腦數目。不久之後,一定會有更多病毒種類利用這種技術方式進行散佈傳播。下列 *圖表可以說明這個趨勢: 這些數字顯示出我們保護的系統 (Microsoft Security Essentials、Microsoft Forefront…


2010 年 8 月 3 日 非例行性的資訊安全公告

這個通告為您簡介 2010 年 8 月 3 日 (非例行性) 發行的新資訊安全公告。 新資訊安全公告概觀 Microsoft 發行一個新的資訊安全公告 (非例行性),解決最近發現的資訊安全風險: 資訊安全公告編號 資訊安全公告標題 最高的嚴重性等級 資訊安全風險的影響 重新開機需求 受影響的軟體 MS10-046 Windows Shell 的弱點可能會允許遠端執行程式碼 (2286198) 重大 遠端執行程式碼 需要重新開機 Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2。 上述僅概要列出受影響的軟體。如需完整資訊,請透過左欄中的連結參閱資訊安全公告。 提要 這個資訊安全更新可以解決 Windows Shell 中公開揭露的資訊安全風險。如果出現使用者檢視蓄意製作捷徑的圖示,這個資訊安全風險可能會允許遠端執行程式碼。如果攻擊者成功利用這項資訊安全風險,就可以取得與本機使用者相同的使用者權限。在系統上帳戶使用者權限較少的使用者受到的影響,比擁有系統管理使用者權限的使用者小。 對於所有支援的 Microsoft Windows 版本,這個安全性更新的嚴重性等級為「重大」。這個資訊安全更新會更正捷徑圖示參照的檢驗,藉此解決資訊安全風險。 這個安全性更新解決了首次在 Microsoft 資訊安全摘要報告 2286198 中說明的弱點。…


[資安小常識] 處心積慮的惡意人士如何利用搜尋引擎最佳化 (SEO)?

我們經常從重大新聞事件中讀到處心積慮的惡意人士如何強行徵用搜尋引擊,在我們尋找新聞事件的詳細資訊時,結果把我們導向提供某些惡意程式碼的頁面,那些通常是假造的防毒程式。但是,壞人是如何欺騙搜尋引擎,使他們的網站在搜尋中的排名如此之高,進而說服人們按一下連結呢?這邊將以濫發訊息的鞋子賣家做為此技巧的範例進行說明。 首先,我們設立一個 Twitter 帳戶,並透過這個帳戶發送資訊安全相關新聞。為了尋找這類新聞作為Twitter的訊息來源,我們設定了幾個網頁通知(Alert),來幫忙尋找網路上的資安相關新聞,發現其中一個網頁如下: 這則新聞看起來像真的。它是一個部落格,說明零售業的員工如何從信用卡獲得詳細資料,進而製作一樣的卡片來盜刷。唯一會令人感到奇怪的是,裡面提到知名品牌運動鞋的名字。 但是當您進去閱讀文章時,它看起來如下:   文章來源不明,因為網際網路上的搜尋是根據其他採用這篇文章做為 SEO 定位且有利於其他網站的案例而彙集的。 不過,您還是會注意到 (上面紅框的部分),這個文章版本分佈著許多販售鞋子的網站連結(您可以在螢幕擷取的左下角看到部分 URL)。 那麼 SEO 如何運作呢? 網路行銷的人,為了賺取更多的獲利,會努力盡量讓產品曝光,將他們的商品呈現在您眼前。現今最佳的方式之一就是提高他們網站的知名度,以名列於您在搜尋他們所販售之項目時會出現的網站清單中。因此,他們了解到無論如何都要在搜尋引擎計分公式中得到高分。職業道德較低者,如您所見,甚至會嘗試劫持與他們所販售之項目無關的熱門主題,就為了要得到高分以名列於搜尋結果中。 在這個範例中,我們看到: 從受歡迎的主題開始:信用卡詐騙。人們會選讀這類文章,進而提高這些頁面的價值 (於是,很不幸地,當我們按一下並閱讀這些頁面就會提高它們的價值)。 在該頁面上,有一些可連到販售他們鞋子的網站連結。由於這個頁面如此有趣,而且多次指向他們的銷售頁面,所以,那個銷售頁面也一定非常有趣,搜尋引擎當然也會這麼認為。 搜尋 Nike 的人很可能也會搜尋 Puma,因此,若內容同時包含兩者,那麼這個頁面甚至會變得更加引人注目。 以上的結果就是,販售他們鞋子的頁面得到很好的分數。 現在,當您搜尋 “puma shoes” 會出現什麼呢? 許多熱門搜尋引擎顯示的第一個結果是一組贊助的網站、已付錢給搜尋引擎以便名列第一的公司,接著是 Puma 的官方網站。其餘是誰排第一?就是它啦!就是剛才說明與 SEO 有關的網站 (上述結果的擷取時間為 2010 年 7 月 8 日清晨)。在另一個搜尋引擎上,第一和第二結果相同 (不出所料),而這個網站是其餘中的第二個。   我們試過使用 Bing 進行相同搜尋,發現定位的結果降到第 6 頁才出現。雖然在這個特定情況中未與 Bing 團隊配合,但是我們會確實與他們合作,並通知他們任何發現惡意程式碼的情形,所以,他們不會將那些網站提供給他們的客戶,就如同我們與 SmartScreen 人員合作,協助 Internet Explorer…


[資安小常識] 手機內的MicroSD卡也有可能受到惡意程式感染嗎?

Microsoft 最近發現,在部分的新手機所內含配備的 microSD 卡,受到惡意程式碼的感染。惡意程式碼本身不會在手機上執行,但會嘗試感染您的電腦。其中一個可能的感染原因,推測是用來製造第一版 SD 卡影像的電腦受到了感染,進而將感染散播到客戶電腦。 這個惡意軟體似乎只散發給少數客戶,而影響範圍限定為西班牙東部到波蘭西部這塊特定地理區域。 我們偵測到這個惡意程式碼為 Worm:Win32/Verst.A。 除了形成蠕蟲以外,Verst.A 還會搜尋各種應用程式的認證和軟體註冊詳細資料,其中包括 Miranda ICQ、WebMoney、QIP Infium 和 Multi Password Recovery。有趣的是,我們發現這個威脅會從其他密碼復原工具搜尋已儲存的認證。如需詳細資訊,請參閱我們的詳細分析,網址為:http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Verst.A Verst.A 利用 Windows 中的自動執行功能進行散佈。如果執行,蠕蟲就會發佈威脅,持續地嘗試將它自己複製到所有磁碟機 (從 A 到 Z)。幸好 Windows 7 在叫用自動執行之前會先提示使用者。此外,您也可以依照這裡的指示來更新其他 Windows 版本的自動播放功能。 如果您懷疑自己的電腦已受到感染,建議您使用 Microsoft Security Essentials 等可靠的掃描程式掃描您的系統,以偵測是否存在惡意程式碼。


2010 年 6 月份 Microsoft 資訊安全公告

台灣微軟公司今(九)日發佈2010年六月份的資訊安全公告,本次的資訊安全公告有 10 個新的安全性更新程式 MS10-032 到 MS10-041,嚴重性等級為重要與重大。   ·  編號 MS10-033 更新程式可避免當使用者開啟蓄意製作的媒體檔案,或者從網站或任何提供 Web 內容的應用程式接收蓄意製作的串流內容時,攻擊者利用弱點取得使用者權限。 ·  編號 MS10-034 更新程式,針對Internet Explorer ActiveX 的弱點進行修正,當使用者使用 Internet Explorer 檢視蓄意製作而產生特定 ActiveX 控制項時,此安全性更新可設定 Kill Bit (刪除位元),避免攻擊者取得受影響系統的完整控制權,進而建立具有完整使用者權限的新帳戶。 ·  編號 MS10-035 更新程式,針對Internet Explorer進行修正,避免攻擊者蓄意架設惡意網頁,竊取使用者資訊,解決使用者在瀏覽網頁、存取資訊時資訊洩漏問題。   台灣微軟公司強烈呼籲所有客戶立即使用「Windows Update自動更新」功能隨時更新程式,避免惡意程式攻擊,或是立刻下載更新程式,以確保電腦使用的安全。 >> 參考本月的資訊安全相關摘要說明。 Microsoft 發行下列十個新的資訊安全公告,解決最近發現的弱點:  資訊安全公告編號: MS10-032 嚴重性等級: 重要 公告標題:Windows 核心模式驅動程式的弱點可能會允許權限提高 (979559) 安全性風險的影響:權限提高 重新開機需求:需要重新開機 受影響的軟體*:Microsoft Windows。  資訊安全公告編號: MS10-033 嚴重性等級: 重大…


[資安小常識] 什麼是Drive By Download?

根據微軟所持續追蹤的各種攻擊手法當中,今天將簡介在近年來相當廣泛被使用的一種「Drive By Download」攻擊手法類型,主要針對使用者的電腦未完整更新(包含作業系統或是電腦中的第三方軟體),來進行攻擊行為;通常攻擊者會先將惡意程式碼隱藏於網頁中,當始使用者存取到該網頁時便會遭受惡意影響並轉址到真正含有惡意程式的網站,進行下一步的感染/植入或是相關的竊取個資等行為。     從調查分析中顯示,台灣地區也是屬於該類型攻擊的高風險區,因此提醒使用者務必要隨時保持您的系統與相關軟體在最更新的狀態,同時間並持續性的更新所使用防毒軟體的病毒碼。