【內部使用】

行動網路安全與詐騙分析

國家資通安全科技中心

王歆綺

105年7月28日

1

大綱

●行動裝置源起

●行動裝置之使用

–通訊: Line、Facebook…etc

–遊戲

–移動金融

–行動支付

● Free Wifi 存在之威脅

●行動裝置詐騙手法

●行動裝置威脅案例

●勒索軟體

●如何防範…

2

行動裝置源起

●行動終端設備

–手機類

–數據類 (ex. 筆記型電腦、平板、PDA)

–彙整語音數據二者 (ex. Smart phone、PDA手機)

●具備PDA與無線網路通訊功能

(GSM/CDMA/GPRS/3G/4G)

●具備行動電話功能與無線網路通訊功能、多媒體、

遊戲…等

具備運算及通訊(網路或電話)功能之手持式裝置

3

行動裝置之使用

●社群通訊

●遊戲

4

行動裝置之使用

●移動金融

–網路銀行

–股票及證券下單

●行動支付

–簡訊為基礎的轉帳支付

–行動帳單付款

–行動網路支付

–QR碼支付

–非接觸型NFC支付

●收發電子郵件

5

Free Wifi 存在之威脅

●偽冒已知公開Wifi名

稱

●架設wifi基地台，讓

使用者連線，以竊取

使用者資料

行動裝置詐騙手法

7

利用行動裝置詐騙手法

●詐騙手法多利社群通訊軟體 (ex. 簡訊、Line)

●多利用大多數人有興趣之標題

–恭喜獲得全聯禮券

–北北基明日停班停課狀況

–年收入160萬元以下趕快去健保局申請菸品健康捐補助

健保費

–總統大選逼近，民調封關，想看各機構最新民調結果請

連結http://...

–免費動態貼圖下載

●偽裝成熟悉的朋友

8

●遭植入後門程式

–可隨意操控手機

–行動支付、

–發送APT電子郵件

–發送惡意簡訊

–安裝鍵盤側錄軟體，監

聽所有資訊

利用行動裝置詐騙手法

●遭植入木馬程式

–通訊錄

–通話紀錄

–帳號密碼

–個人行蹤資訊

–通訊內容

–相片/影片

不小心點了惡意連結會如何?

9

惡意簡訊詐騙案例

惡意簡訊內容以台北地院名義，要求使用者點選連結網址下載回執單

10

惡意簡訊詐騙案例

駭客竊取Line帳號，假冒熟悉親朋好友

傳送訊息

宣稱自己手機沒電，有事無法出門

要求代買遊戲點數、代收手機認證碼

被害人回傳認證碼 手機小額付款

11

中了怎麼辦

● Step1 還原手機原廠

設定

● Step2 更新kernel版本

常見話術

行動裝置威脅案例

您用的行動裝置安全嗎？

14

iOS絕對安全嗎?

資料來源：iThome整理，2014年11月

•透 過 Mac 電 腦 間 接 感 染iOS行動裝置 •即 便 iOS 裝 置 沒 有 越 獄（JB），也會使之連至C2中繼站 •之後新的攻擊手法，都可以藉此連線，再次發動攻擊或竊取使用者的行動裝置資料。

15

透過企業認證元件入侵iOS

資料來源：T客邦 3C 科技

16

貪圖免費app

資料來源：趨勢科技全球技術支援與研發中心

17

偽冒神奇寶貝遊戲

資料來源：gizmodo、theregister

18

資料偷光光

Android 手機注意！超強新型病毒 15 秒偷光你的資料！ 文／記者劉季清／ 2016-03-18 13:08

此病毒名稱: Metaphor 方式:

Step1. 發送多媒體簡訊的方式植入鎖定的裝置內。 Step2. 若用戶點選簡訊內的多媒體連結，手機的播放軟體將會當掉並且強制重啟 Step3. 該頁面的 Javascript 就會將裝置上的資料全數傳送至發送多媒體檔案的伺服器 Step4. 該伺服器便會再發送一個影音檔，內含可控制手機的惡意程式。

資料來源：自由時報

19

偽冒防毒軟體

別上當！「Google 檢測手機內有病毒」詐騙大量出現！ 文／記者譚偉晟／ 2016-05-21 12:31

最近手機用戶可能注意到，透過智慧型手機瀏覽網頁時，會出現 Google 的警告網頁，通知用戶手機已經被病毒感染、必須盡快安裝免費病毒清理應用，來解決手機內感染病毒的問題。對此趨勢科技緊急發出警告，要使用者務必注意這是「詐騙訊息」，不要輕信並下載來路不明的檔案！ 根據《中央社》報導，趨勢科技研究團隊發現 Google Play 商店有個會顯示惡意廣告的手電筒程式，名為 Super-Bright LED Flashlight，儘管這個 App 本身沒有安全問題，但只要用戶執行該應用，就會彈出網頁僅告用戶該裝置已經感染病毒！

資料來源：自由時報

20

行動平台未即時更新帶來的威脅

從惡意程式作者設計攻擊及傳染策略來看，這顯然已成為一個可以營利的產業。在MTC偵測到的威脅中，以Android作業系統裝置為目標的惡意程式，從24%成長到92%。這顯示駭客已集中火力在撰寫成為行動裝置平台的Android。報告並指出，Android陣營的分歧，只有4%的Android手機跑得是最新版本的Android作業系統，使得大部份的Android裝置用戶未能獲得Google最新安全措施的防護。 MTC並發現，73%的惡意程式為簡訊木馬。它們會誘騙使用者在不知情中傳送簡訊到駭客設立的付費簡訊號碼，藉此獲利。MTC表示，每一個成功的攻擊約可讓駭客坐收10美元的利潤。

Juniper報告：行動平台威脅一年增加6倍 Juniper Networks行動威脅中心發現，去年三月到今年三月行動惡意程式成長614%到達276,259個，顯示網路罪犯對入侵行動裝置有極大興趣。

資料來源：iThome

21

行動交易支付 & APT

22

行動裝置威脅-小結

●預測至 2016 年底，行動惡意程式數量將因中國而

成長至 2,000 萬

●下載免費 App的非官方應用程式供應平台為惡意程

式之大毒窟

● 2016年為勒索軟體猖狂之年

●新一代行動支付系統將成為駭客的重點目標

●多採用詐騙、社交工程之方法利用人心之弱點，輕

而易舉達成攻擊目的

23

Android & iOS 比一比

●Android 系統

–核心程式經由不同家行動裝置廠商，而有不同之程式碼

–惡意app數量較多

–同一個惡意app未必會對所有Android造成威脅

● iOS系統

–核心程式不開放，所有iOS與MAC系統皆為相同核心程

式

–惡意app數量較少

–同一個惡意app(針對iOS系統)會對所有Apple產品造成

威脅

24

行動裝置威脅-目的

●行動裝置上的惡意軟體，最大目的為竊取重要資料

–經常瀏覽的網頁

–經常使用的帳號&密碼

–信用卡號或提款卡號 以及密碼

–打卡或使用地圖時，使用者的行蹤

●行動支付將為新的標的物

–行動支付的方便造成相對大的威脅

●勒索軟體的目的，就是要贖金

–加密行動裝置上的資料，包括通訊錄、照片/影片

–加密整個行動裝置，使之無法使用任何app

25

資料來源：趨勢科技年度資安報告/年度回顧與預測。2015/12/14

『行動惡意程式』 數量將成長至 2,000 萬

『PC』 花了 21 年才累計達到這個數字

資料來源：趨勢科技年度資安報告/年度回顧與預測。2015/12/14

勒索軟體

27

何謂勒索軟體

● 英文名為Ransomware

● 利用加密的方式綁架受害者電腦檔案或整部電腦

● 向受害者要求贖金 (比特幣、廬布)

● 目前仍未出現支付台幣之勒索軟體，國內亦無法可循

● 是否付贖金?

● 目前勒索軟體不僅針對一般個人用戶，甚至針對大型企

業終端使用者與伺服器，逐漸成為嚴重的資安威脅。

● 於2013年第一次於Android系統上，出現勒索軟體

● 亦有透過手機下載，再傳染至PC上執行之勒索軟體

28

Android勒索軟體統計

資料來源：卡巴斯基實驗室

29

如何感染

● 網站瀏覽

–瀏覽正常網站(ex. yahoo、youtube…etc) ，但內含惡意廣告連結

–惡意網頁內嵌惡意執行檔會進行或執行非法下載，遭受勒索軟體入侵。

● 電子郵件

將downloader嵌入正常文件(ex. Word文件、pdf文件) ，或放入惡意網

站的網址，當使用者開啟文件或點選連結，便會下載勒索軟體而遭受攻

擊。

● 與受害電腦連結

行動裝置常接上電腦傳輸資料、充電

利用PC與行動裝置皆可用之app傳遞惡意軟體

● 非法軟體

若使用者下載非法軟體，也有可能被植入加密勒索攻擊程式。

30

如何感染

● 常用之勒索軟體電子郵件主旨：

–退稅通知

–電子帳單/電子發票

–假冒 Amazon.com 訂單出貨通知

–Google Chrome 和 Facebook 重大更新和通知訊息

– iPhone中獎通知

–求職信/履歷表

–電子訃聞

–誘騙使用者連到看似真正銀行或政府機構網站的假網

–輸入驗證碼（CAPTCHA，一種防止機器人的程序）

–您的帳戶欠款已過期

31

感染畫面

32

勒索軟體-Android案例

•某資安公司 發現在 Android 系統上存在一個名為 Dogspectus 的病毒 •此病毒為在行動裝置上發現的勒索病毒 •會將手機上鎖然後跳出勒索資訊，要你付錢才能解鎖。 •此 Android 病毒是無聲無息的，使用者根本不會察覺自己被安裝了勒贖病毒，直到發現自己的手機被上鎖，跳出勒贖訊息為止。

資料來源：T客邦

33

勒索軟體解密工具整理

勒索軟體 提供解密方式的網站 說明與介紹

CoinVault https://goo.gl/CmsVJA 防毒廠商卡巴斯金與荷蘭警方合作，在2014年9月逮捕了相關勒索程式的作者，讓受到CoinVault與Bitcryptor等勒索程式挾持的用戶，能解開加密。

Bitcryptor https://goo.gl/CmsVJA Bitcryptor等勒索程式挾持的用戶，能解開加密。

Linux.Encoder.1 http://goo.gl/rjepxA Bitdefender發現，Linux.Encoder.1勒索軟體中含有漏洞，可直接回復AES金鑰而不必利用RSA來解鎖。

多種勒索軟體 http://sensorstechforum.com/cryptodrop-prevents-ransomware-encrypting-data/

由美國佛羅里達大學網絡安全研究團隊所設計的 CryptoDrop 系統，其特點在於會主動出擊，時刻監控電腦內的資料之餘，一旦發現到有勒索軟件後並不會阻止它們啟動，反而是去阻止它們完成任務。

多種勒索軟體 http://esupport.trendmicro.com/solution/zh-TW/1114221.aspx

由趨勢提供之勒索軟體檔案解密工具

資料來源：自行整理

如何防範

35

如何防範

●做好3-2-1備份原則

–備份3份

–形式2種 (隨身硬碟、光碟片、雲端)

–其中1份需存在不同實體位置

●限制惡意程式安裝

–不允許安裝非市集中的App

–設定安全性應用程式設定中 未知來源，將之取消勾選

●重大系統更新需即時

●任何App皆需時時更新

36

如何防範

●加強通訊軟體安全性

– 開啟阻擋訊息功能(以Line為例)

– 將「隱私設定」中的允許利用ID加入好友 關閉

– 將「隱私設定」中的阻擋訊息 打開

●若有使用臉書…

– 「設定」中有許多隱私設定，需逐項去確認

– 「隱私設定與工具」

●保持登出的習慣

37

如何防範

●保持「疑神疑鬼」的態度

–即便是熟悉的朋友只丟一條連結，也需與對方聯絡確認

再開啟

–任何密碼設置皆需符合複雜度原則(大、小寫、特殊字元、

8位元以上)

–不隨意開啟未知來源之電子郵件附檔，若為熟悉朋友，

亦需電話或其他方式確認為對方寄出，方可開啟

–勿隨意點取簡訊內之連結

–小心…冒充防毒軟體的惡意程式

38

自我檢視

39

Thank you Q&A