作者:Leo Yeh
最近才剛發佈的微軟資訊安全情報報告第 12 期 (英文) 文件中提到了Conficker 蠕蟲 (英文) 的數量在近幾年來是持續不斷地增加中。
圖一、2009 ~ 2011年中, Win32/Conficker 蠕蟲之數量檢測。
其中最主要是因為一般使用者設定密碼太過簡單而容易遭受攻擊,如 admin 、 default 或 test 皆是屬於過於簡單的密碼,至於更多 Conficker 蠕蟲的詳細資訊請參考「研究Worm:Win32/Conficker.B」 (英文),除此之外要如何設定一個好的密碼呢?請參考上期的資安小常識「三大準則確保網路密碼的安全」。
圖二、Win32/Conficker 蠕蟲之視覺資訊圖表。 (放大檢視)
但是什麼是蠕蟲呢?它和病毒以及木馬有什麼差別呢?本期資安小常識將說明這三者的不同。
首先當您發現電腦執行速度變的很慢時,第一個反應就是中毒,但要如何確定是否真的中毒了呢?請參考「要如何分辨電腦是否有病毒呢?」。可是您是否曾經有疑惑,電腦中毒時,常常有人會提到病毒、木馬、蠕蟲和惡意程式等專業術語,其中到底有何差別呢?
任何被設計來特別造成使用者電腦、伺服器或網路傷害的軟體,基本上就是惡意程式,而木馬、病毒和蠕蟲皆屬於惡意程式。接下來對進行木馬、病毒和蠕蟲這三者的比較,請參考圖三。
圖三、木馬、病毒和蠕蟲三者差別之比較表。
當然若您想更深入了解更多有關病毒的資訊,請參考「病毒:常見問題集」。
現在您是否已經能簡單地分辨出木馬、病毒、蠕蟲這三者的不同了嗎?最後還是建議您記得要安裝防毒軟體保護電腦避免惡意程式的危害,當然微軟最近也才剛釋出最新版本的免費防毒軟體 Microsoft Security Essentials 4.0,不僅僅容易安裝,還提供免費的防毒服務,此外更可以輕鬆製作屬於您的掃毒隨身碟,讓您使用電腦時更加的放心。
參考資料
網路上密碼被破解的事件層出不窮,主要原因皆是密碼過於簡單容易被破解,因此要如何確保網路密碼不易被猜到或取得呢?本期資安小常識將告訴您三大準則確保網路密碼的安全:
建立強式密碼首先你要能記住你所設定的強式密碼,但別人卻難以猜測。至少 14 個字元的密碼,越長越好,其中包括數字,符號,大寫和小寫字母,更重要的是保持密碼和個人識別號碼 ( Personal Identification Numbers,PIN ) 的秘密以及避免使用相同的萬用密碼當金融交易密碼,因為如果有人偷了萬用密碼,此時萬用密碼所保護的資訊將暴露在危險之中。以下四個建議步驟可以幫助您更容易記住建立的強式密碼 (區分大小寫):
更多相關的詳細資訊:
最後還是呼籲大家在使用網路密碼時,除了遵守以上三大準則確保網路密碼的安全之外,更重要的還是要避免在公開的場合透過公開的無線網路輸入網路密碼,降低網路密碼被取得的風險。
前言
微軟高可信度電腦運算部門副總裁 Scott Charney 最近在 RSA 會議上的主題演講分享 (英文影片) 談到未來十年的安全願景。同時在相關的高可信度電腦運算白皮書 (英文) 中更談到了我們目前生活在資料為中心的世界,透過任何裝置分享您生活的一切資訊。
1990 年出現全球資訊網 (World Wide Web),代表著使用者透過是用戶端和伺服器瀏覽文件,如果一個人想像的原始網頁,如圖一所示:
圖一
但是今天一個人不僅僅是原始網頁而是很豐富的經驗資訊,如圖二所示:
圖二
因此在網際網路中與個人相關的資訊越豐富,就會洩漏更多網路瀏覽的行蹤資訊,所以繼上一篇資安小常識 「三大技巧維護您在網路上的名聲」,本月資安小常識將告訴你如何確保網路瀏覽不被廣告追蹤的三大 IE9 密技。
密技
結論
透過 IE9 三大密技追蹤保護、刪除瀏覽歷程記錄和透過 InPrivate 瀏覽,讓您除了能掌握哪些行蹤資訊提供給哪些廠商的網站使用之外,更能安心瀏覽網際網路,不用擔心過去的瀏覽行蹤資訊會在不知情的情況下被其它人取得,以及防止機敏資訊的外洩,只要多幾個步驟,讓您上網更安心。
在十年前比爾蓋茲傳了一份備忘錄 (英文) 給所有微軟全體員工宣告可信任的電腦運算計畫已經啟動並且定義相關的內容,包括了資訊安全、隱私權、可靠性和商業實務這四個基礎。高可信度電腦運算 (英文) 計畫副總裁 Scott Charney 曾說過:「目前,我們的社會不只是由軟體掌控了電力網路、全球金融體系及全球軍事單位這麼簡單,而是整個社會的脈絡已由電子郵件、瀏覽、社會網路、搜尋及 Web 應用程式交織而成。」,沒錯現今的網路應用已經漸漸融入個人的生活當中,目前使用網路的人數已經高達全世界人口的 34.7% , 但您可曾在乎過個人在網路上的資訊呢?
分析
微軟最近針對加拿大、德國、愛爾蘭、西班牙和美國,做了一份研究報告,發現有 91% 的人會花時間管理網路上的個人資料,但卻僅有 44% 的成人會主動進行長時間維護個人在網路上名聲的活動,當然還有更多的分析數據,請參考視覺資訊圖表。
有關個人在網路上名聲調查的視覺資訊圖表
什麼是您在網路上的名聲呢?
在網際網路中,您會透過分享在部落格、留言、快照、影片和連結以及其它人對於您好或不好的觀點等資訊建立屬於個人的形象。
三大技巧維護您在網路上的名聲
除了透過三大技巧來維護您在網路上的名聲之外,事實上還可以透過 Windows7 的安全性檢查清單 ,讓您在電腦操作時輕鬆的達到全面的安全保護,更能有效的預防會影響您在網路上的名聲資訊會不經意外洩,造成不可預期的負面後果。
參考網站
更多有關您在網路上的名聲的詳細資訊:Collecting online consumer data: the good, the bad, and the unknown
認識 Rootkit 病毒
Rootkit 一詞是用以描述惡意程式碼 (包括病毒、間諜軟體以及木馬程式) 嘗試隱藏其蹤跡,不讓間諜軟體封鎖程式、防毒軟體和系統管理公用程式發現所使用的機制與技術,簡單來說就是電腦病毒的其中一種。
更多資訊請參考 TechNet 文章
如果電腦中了Rootkit 病毒怎麼辦 ?
本月的資安小常識主要介紹微軟全新的Windows Defender (目前為Beta版本) (英文) ,這是離線版的掃毒軟體,但卻與一般的掃毒軟體有所不同,主要是透過簡單的步驟將掃毒軟體安裝至隨身碟中,接著在使用者重新開機時插入電腦自動進行偵測會影響電腦的 Rootkit 病毒和其他惡意程式並進行清除。
如何使用新的 Windows Defender ?
步驟一:連線至 Windows Defender 官方網站 (英文) 下載 Windows Defender Offline Tool ,依照電腦的不同選擇下載不同位元版本的安裝程式。
步驟二:執行 Windows Defender Offline Tool 安裝程式,閱讀完相關敘述後,按下 Next 鈕。
步驟三:選擇安裝至隨身碟的選項,按下 Next 鈕。
步驟四:選擇目標隨身碟,按下 Next 鈕。
步驟五:出現相關的警告訊息,告知您會進行隨身碟的格式化,若已經準備好就按下 Next 鈕。
步驟六:開始製作防毒隨身碟。
步驟七:完成將防毒軟體安裝至隨身碟了,最後按下 Finish 鈕,透過簡單幾個步驟您就能製作出屬於自己的掃毒隨身碟。
如何使用 Windows Defender ?
步驟一:插入隨身碟後重新開機,並確定電腦已設定好以隨身碟開機。
步驟二:當成功以隨身碟開機後,就會開始進行病毒的掃描和偵測。
步驟三:偵測完成後,也可���再透過不同選項進行病毒的掃描和偵測。
步驟四:病毒的掃描和偵測過程中會顯示詳細的資訊。
步驟五:病毒掃描和偵測完成,太開心了,原來電腦這麼的健康啊!
簡單幾個步驟您就可以輕鬆製作掃毒隨身碟,且只需在開機時將隨身碟插入電腦中就能直接進行掃毒以及清除更多隱藏的 Rootkit 病毒和惡意程式。當然您也可以下載 Windows 免費防毒軟體 (MSE) 並安裝在您的 Windows 電腦上,以確保您的電腦隨時受到保護。
根據 Security Tips & Talk 的 Avoid fake emails (英文) 文章中提到如果您收到一封電子郵件,聲稱來自於知名公司,但它包含一個附件,要求您傳送密碼,使用名稱或是財務相關訊息,那它可能就是釣魚郵件,若不注意就會被進行網路釣魚攻擊,造成資訊安全的問題,此時最好的辦法,就是將它刪除,當然微軟也針對這個議題加入反釣魚啟動的 Agari (英文) 之解決方案,協助找出釣魚郵件。
但是一般使用者要如何辨識電子郵件的真實性呢?此時請注意以下四大重點。
圖一、辨識釣魚郵件的四大重點範例
透過四大辨識的重點,基本上可以大幅的降低被釣魚郵件詐騙的風險。除此之外,目前最廣泛討論的進階持續性滲透攻擊 (Advanced Persistent Threat, APT),簡單來說就是透過電子郵件,再搭配社交工程進行目標式特定攻擊 (例如透過您朋友的 Email 來攻擊您) ,所以辨識出釣魚郵件從而進行預防,將會是最不能夠輕忽的重要事情。
更多相關資訊,請參考 Microsoft Safety & Security Center (英文)。
微軟高可信度電腦運算在最近發佈了Microsoft 資訊安全情報報告 第11版 (英文),以及根據微軟隱私和安全的部落格文章Microsoft SIR 11認為社交工程是惡意軟體攻擊的主要原因 (英文)中談到 2011 年上半年檢測到的惡意程式攻擊手法,社交工程 (Social Engineering) 攻擊手法佔總比例的一半,除此之外還有什麼攻擊手法以及要如何因應呢?
分析這些攻擊手法的威脅種類主要是根據 2011 年上半年度透過惡意軟體移除工具 (Malicious Software Removal Tool , MSRT) 進行檢測之後,再進行的分類,可是威脅種類的攻擊手段究竟有哪些和所佔比例呢?請參考圖一。
圖一、 2011 年上半年檢測到的惡意程式攻擊手法的比例。
因此對於這九大攻擊的因應手法,一般使用者只要按照正常操作,隨時查看更新,安裝防毒軟體以及進階的系統和軟體等設定,基本上就可以降低被攻擊的威脅,讓您電腦使用得更安心。
最近在 Security Tips & Talk (英文) 部落格中,有篇非常實用的文章 Remove personal files from your PC (英文) ,主要是學習如何有效的清理電腦中個人檔案和隱私資料,接下來將會以圖文的方式,按照「清」、「搜」、「刪」這三大步驟,一步步的將電腦中個人檔案和隱私資料清乾淨,避免相關資料外洩。
步驟一:清理您的資源回收筒
一般來說,文件刪除會丟至資源回收筒,可是人們常常會忘記要清理資源回收筒,導致個人檔案和隱私資料會被有心人再次取得且加以應用。
操作如下:
在桌面上資源回收筒圖示,按右鍵選擇「清理資源回收筒」。
步驟二:搜尋包含敏感資訊或個人資訊的文件檔案
您是否有保留密碼的檔案呢?或有關財務紀錄呢?又或者有關個人身份證件的資料呢?請您確認刪除後,再一次清理資源回收筒。可是要如何找出有包含相關資訊的文件檔案再進行刪除呢?
按下開始鈕在搜尋框中輸入敏感資訊或個人資訊的關鍵字(例如:密碼、身份證、薪資、機密…等),就能立即搜尋到相關資訊的文件,接著再將文件檔案進行刪除即可。
步驟三:刪除瀏覽器中的暫存 Cookie 和歷史記錄
基本上,每次您在登入網站時,皆會問是否要記住您的密碼,且通常我們都會打勾,但也因此密碼就會暫存至 Cookie 中,以及日常生在瀏覽網頁時皆會留下歷史的記錄,這些資訊通常會和敏感資訊以及個人資訊有關,因此要記得要透過瀏覽器刪除暫存 Cookie 和歷史記錄,最後再清空資源回收筒的所有資料!
開啟 Internet Explorer 9 瀏覽器,選擇右上角最右邊的工具的圖示,再選擇「網際網路選項」,接著按下瀏覽歷程記錄中的「刪除」鈕。
最後將所有項目勾選後,按下「刪除」鈕,即可進行刪除瀏覽器中的暫存 Cookie 和瀏覽網站的歷史記錄。
透過以上簡單的清理、搜尋和刪除三大步驟,基本上就能確保個人檔案和隱私資料不外洩,讓您更安心的使用電腦。
延伸閱讀:
Windows Phone 芒果機即將上市,新功能將與微軟的免費雲端網路硬碟 SkyDrive 更進一步整合 (英文),除了透過拍照的功能可立即將相片上傳到微軟雲端網路硬碟 SkyDrive 進行相片分享 (英文影片) 之外,更能與 Office 2010 的檔案完美的結合,讓使用者能更方便的進行檔案分享 (英文影片)。不過越來越多的使用者也開始重視隱私的問題。
SkyDrive 不只是免費的雲端網路硬碟,也是 Windows Live 的服務之一,並整合至 Messenger 社交資訊,因此當您上傳相片或檔案分享至 SkyDrive 時,您的朋友會立即得知相關的相片或檔案,但是某些情況您可能會要進行一些隱私分享的設定:
圖一 SkyDrive 上的隱私與安全控管
所以需要針對 SkyDrive 中相片或檔案的隱私分享設定,根據「Giving you more meaningful choices to control your privacy」(英文) 這篇文章,可以了解到微軟在設計隱私的五大原則:
Windows Live 預設隱私設定
基本隱私設定:
(請先登入 Windows Live 會員)
步驟一:在瀏覽器網址列輸入 profile.live.com。
步驟二:選擇「隱私設定」。
圖二 隱私設定
步驟三:選擇適當的隱私設定。
圖三 隱私設定的三種基本類型
步驟四:按下「儲存」鈕,即設定完成。
進階隱私設定:
步驟一:在隱私設定的畫面點選「進階」。
步驟二:請選擇適合的隱私設定。
步驟三:開始針對您的需求,進行進階的隱私分享設定。
圖四 進階隱私設定
步驟四:每個項目又有細部的項目可以進行設定。
圖五 進階隱私細項設定
步驟五:按下「儲存」鈕,即設定完成。
透過進階隱私設定,您會得知 Windows Live 提供五種類型的進階隱私設定:
但是以上的隱私設定,基本上是設定原則,可是一定會有資料夾或檔案,可能因為前言所提的兩種情況下,資料夾或檔案就會進行特別的設定。
資料夾隱私設定:
步驟一:進入該資料夾
步驟二:接著請點選「編輯權限」
圖六 資料夾編輯權限
圖七 資料夾的存取權限設定
檔案隱私設定:
步驟一:進入該檔案的資料夾,選擇「詳細資料檢視」。
步驟二:檔案右方點選「顯示資訊」的圖示。
圖八 選擇欲進行隱私設定的檔案
步驟三:點選「編輯權限」。
圖九 檔案編編輯權限
步驟四:選擇適當的隱私設定。
圖十 檔案的存取權限設定
但針對以上所述的兩種情況,到底要如何設定呢?本文將教您如何設定相關的隱私分享設定。
情況一:分享相片只限好朋友
設定部分朋友
步驟二:選擇「您的朋友」。 (您也可以點選 Messenger 中連絡人)
圖十一 設定部分朋友
步驟三:在左方的版面中,選擇「管理存取」。
圖十二 選擇管理存取
步驟四:輸入您要限制存取權的朋友名稱 (一次可以輸入很多個朋友) 。
步驟五:按下「限制存取」鈕。
圖十三 設定有限存取權的朋友
步驟六:當朋友名稱出現在有限存取權的朋友清單中,即設定完成。
圖十四 非有限存取權的朋友,就是指設定的好朋友
步驟七:若要朋友輸入錯誤,則可點選朋友名稱,再按「授予存取權」鈕,即可將該朋友從有限存取權的朋友清單中刪除。
圖十五 刪除有限存取權的朋友
當設定完成,除了出現在有限存取權的朋友清單中的朋友之外,其它皆是您的親朋好友,之後只要針對該相片檔案選擇部分朋友的隱私分享設定,即可分享相片只限好朋友。
情況二:分享機密檔案只限圈內人
設定類別分享
步驟一:存取權限設定中選擇「我」。
圖十六 存取權限設定中選擇「我」
步驟二:點選「從您的連絡人清單中選擇」。
圖十七 新增可以進行存取的連絡人
步驟三:點選「類別」,再勾選適當的類別。
圖十八 勾選適當的類別。
步驟四:當點選的類別顯示在下方,即代表設定成功。
最後當使用者未被授權,嘗試開啟相片或檔案時,就會出現錯誤訊息的畫面。
圖十九 當未經授權的使用者嘗試進行存取時會出現錯誤訊息
總結
現在您或許已經了解到 SkyDrive 在於隱私分享設定方面的用心,現在與 Windows Live 影像中心以及 Office 2010 整合之外,未來更會與 Windows Phone 芒果機完美整合,更方便且更安全,只要您在登入時注意左方提供的資訊,您就會發現第三點說明了「只要上線,任何地方都可存取受密碼保護的檔案」。
圖二十 SkyDrive 的三大特色,尤其是第三點資訊安全的保護
另外當檔案要被下載時,SkyDrive 會進行線上掃毒,當 SkyDrive 偵測到病毒時,會建議您取消並停止下載此檔案,確保電腦的安全。
圖二十一 當下載帶有病毒的檔案時會出現警訊
SkyDrive 網站連結:http://skydrive.live.com/
每個人都很討厭收到垃圾郵件 (Spam),所以選擇一個有良好過濾垃圾郵件 (Spam) 機制的電子郵件信箱,是非常重要的。而 Hotmail 除了提供良好過濾機制減少垃圾郵件出現在收件匣的數量,更重要的是越來越為客戶著想,如警政署與台灣微軟首次合作「緊急封鎖被盜用帳號」機制,讓台灣使用者用 Hotmail 時更安心。但您可能不知道有時候朋友寄的也會是垃圾郵件 (Spam),其中的原因可能就是朋友的帳號被利用或電腦中毒了,此時該怎麼辦呢?以及您應該更想知道 Hotmail 有提供哪些安全的操作和防毒的機制,讓您更放心的使用吧!這期資安小常識將會告訴您確保電子郵件安全的六大心法,讓您使用電子郵件更安心。
一、通知我朋友的電腦已被入侵
事實上微軟最近更新 Hotmail 新增「友人遭駭」通報機制,當您發現朋友發送奇怪的信件時,可能帳號早已被盜或被感染,可能被當成跳板大量的轉發垃圾信件 (Spam) 。而身為好朋友的您,此時就可以勾選該信件,並且選擇「標記為」中的「我朋友的電腦已被入侵」幫助他,通知他帳號早已被盜或被已經遭受病毒的感染,當然您的舉手之勞,能夠防止您的朋友不再繼續發送垃圾郵件 (Spam) 危害其它朋友。
雖然 Hotmail 有提供「我朋友的電腦已被入侵」和「網路詐騙」的功能,但您可能更想知道的是目前 Hotmail 對於垃圾郵件 (Spam) 的過濾的成效,根據這篇文章 90% less spam in Hotmail, 15% less spam on the Internet (英文) ,所提供的數據圖,讓您可以更清楚的了解,當微軟早在2006年就能有效的阻擋垃圾郵件 (Spam) 之外,也幫助全世界降低垃圾郵件 (Spam) 的數量,而目前 Hotmail 搭配的是 SmartScreen 安全機制的垃圾信件篩選功能。
圖片取自於 90% less spam in Hotmail, 15% less spam on the Internet
二、垃圾郵件過濾更安心
您可能認為垃圾郵件 (Spam) 的威脅很小,只不過很討厭或麻煩而已,但您可能不知道病毒也常常會透過垃圾郵件 (Spam) ,誘導使用者開啟郵件,此時電腦就會被中毒感染了,進一步您可能就會成為疆屍網路 (BotNet) 的一份子,建議您可以參考 How Bot-Herders Spam the World (英文) 這部短短一分鐘的動畫影片,可以幫助您更快速的了解有效過濾垃圾郵件 (Spam) ,將能夠降低成為疆屍網路 (BotNet)的風險。
圖片取自於 How Bot-Herders Spam the World
三、線上聊天之防駭心法
當然透過 Hotmail 收信的同時,不僅能處理 E-mail ,還可以進行 MSN Messenger 和 Facebook Chat 的線上聊天,談到 MSN Messenger 您一定要知道三不一問,防駭心法,透過四小折和米滷蛋的漫畫,微軟讓資訊安全更有趣,讓您體會資訊安全的防駭不可怕,但人人都是主角,至於要如何有效的預防被駭,建議可以再參考之前的資安小常識「了解即時通訊上可能會遭遇到的攻擊行為」。
此外使用 Hotmail 進行 Facebook Chat 的社群聊天,微軟更提出幾點安全提示 (英文) 將能有效的幫助您更放心的使用:
遵守以上的安全提示,您將能更安心的進行社群聊天。
四、安全傳輸更放心
雖然 Hotmail 的功能變多了,但要如何確保傳輸是安全的呢?基本上是夠安全的,可是您不放心的話,可以透過 HTTPS 安全協定開啟 Hotmail 進行使用,至於什麼是 HTTPS 安全協定,若以密碼學的角度來看,可以將安全威脅類別一般可分為四類中斷 (Interruption) 、截取 (Interception) 、更改 (modification) 和仿造 (fabrication) ,透過 HTTP 搭配 SSL / TLS 傳輸安全,即可避免截取監聽和更改中間人攻擊等手段,操作如下:
在網址列輸入 https://www.hotmail.com接著按下「一律使用 HTTPS 設定 (建議)」的按扭。
輸入密碼後,按下「登入」按鈕進行 Hotmail 以安全的方式進行登入。
當使用 HTTPS 連線時,您還可以點選網址列旁的圖示鎖您就可以更清楚的知道這網站服務是否是被識別且被受信任選擇「自動使用 HTTPS (請參閱上述注意事項)」,接著按下儲存這樣一來,之後您不用特別輸入 HTTPS 就能夠以安全的方式使用 Hotmail。
但當您使用時,再按下網址列旁的圖示鎖,您可能會有疑惑,為何是藍色問號的圖示,而不是綠色勾勾的圖示,但不用擔心,只要簡單的步驟檢視憑證,即可使您得知是否要信任網站識別的憑證,操作步驟如下:
點選網址列旁的圖示鎖,再按下「檢視憑證」。 透過憑證的訊息對話框,您可以了解:1. 憑證是發給 mail.live.com2. 簽發者是 Microsoft Secure Server Authority3. 有效日期是 2011 / 4 / 27 到 2013 / 4 / 264. 更詳細資訊,請切換至「詳細資料」和「憑證路徑」的項目檢視
五、安全登入多選擇
可是透過 HTTPS 加密傳輸密碼就真的很安全嗎?事實上公開金鑰的加密 (RSA) 已經夠安全了,但若您還是不放心的話, Hotmail 還有提供一次性的密碼保護,在不用輸入 Hotmail 密碼的情況下,進行登入,進行一次性代碼方式登入的步驟如下:
按下「取得一次性代碼進行登入」, 再按下「在此處取得」一開始沒有人會知道一次性代碼,因為代碼是隨機產生的所以您要取得一次性代碼,才能進行登入。輸入您的 Windows Live ID ,以及 Windows Live ID 所設定的電話號碼之後再按「傳送簡訊」的按鈕,若正確無誤,手機沒多久就會收到簡訊簡訊中就會提到一次性的代碼。 沒多久您的手機就會收到 Windows Live 一次性代碼的簡訊。 輸入您的 Windows Live ID ,以及手機簡訊中的一次代碼如果輸入正確即可進行 Hotmail 的登入。
可是您的手機可能會一直收不到簡訊,此時可能的原因有二個,第一個是您手機輸入錯誤,請重新輸入,記得手機號碼第一個 0 不用輸入以及選擇「台灣」,並且進行確認。第二個是您可能沒有設定 Windows Live ID 的行動電話,因此您只須要新增一筆行動電話號碼即可,操作步驟如下:
先以傳統帳號密碼的方式登入 Hotmail ,再點選網頁右上角的姓名,接著按下「帳號」。 在密碼重設資訊下方的行動電話,按下「新增」。 輸入您的行動電話號碼之後,按下「新增」即可完成。 此時只需關閉此網頁,重新進行一次代碼的登入即可。
至於為何使用一次性代碼登入就會安全呢?簡單來說一次性代碼的除了是隨機產生,當要寄送簡訊時還必須符合 Windows Live ID 所設定的行動電話碼才會進行寄送,且最重要的是代碼只能用一次,下一次就不能使用,所以就算代碼被駭客中途欄截取得,駭客也無法再度使用該代碼進行登入了。
六、安全密碼更貼心
雖然您已經知道了 Hotmail 多元化的安全功能,安全的傳輸資訊和進行安全的登入機制,但是最後您的帳號還有一種可能會被盜,簡單來說,就是密碼被猜到了,而要如何有效的預防輕易被猜到呢?很簡單設定一個密碼安度強度達中或強的等級即可,而微軟 Hotmail 則提供更貼心的功能,在您輸入或更改密碼時就能得知密碼安度強度的等級,讓您更安心的使用密碼。
微軟對於資訊安全的推廣不遺餘力,非常的積極,任何的軟體、服務和平台方面,皆整合微軟的使用和防毒機制達到多元化的防護,以 Hotmail 提供了上述所談到的至少包括六大心法保護使用郵件的安全:
當然還有更多使用 Hotmail 的好處,但更重要的是微軟讓資訊安全融入人們的生活,不再只是資訊人才懂的常識,推廣至一般民眾了解資訊安全保護責任的重要性,更與政府合作讓台灣人民享受更優質的資訊安全網路生活。
參考文章
安全研究人員說:「一個新的和演進的殭屍網路 ( Botnet ),已經感染超過 400 萬台���人電腦,相當難以摧毀。」,以” TDL - 4 ”為名的這個感染電腦的木馬程式以及被入侵的電腦所組成的殭屍網路,是目前最複雜的威脅所在。
分析:殭屍網路 ( Botnet ) 雖然已經被發現,但這會持續成為安全專家所探討的一個議題。有一些新的方法來打擊殭屍網路( Botnet ) 以及駭客 ( Hacker ) ,這些駭客通常會利用無知或不關心資訊安全的無助使用者來乘虛而入。其中的一個方法是使用 DNS 作為惡意軟體和殭屍網路的戰鬥工具。這個工具可以阻止受感染的機器 “phoning home ”到命令和控制 ( C & C ) 伺服器。安全專家也沒有看到使用這工具與 DNSSEC 發生衝突且相信這將會是一個幫助殭屍網路問題日益成長的方式。 網路安全真的越來越好嗎?在思科 2010年度安全報告中,思科系統公司的研究人員認為是的。在 “ Adversary Resource Market Share ”(報告的第 37 頁)追蹤受到影響系統的數量,包括全球殭屍網路的規模和數量。在 2010 年結束時,其 Cisco Global Arms Race Index 的數值為 6.8,低於 2009 年 12 月的水平 7.2 。 根據美國聯邦調查局 ( FBI ) 的調查,談到了有關自從消滅 Coreflood 殭屍網路的現況。報告顯示出自從消滅 Coreflood 殭屍網路之後,受感染的機器數量已經下降(從四月開始,數量已經從 80 萬降到不到 10 萬)。 另外值得注意的是,微軟現在提供 25 萬美元獎勵懸賞緝捕負責 Rustock 殭屍網路的駭客。
Massive Botnet ‘Indestructible,’ Say Researchers
Computerworld
A new and improved botnet that has infected more than 4 million PCs is “practically indestructible,” security researchers say.
“TDL-4,” the name for both the bot trojan that infects machines and the ensuing collection of compromised computers, is “the most sophisticated threat today,” said Kaspersky Labs researcher Sergey Golovanov in a detailed analysis Monday [June 27, 2011].
Analysis:
Botnets have been reported in this publication and most likely will continue to be an issue for security professionals. There are new ways to combat botnets and hackers who take advantage of helpless users who don’t know/don’t care about security. One of those ways is to use DNS as a malware and botnet fighting tool. This tool prevents infected machines from “phoning home” to the command-and-control servers. Security expert Dan Kaminsky has seen no conflict with using this tool with DNSSEC and believes it will be a way to help [stem] the ever growing problem of botnets.
Is Internet security getting better? The Cisco 2010 Annual Security Report [PDF] from the researchers at Cisco Systems says yes. The “Adversary Resource Market Share” (page 37 in the report) tracks the number of compromised systems including the size and number of worldwide botnets. At the end of 2010 their [Cisco Global Arms Race Index] reading was at 6.8, down from December 2009 at a level of 7.2.
According to a declaration [PDF] from Kenneth Keller of the U.S. Federal Bureau of Investigations (FBI), who talks about the current conditions since the takedown of the Coreflood botnet. Of special interest is the chart (page 3) showing the amount of beacons (infected machines) that have gone down since the takedown of the Coreflood botnet (from almost 800,000 to less than 100,000 since April).
Also of note, Microsoft is now offering a US$250,000 reward for information leading to the arrest and conviction of those responsible for the Rustock botnet.
作者:資安顧問 Taien 、 Leo Yeh
Windows Live 程式集中有一個對於家庭有小孩非常好用的功能但是鮮為人知 ,它就是家長監護服務 (Windows Live Family Safety)。
一般的家長常見的問題有:
這些 Windows Live 家長監護服務都可以幫大家解決,以往家長要達到這樣的目的需要額外安裝第三方的軟體,因為運作方式的關係,它可能是後門,讓你的電腦門戶大開。微軟致力於兒童安全的部分,因此早在 XP 時代就有 Windows Live OneCare Family Safety ,在產品裡內含美國兒科醫生學會基於年齡的網際網路使用指引,讓這個功能是受過驗證且可以真的協助家長。
家長監護服務
基本上有以下幾個大功能:
操作過程
前置作業
下載免費家長監護功能,讓孩子無虞悠遊在網路世界!
http://www.microsoft.com/taiwan/citizenship/news/news_110624.aspx
請到MSN網站下載 Windows Live 程式集內含有家長監護服務,大多數人比較常用的應該是 Windows Live Messager ,如果大家有空不如把他全部安裝,裡面有很多實用的軟體 如:Movie Maker。
如果你在繁體頁面下載安裝後是英文版的,請在全球下載這裡選擇中文 繁體下載。
在安裝的時候你可以發現這包內含許多軟體。
官方敘述 - Windows Live 程式集 2011 包含以下軟體:Messenger、影像中心、 Movie Maker、Mail 郵件軟體、Writer、家長監護服務及 Windows Live Mesh,再加上 Bing 工具列、Messenger 分享元件、 Microsoft Silverlight 及 Outlook Connector 套件 (Microsoft Outlook Hotmail Connector 和適用 Windows Live Messenger 的 Microsoft Outlook Social Connector Provider)。
設定家長與小朋友用戶
如果您的電腦是家裡人共用,請先新建一個給家長帳號 (系統管理員),如果已經有了則不用。
家長
控制台 > 使用者帳戶和家庭安全 > 使用者帳戶中的新增或移除使用者帳戶 > 建立新的帳戶
帳號請自行取,建議家長最好是系統管理員記得設密碼避免小朋友來使用。 小朋友
帳號請自行取,建議小朋友最好是標準使用者,方便小朋友使用就不用另外設密碼。
選擇爸爸 (家長)的帳號進入做設定。
Windows Live 家長監護服務提供線上網站來給您做設定與監控,您必須要有 Windows Live 帳號。
登入後選擇要監管的小朋友帳號。
設定小朋友監管的 Windows Live 帳號,服務會從該帳號更新規則有時候你設定完後,發現系統尚未按造你的規則是因為尚未同步,等一下就會正常了。
這樣就完成本機的設定,可以看到網站篩選與活動報告都是關閉的我們要去網站做設定,點選圖中的移至家長監護服務網站:familysafety.live.com
登入你的Windows Live帳號。
可以看到目前的設定狀況,讓我們一個一個開啟這些功能。
家長監護服務監控設定
1. 網站篩選功能
點選開啟網站篩選功能,這裡有多項規則提供家長快速使用,家長可以看介紹自行選用您的小孩適合怎樣的規則,我為了測試效果這裡選擇最高等級 (僅限允許清單),讓小朋友只能看我手動允許的網站,選這個選項一定要自己去網站篩選清單允許才可以上網。
在網站篩選清單加入 tw.msn.com ,只允許使用者上 MSN 網站來測試效果。
網站篩選功能效果 根據我們的規則小朋友可以上 tw.msn.com 網站。
點選其他網站 如: tw.yahoo.com ,可以發現是被封鎖的,如果小朋友做作業需要上該網站可以發出請求。
以電子郵件發送要求 出現以下畫面後,在管理員的帳號會收到要求授權的訊息。
此時你會看到你受監護的人發的要求,你可以自行選擇要不要允許,一但允許後小朋友。就可以使用該網站了。
2. 時間限制
選擇開啟時間限制,藍色的區塊是封鎖,設定的方法很簡單,只要去點選你不希望小孩使用的時間就好了,如果要取消請在點一次。這裡我示範十二點禁止小孩上網 ,因為該吃飯了。
時間限制效果
在非使用時間小朋友無法登入系統使用。
3. 遊戲限制
選擇開啟遊戲限制,如果該遊戲有加入遊戲分級系統,這時候小朋友如果執行不屬於自己的分級就會被封鎖動作。
4. 程式限制
選擇開啟程式限制,點選你不希望小朋友使用的程式,如果小朋友點選到就會看到封鎖警告。
程式限制效果 我們限制了 Windows Media Player 避免小朋友讀書聽音樂分心,如果小朋友開啟就會出現程式被封鎖的警告,同樣得如果小孩要使用可以透過請向管理者取得權限來請家長來授權。
5. 活動報告 在此我們可以看到小朋友的上網行為與相關電腦活動,讓您即時掌握小朋友的動態,提供小朋友健康的電腦環境。
後記
家長監護服務 ( Windows Live Family Safety )免費的提供了家長控管小朋友的電腦活動與上網行為,讓他們可以在健康的環境下使用電腦資源。微軟在其他產品中也有針對小朋友安全的一些設計像 Microsoft® SmartScreen 可以協助家庭過濾威脅、Xbox 360 and Kinect Safety 家庭安全功能、PhotoDNA 追蹤兒童色情物件技術協助掃除有害兒童的色情資訊…等。使用者可以關注微軟家庭安全來取得相關安全的資訊。
其他資料
作者:資安顧問 Taien
目前帳號被盜為當前網際網路所廣泛面臨的挑戰,其潛在危機深切的影響所有網路郵件服務、電子商務服務、即時通訊安全、與社交分享服務。在即時通訊軟體上攻擊者透過詐騙、釣魚網站的方式騙取受害者的金錢與帳號已成為一個嚴重的問題。繼 3 月份資安小常識:您是即時通訊上詐騙手法的受害者嗎? 購買點數前請務必停、看、聽!,儘管最近大家的防備心提高了,但仍有惡意人士持續地進行詐騙行為,本篇文章將以最新收集到的 MSN 詐騙案例為例作分析,讓使用者可以提高警覺。有許多使用者會收到幫忙點擊衝人氣的訊息,除了不要理會該連結外,建議您也通知一下該用戶「帳號可能被盜,請盡快在其他安全電腦更改密碼且將自己的電腦進行全面的掃毒,以防止修改密碼之後還是會發送惡意連結」。因為 Windows Live Messenger 登入時帳號密碼在傳輸過程中皆有加密。因此,如有更改密碼還是會散佈惡意訊息者,極有可能是因為電腦中已經被安裝了後門程式。
案例一:離線訊息,引誘點擊網頁
案例二:委託你買點數卡
買點數不成,更改策略要求你點擊他給的網址
本案例中,僅僅是釣魚網站,如果是含有惡意程式網頁甚至可以主動植入後門程式,因此只要是來路不明網頁建議都不要點擊。
分析:
此惡意連結經追蹤都是連到 IP 位址 98.126.160.243,有多種變形,如:msn.wretchcmyblog.com、mail.wryochcccmyblog.com … 等。連上網站後會出現登入 Windows Live 的畫面,一旦輸入自己的帳號密碼登入,系統便會將您的帳號密碼透過網頁下的 /cn/add.asp 程式記錄下來,並在記錄完後將畫面導回正確的 Windows Live 登入畫面,讓您以為登入失敗,但已達成他竊取帳號密碼的目的。
惡意釣魚網站 (請注意:請勿在本網站輸入帳號密碼)
網頁帳號密碼傳送位址
MSN詐騙事前預防方法,「三不一問」網路防駭四守則: • 不點來路不明的連結(常見案例: 要求點擊連結衝人氣) • 不裝非官方網站上允許的外掛程式(常見案例: 要求安裝一樣的酷炫外掛才可以與對方一起對話或是進行遊戲) • 不用相同帳號密碼登入不明網站(常見案例: 不在官方合法網站上進行登入) • 問清楚即時通訊好友傳來的要求 (常見案例: 買點數,購買虛擬貨幣或是寶物)
遭受詐騙後處理方法: • 如收到該訊息,除不理會外,請通知該發送用戶電腦可能中毒 • 發送訊息端用戶,請盡速在安全的電腦更改密碼,並將中毒電腦進行全面掃毒或重新安裝 • 如無法變更密碼,請立刻到帳號密碼恢復網址填寫資料,線上客服人員會在第一時間協助您處理帳號問題
更多詳細方法,請參考:[資安小常識] 您是即時通訊上詐騙手法的受害者嗎? 購買點數前請務必停、看、聽!
當年某男星送修電腦的事情彷彿一場夢一樣轉眼間快三年了,這個教訓讓許多人在修電腦的時候都特別注意自己的私密資料是否安全,麻煩的是需要透過特殊的抹除軟體或是第三方加密軟體來達到保護的效果,為什麼 Windows 沒有這個功能,而 BitLocker 正好在大家期望下所問世…
以往 Windows 使用者如果要保護電腦資料,只能透過內建加密檔案系統或是第三方軟體來保護電腦資料,可惜的是 Windows 內建加密系統不能對整個硬碟做加密,因此如果有心人士想要破解還是有地方可以鑽,然第三方廠商所開發的加密軟體則是因為各家不同的實作,因此最常遇到的問題就是如果要讀取資料還需另外安裝外掛造成不便。因此微軟在 Windows Vista 內建了磁碟加密解決方案也就是 BitLocker,而 BitLocker 也在 Windows 各個版本中也持續的改進,如下
現在的 BitLocker 已經能提供相當完整的功能,它有幾個特色
完整磁碟機加密,透過 BitLocker 可以對整個硬碟做加密,有心人士無法藉由透過其他作業系統,或是其它軟體來讀取到機密資料。
早期開機元件的完整性檢查 ( Integrity checking of early boot components ),BitLocker 為在 BIOS 開機時期進行檢查,以確保系統不被竄改,待完整性檢查無誤與拿到正確的金鑰後系統才會開始解密。
冷開機攻擊保護 (cold boot attacks),透過 PIN 碼或是有金鑰的USB裝置來讓系統開機或從休眠甦醒。
簡化硬碟回收作業,在以往硬碟更換時,總是要小心硬碟機敏資訊被還原回來,按造美國國安局 NSA 規範至少要複寫 7 次才算安全,而對於被 BitLocker 加密過的硬碟只需要將解密的金要移除即可,回收到的人沒有解密金鑰完全無從下手。
擴大加密裝置,除了加密保護本機硬碟還可以加密 USB 快閃磁碟機及外接式硬碟。
Windows7BitLocker 介紹
1.本機系統碟加密
在磁碟上按右鍵點選開啟 BitLocker
BitLocker 系統準備檢查畫面,如果您的電腦是出現找不到 TPM 模組,請參考最後的附件,這個部分檢查完會重新開機才正是進入加密的設定
這裡我們示範沒有 TPM 模組的加密方式,因為沒有 TPM 所以我們目前不能設定PIN,而且我們必須準備一支 USB 裝置來儲存啟動金鑰,而因為我們是將啟動金鑰儲在 USB,因此之後開機都必須有支設備,否則便會出現「需要 Windows BitLocker 磁碟機加密金鑰-插入金鑰儲存媒體」的訊息,好那…我們準備好 USB 就可以開始了
選擇儲存的 USB 設備
選擇[將修復金鑰儲存到 USB 快閃磁碟���中]
加密磁碟前需要檢查系統的狀況是否都設定好
接下來重新啟動系統,加密的動作就會開始
加密完成後,我們可以看到 C 磁碟多了一個鎖,便完成了加密動作,這是就算是拿到其它硬碟沒有金鑰也無法存取裡面資訊。
2.加密隨身硬碟
在 USB 隨身碟按右鍵點選啟用 BitLocker
設定解除 BitLocker 鎖定的密碼,千萬要記得這個密碼,以後要透過這組密碼才可以存取加密的磁碟
修復金鑰正是用在您忘記密碼的時候,所以務必把這組金鑰存好,假設連這組都忘記,那微軟也沒辦法幫你了
加密完硬碟後,可以看到隨身碟上多了鎖,這時只有輸入正確密碼才可以存取設備
加密完的硬碟可以在 Windows Vista 與 Windows 7 正常的存取,在 Windows XP 需要安裝更新才可存取加密的相關檔案。
Windows XP BitLocker To Go 讀取裝置更新檔:http://www.microsoft.com/downloads/details.aspx?FamilyID=64851943-78c9-4cd4-8e8d-f551f06f6b3d&DisplayLang=zh-tw#filelist
系統安全分析
為了證明加密磁碟的安全性,我透過自己作的電腦鑑識分析光碟裡面的兩套商業軟體 FinalData 與 R-Studio 來嘗試看看是否可以讀取加密碟的檔案,不幸的是 FinalData 連加密硬碟的格式讀取都有點問題,我試著用 R-Studio 來解析加密碟,好不容易掃完的結果卻無法挖掘上面的任何檔案,這也簡單得確認了它的安全性,並印證他說得如果沒有金鑰硬碟就像是新的一樣也簡化了回收程序。
R-Studio 掃描分析被 BitLocker 加密的磁碟
可以看到分析完後在 R-Studio 找不到加密碟裡面的任何資料
補充附件:在沒有 TPM 模組的環境啟用 BitLocker
如果在 USB 裝置按右鍵找不到開啟 BitLocker,或是出現找不到 TPM 請作以下兩個步驟
開始功能表搜尋輸入 gpedit.msc 開啟本機群組原則編輯器
電腦設定>系統管理範本> BitLocker 磁碟機加密
完成這兩個設定後,便可以在沒有 TPM 模組的環境下透過 USB 來加密存取系統碟
BitLocker 幫助使用者從裡到外完整的保護資料,因此如果您的電腦有這個功能,千萬不要吝嗇使用它,它可以幫您保護公司重要機密與私密檔案的最佳拍檔。
為什麼又要老生常談這個攻擊呢?因為今年開始各手機廠商已經進入戰國時代,手機商為了要與眾不同可以看到現在紛紛推出了社群網站專用機,而社群網站與 Web2.0 平台就是最容易遇到所謂的 XSS 攻擊,可以遇見的是在手持裝置支援越來越多,XSS 也將更無遠弗屆,你也許覺得這個東西離你很遠,那就讓我們來回顧一些相關的新聞:
2006/11/21 無名小站遇「駭」 個資流入中國 2007/07/03 Yahoo! 郵件 (XSS 攻擊) - 影片 2009/04/11 17 歲少年:Twitter 的 XSS 蠕蟲是我做的 2009/06/22 FB HIveg 聲稱破解 Facebook 可以讀取設定不共享資料用戶的資料 2009/06/27 誰在看我的噗?第一回:DOM 沙盒 vs 跨網站腳本漏洞(XSS)- Plurk XSS 2010/03/13 Apache.org 被 XSS 攻擊,造成密碼外洩 2010/07/27 攻擊 Facebook 的 XSS 弱點-影片 2010/10/03 Facebook 的 XSS 攻擊,如何建構破壞性的蠕蟲-影片 ...
攻擊 Facebook 的 XSS 弱點-弱點驗證影片
由上我們可以看到常見的社群網站 (Facebook, Plurk, Twitter…)、Web 相關服務 (Yahoo Mail, Yahoo! Login) 等甚至是 Apache 官方受到 XSS 攻擊而吃上悶虧,它與以往的攻擊不太一樣,有句跨站腳本名言說『廠商出包,駭客真爽』,也就是說儘管今天是服務提供者出了問題,但實際造成損失的大多是一般的使用者,雖然官方有時也會有損失。駭客會透過精心建構的攻擊語法放置在網頁上、郵件中甚至是網址等各個你會碰觸到的地方。它主要都是透過執行網頁程式時觸發攻擊,一不注意的結果下場就是隱藏相簿外流、帳號遭挾持、電腦被控制、視訊被偷看,因此建議在瀏覽不信任網頁的時候,請關閉 JavaScript 的功能,或是全面使用Internet Explorer 8 (IE8) 甚至是最新的 Internet Explorer 9(IE9) 內建的跨網站指令碼篩選器來自動保護您。
其實 IE8 已經設計多項資安功能(跨網站指令碼篩選器、InPrivate 瀏覽、SmartScreen 篩選、網域醒目提示),而 IE9 更進一步的提供了(追蹤保護、附加元件效能警告器、ActiveX 篩選、索引標籤隔離與復原),並透過更簡單的介面來全面提升一般使用者的網路安全,接下來讓我們來看看這 8 個為了使用者安全設計的功能
IE9 資安功能1 - 跨網站指令碼篩選器
這個功能最先講的原因是因為它可以有效保護我們在社群網站遇到隱藏的 XSS 或是 CSRF 的攻擊,IE8 開始內建的跨網站指令篩選器便不須額外啟動就會自動保護,唯一的缺點是以往程式設計師不安全的寫法需要自行做修正,以免造成使用者的不便,對一般使用者幾乎沒有任何影響。以下我們設計了幾個攻擊語法來實際測試各版本的防禦效果:
Internet Explorer 9 防禦效果
IE9 成功防禦 XSS 攻擊, 攻擊失效
Internet Explorer 8 防禦效果
IE8 成功防禦 XSS 攻擊, 攻擊失效
Internet Explorer 6 防禦效果
IE6 沒有防禦功能, 可以看到攻擊觸發彈出視窗
IE9 跨站腳本過濾器提示,並自動將攻擊語法替換為<img src=?javasc#ipt:alert(?xss?)?>
IE8 跨站腳本過濾器提示,並自動將攻擊語法替換為<img src="javasc#ipt:alert('xss')">
IE6 完全沒有做防禦, 測試攻擊又被觸發
IE9 資安功能2 - InPrivate瀏覽
IE9 工具列>工具>安全性>InPrivate 瀏覽功能 (Ctrl+Shift+P)
開啟 InPrivate 瀏覽模式後,網址列出現 InPrivate 字樣
InPrivate 瀏覽協助您實現隱私瀏覽的功能,當在別人的電腦,或是您有一些私密的上網行為不希望被紀錄或是有心人士取得您的上網紀錄與資料,請使用這個功能它可以讓您走過不留痕跡。詳細的運作請參考:http://windows.microsoft.com/zh-TW/windows-vista/What-is-InPrivate-Browsing
InPrivate 瀏覽在關閉瀏覽器後絕對不會紀錄您的上網資訊
IE9 資安功能3 - SmartScreen 篩選
釣魚網頁警告
SmartScreen 的檢測報告
IE9 資安功能4 - 網域醒目提示
IE9 資安功能5 - 追蹤保護
IE9 工具列>工具>安全性>追蹤保護
在追蹤保護的編籤,需要自己起用個人化清單
這裡可以看到追蹤您狀態的提供者,您可以在這裡封鎖/允許它們
IE9 資安功能6 - 附加元件效能警告器
IE9 資安功能7 - ActiveX 篩選
IE9 工具列>工具>安全性>ActiveX 篩選
ActiveX篩選開啟
IE9 資安功能8 -索引標籤隔離與復原
相信各位對於以下的線上即時傳訊對話內容可能相當熟悉,可能是你周遭的親朋好友甚至是你自己經身經歷過這樣令人不悅的線上詐騙經驗。這樣的線上詐騙事件已經是過去這段時間以來「最常見的詐騙管道之一」。
是的,詐騙集團早就將詐騙的管道從以往常見的電話詐騙如以下:
隨著提款機的操作越來越受到限制,轉帳金額每日限制也更嚴謹的當下,犯罪集團將焦點轉移到一塊犯罪新天堂「線上社群/線上遊戲/線上即時對話」。因為對上述的傳統管道來說犯罪者的風險可能有
因此線上社群/線上遊戲/線上即時對話擁有犯罪者最愛的環境條件可以供其發展犯罪的手法與管道,譬如隱密性,線上遊戲寶物/點數卡的金額可觀與上線者時間很彈性等,更增加得手成功的可能性與犯罪誘因。更重要的是現在犯罪者更加上了以往在現實環境中才會發生的「社交工程」手法來誘騙當事人的信任感導致詐騙成功機會倍增。
其實線上詐騙並不侷限於哪平台,在筆者的調查與分析中,主要的線上即時通訊管道均有發生;唯一不變的是,往往有一些特徵會出現,在這邊提供各位做參考以避免遭詐騙卻渾然不自知;
上述的情境,是目前大多數發生線上詐騙事件時,相當常見的狀況:因此如果當你在線上交談時,發生這些情境時,務必遵守以下「三不一問」網路防駭四守則:
而最重要的是,如果你真的想要幫助你的朋友,請您切記在真實環境中與您的友人透過熟悉可信任的管道聯繫確認(如電話),以確認他/她的需求。小小的一個動作,一通電話不僅可以避免您遭受詐騙的風險,也順便連繫起彼此的友誼其實一舉數得不是嗎?
萬一你發現帳號被盜,或者出現帳號無法登入的問題,請不要慌張,立刻到帳號密碼恢復網址填寫資料,線上客服人員會在第一時間協助您的帳號問題,同時間您也可以參考 帳號密碼恢復教學。保護帳號密碼安全,防範勝於治療,您可以透過以下的連結獲得更多有關於如何防止線上詐騙的小訣竅: http://ent.msn.com.tw/plus/msn/OnlineSafety/ ;同時如果您在線上對談時,發現任何可疑的連結網址,都可以寄送至微軟的個資保護中心(mstcppc@microsoft.com),作為我們後續在網路犯罪偵查上的資訊,讓我們一起共同對線上詐騙Say No!
作者:資安顧問Taien
DEP(Data Execution Prevention)資料防止執行是微軟在 Windows XP SP2 加入的一項安全性功能,之後的每個版本如(Windows 7、Windows Vista、Windows Server 2008 R2…)都有 DEP 資訊安全功能。到底什麼是DEP呢?
資料防止執行(DEP)
它將處理程序中的所有記憶體位置標示為不能執行,除非位置明確包含可執行的程式碼,而許多的病毒程式就是利用這裡來獲取執行權限或是更高的權限。以後如果嘗試執行這些區塊 Windows 便會自動關閉程式。因此您可以知道,假設今天病毒想攻擊某隻程式散布或入侵,如果利用到的區段是受到DEP保護,則它的攻擊就會失敗,這與一般的防毒軟體檢查病毒的行為與特徵碼是不同的。
DEP 在哪裡?
運作方式有兩種
硬體:需要CPU處理器的支援,不過近年市面上的處理器大部份都是有支援DEP的。
軟體:若您的 CPU 是不支援的,則 Windows 會透過軟體來模擬,它會在記憶中為儲存的資料自動增加一組特別的指標來協助表示,但防護效果可能就不如硬體來得有效。
DEP保護的模式有兩種:
開啟 DEP 可以大大提高駭客攻擊的難度,尤其是選擇為所有程式與服務開啟 DEP 的功能,但是有些遊戲或是大型軟體如 ERP、CRM...軟體,可能透過某些程式技巧提高效能,但由於DEP開啟狀態下導致無法正常執行,這時候請點選新增設定例外清單,如下圖示範將 KMPlayer 增加為例外清單,但請注意這時 KMPlayer 就不受 DEP 的保護,因此使用者必須慎選加入例外清單的項目。
見下圖:尚未開啟DEP,可以看到許多第三方程式還未受到DEP保護。
見下圖:開啟DEP並重新開機後,可以看到所有程式皆受到DEP保護。
故意散布惡意程式碼的人,一定不會錯過能讓他們傳播惡意程式碼的各種機會。而新年度的來臨,更是能讓他們大顯身手,將創意發揮在不知情使用者電腦上的好機會。我們也已經看到有人惡意濫用這個全球都在歡慶跨年節日的時間。在大多數情況下,這些垃圾電子郵件看起來像是正常的「新年快樂祝賀郵件」或以「新年」為主題的問候。
以下是最近發生的一個案例:
正如您所看到,影片必須使用假冒的Adobe Flash Player 版本,才能夠播放。您可能已經意識到,這只是誘騙您下載惡意程式的一個技巧,這個案例就是著名密碼偷竊程式 Win32/Zbot (SHA1:6C5B80A73B4B728D7DF8BFBB142E10A6A29A0950) 的變種。這個程式一旦執行,會將本身投射到 Explorer.exe 位址空間,企圖繞過資訊安全防護。當程式與網際網路連線時,會觸發類似如下的資訊安全警報:
另一個利用新年的惡意程式碼案例,與另一篇稍早的網路文章 (英文) 有關。Exploit:Win32/CVE-2010-3333 (00d9af54c5465c28b8c7a917c9a1b1c797b284ab) 其中一個會植入惡意程式碼的樣本,偵測為 TrojanDropper:Win32/Meciv.A 和 Backdoor:Win32/Meciv.A。為了隱藏植入惡意程式碼的活動,它還會放入乾淨的 DOC 檔案,裡面包含下列新年賀詞:
這段文字是俄文,意思是:「親愛的同事和朋友!新年快樂!」
雖然這不是新的技術,但是所採行的社交工程,實際上可能會欺騙使用者執行這些惡意程式碼,因為人們認為迎接新的一年是喜事,通常寧願認為他們看到的是祝福,而不是欺騙。
我們一如往常的建議您保持警覺,並仔細檢查包含問候和以節日為主題電子賀卡的所有連結和電子郵件,尤其是您從未接觸過的陌生人或企業的來信。
非常感謝反垃圾郵件團隊同事 Kai Yu 為我們提供樣本。我們誠摯地祝您「新年快樂!」,並且享受一個沒有惡意程式碼騷擾的新年!
Andrei Saygo、Patrik Vicol 與 Rodel Finones(本篇文章原文)
不論您是在線上查看銀行帳戶餘額、繳納帳單費用、付款、購物或銷售商品,以下 6 大法則可協助您將風險降至最低。
1. 協助電腦抵禦來自網際網路的威脅
使用防火牆、防毒及反間諜軟體來協助保護您的線上交易。將家用的無線連線加密。透過自動更新,讓所有軟體 (包括網頁瀏覽器) 保持在最新狀態。如需詳細資訊,請參閱協助保護您電腦的 4 步驟 (英文)。
2. 建立「強式密碼」
「強式密碼」是指您自己容易記住但別人很難猜中的密碼。強式密碼的長度至少需有 14 個字元 (建議密碼長度越長越好),並需包括數字、符號及大小寫的英文字母。如需詳細資訊,請參閱了解如何建立強式密碼 (英文)。如果您已有想用的密碼,可以透過此網站檢查您的密碼強度 (英文)。
3. 自行尋找所需的網址
電子郵件訊息、簡訊、立即訊息或快顯廣告中所含的連結,可能會將您導向至看起來合法但其實不然的網站。若要瀏覽網站,請自行輸入網址,或使用您自己的書籤或 [我的最愛] 以連結至該網站。
4. 尋找能證明您資訊安全的標誌
您在網頁上輸入機密資料之前,請先確認:
5. 僅在您的家用電腦進行金融交易
切勿在公用或共用的電腦或在使用公用無線網路的裝置上 (例如筆記型電腦或行動電話),繳納帳單費用、進行網路銀行操作或進行其他金融交易。這些方式的安全性並不可靠。
6. 運用常識進行判斷
若要保護自己避免遭到詐欺,請留意詐騙郵件。例如,對於下列情形必須特別小心:聽起來過於有利的交易;從您的「銀行」發出的提醒,指出除非您採取一些立即行動,否則您的帳戶將被關閉;通知您已中了樂透彩;或是對方拒絕親自見面進行本地交易。
不論是透過電腦或電話傳送,這類訊息的目的通常都是要引誘您瀏覽虛構的網站,犯罪者則會透過該網站收集您的財務資料 (如果您懷疑該訊息的真實性,請透過普通市內電話之查號台,查詢該公司正確電話號碼後,以電話與該公司聯繫確認。)。了解如何偵察與防禦網路釣魚詐騙 (英文)。
Facebook 一直是惡意程式作者偏好的熱門目標,然而我們發現有另一項惡意程式種類也使用此熱門社交網路進行傳播。我們偵測到的惡意程式主要元件為 Trojan:Java/Boonana,它是以 Java 編寫而成,因此具有跨平台的感染能力,可感染 Windows、Mac 和 Linux 使用者。
Trojan:Java/Boonana 是透過視訊連結傳送給 Facebook 使用者。藉由按一下連結,使用者將會收到執行 "JPhotoAlbum" 應用程式的提示,這是一個在 JAR 檔案內的 Java 類別 (JPhotoAlbum.jar SHA1:159e6bc0616dec2062c92a7dd918c8179b2de640)。如果是在獨立的瀏覽器或平台上,透過按一下滑鼠允許執行此應用程式,剩餘檔案將會被下載並在電腦上執行。
隨後下載的元件為:
值得注意的是,此威脅種類也包含攻擊目標為 Macintosh 作業系統多種元件之 MacOS X. Boonana 更新的惡意檔案,會提供攻擊者根層級的權限。我們偵測到這些威脅為 Trojan:MacOS_X/Boonana。我們可偵測到 1.93.1067.0 (含) 以上的此類威脅。
如果您是《最後一戰》的玩家,那麼您大概就會知道,限量版「火焰盔甲」是非常稀有的盔甲裝備,只有《最後一戰》的製作群、Bungie 公司,還有已經完成這款遊戲過去幾個版本中所有電玩大師挑戰的玩家才可以取得。在最新的《最後一戰:瑞曲之戰》中,有許多玩家想盡各種辦法要破解程式以取得這一套裝備。很明顯的,惡意程式編寫者也抓住這個機會,藉機四處散發包裝成火焰偵查頭盔以及《最後一戰:瑞曲之戰》遊戲程式碼產生器的惡意程式。
圖片 1 - 偵查盔甲
我們遇到兩個案例,分別為偵測出 PWS:Win32/Fignotok.A 的 Mod V3xD.exe (Sha1:1855974d848568968f4c97871a70fa42aff8fbc8) 以及 Halo Reach Flaming Recon.exe (Sha1:775c62aa8530eb616ff5444298d3dc4cff5c823e)。這兩個執行檔都會開啟一個名稱為 haloreachflamingrecon.exe 的檔案,宣稱可以產生火焰盔甲的程式碼。但是,這個檔案不但無法產生程式碼,還會利用詢問使用者的登入詳細資料 (請參閱下圖 2)、然後將資料透過電子郵件傳送至遠端攻擊者的方式,進而竊取使用者的 Xbox Live 遊戲資料。這個檔案還會連線至一個遠端位置 (目前已無法存取),並從這個位置取得其他設定檔案。
圖 2 - 輸入您的 XBox Live 帳號詳細資料以啟用您的火焰盔甲!但是實際上卻是,您只能眼睜睜地看著您的帳號資料被盜。
另外一種利用《最後一戰》來獲利的惡意程式種類中,有一個叫做 Halo Reach Generator.exe 的檔案 (Sha1:7ab2f6cbacd967aa72360af76e666e3c6cbf56ec) 已偵測出有 Worm:Win32/Rebhip.A。這種蠕蟲病毒會透過卸除式磁碟機四處散佈,並且也會竊取機密資訊。
所以,在您利用程式碼產生器來提升遊戲主角裝備等級的同時,請務必三思,因為換來的可能是帳號被盜。沒有人喜歡作弊的人,公平地進行遊戲才是真正的高手。
一種新的流氓軟體出現了,目前命名為:流氓軟體:MSIL/Zeven。我們在收到這個程式的樣本和 URL 之後,即開始進行相關調查。
設計出這種流氓軟體的人,「非常」喜歡抄襲。他們一開始先自動偵測使用者正在使用的瀏覽器,如果是 Internet Explorer、Chrome 或 Firefox,就假造出惡意程式警告的頁面。這是一種利用社交工程的詐欺手法,目的是要利用使用者對於其常用瀏覽器的信任,誘騙使用者下載並安裝該流氓軟體。這些假造的頁面看起來幾可亂真,甚至還可以矇騙專業技術人員。舉例來說,在 Firefox 的頁面中,您會發現這並不是真正的警告頁面,因為頁面中的英文「out」拼錯了,寫成「Get me our of here」。
但是就上述三種瀏覽器而言,一般來說您不會注意到的是,在真正的瀏覽器警告中並不會提供所謂的「更新」或是「解決方案」。所有此類「更新」連結都指向保證提供「能偵測最新惡意程序的防護程式」。一般正常狀況中任何一種瀏覽器如Internet Explorer、Firefox 和 Chrome 在封鎖一個網站時,並不會提供此類解決方案。
安裝 MSIL/Zeven 後,產品看起來幾可亂真:讓您可以掃描檔案、通知您更新在背景中仍繼續執行,並且讓您可以自行更改安全性和隱私設定。在許多合法的防毒解決方案中也通常都會有這些功能可以使用,但是在 MSIL/Zeven 中,這些功能完全沒有作用;一切都只是假象而已,也不會提供任何防護的功能(就像其他流氓軟體防毒程式一樣)。
當然,當這個程式掃描過您的電腦以後,就會宣稱已在您的電腦中找到恐怖的惡意程式,如下圖所示:
依照慣例,流氓軟體掃描器就算是「找到」惡意檔案,程式也會宣稱除非您進行更新,否則就無法刪除這些惡意檔案。這也就表示,您必須付費購買完整版本的程式,才可以下載更新。但是,這些掃描器所找到的惡意檔案其實是假的;在使用者的電腦裡根本沒有這些檔案。
如果您決定要購買此產品,這個 流氓軟體 就會開啟一個啟用「安全瀏覽模式」和高強度加密功能的 HTML 視窗,在您購買產品時「協助」及「保護」您。當然,這些功能一點用處也沒有,而且無法保護您信用卡詳細資料的安全。
流氓軟體 防毒程式的首頁外觀也與 Microsoft Security Essentials (MSE) 網頁十分相似 – 這也是這些罪犯仿造的手法。設計出這個流氓軟體的人甚至還剽竊 Microsoft Security Essentials 獲得的認證以及與 Microsoft 惡意程式碼防護中心 (MMPC) 的連結 - 非常狡猾。
這是此流氓軟體首頁的螢幕擷取畫面:
以下才是真正的 Microsoft Security Essentials 網頁螢幕擷取畫面,提供您比對:
看起來這些人似乎是想要利用 Microsoft Security Essentials 的名聲和成功獲利 - 但是我們會提醒我們的客戶,Microsoft Security Essentials 下載完全免費,而且可以真正保護您的電腦,不受惡意程式危害!
附註:此種流氓軟體下載器和流氓軟體均偵測為流氓軟體:MSIL/Zeven。
在近期的安全事件追蹤中,微軟發現了駭客透過蓄意偽造之惡意連結圖示(LNK),導致使用者電腦遭感染後自動下載木馬等相關攻擊程序感染之手法;在持續追蹤中,繼 Stuxnet、眾多的 .LNK惡意程式等之後,在近期又出現影響層面最為廣泛且破壞性最高的 Sality引起Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴高度關切;這些惡意程式從原先透過USB等外接設備對使用者進行感染之外,也透過多種其他管道譬如混雜在影音,壓縮檔案中誘騙使用者點選導致觸發感染程序.
針對這些相關攻擊行為,微軟已經在2010年8月2日公佈了 CVE-2010-2568 (於 Microsoft 知識庫文件編號 (2286198) 中說明) 的非例行性更新解決辦法發佈計畫。Microsoft 惡意程式碼防護中心 (Microsoft Malware Protection Center,MMPC),以及其他 MAPP (Microsoft Active Protection Program) 計畫夥伴一直在密切注意這個利用此風險進行惡意攻擊的 .LNK 檔案。正如許多新的攻擊技術,後起的攻擊者都可以快速地將新的技術整合在一起。雖然已有許多種病毒都使用這種傳播方式,但是在本週,其中一種叫做 Sality 的病毒特別引起了我們的注意,尤其是 Sality.AT。Sality 是一種具有高度破壞性的病毒;目前已知此種病毒會感染其他檔案 (感染後即完全移除)、自行複製至卸除式媒體、停用安全防護功能,然後下載其他惡意程式。同時,這也是一種非常大型的病毒種類,可以說是今年最廣泛的種類之一。加入 .LNK 的傳播方式後,受到惡意 .LNK 和 Sality.AT 結合病毒攻擊的電腦數目很快就超過了受到 Stuxnet 病毒攻擊的電腦數目。不久之後,一定會有更多病毒種類利用這種技術方式進行散佈傳播。下列 *圖表可以說明這個趨勢:
這些數字顯示出我們保護的系統 (Microsoft Security Essentials、Microsoft Forefront Client Security、Windows Live OneCare、Forefront Threat Management Gateway 以及 Windows Live Safety Platform) 中遭受的感染攻擊次數 (Infection Attempt)。雖然這些數字並不代表實際的病毒感染數量,卻也警告了我們威脅有擴大的趨勢。 而病毒攻擊的地理位置 (Geolocation) 變更,也是其他病毒種類開始利用這個風險的另一個警訊。在發現 Stuxnet 的初期,巴西 (Brazil) 僅有少數病毒攻擊的案例;但是在 CVE-2010-2568 病毒攻擊的地理位置分析報告中顯示,巴西及其他國家 (Others) 現在也出現了更多病毒活動。在巴西,更是不斷地有 Sality 的攻擊案例。
這些數字顯示出我們保護的系統 (Microsoft Security Essentials、Microsoft Forefront Client Security、Windows Live OneCare、Forefront Threat Management Gateway 以及 Windows Live Safety Platform) 中遭受的感染攻擊次數 (Infection Attempt)。雖然這些數字並不代表實際的病毒感染數量,卻也警告了我們威脅有擴大的趨勢。
而病毒攻擊的地理位置 (Geolocation) 變更,也是其他病毒種類開始利用這個風險的另一個警訊。在發現 Stuxnet 的初期,巴西 (Brazil) 僅有少數病毒攻擊的案例;但是在 CVE-2010-2568 病毒攻擊的地理位置分析報告中顯示,巴西及其他國家 (Others) 現在也出現了更多病毒活動。在巴西,更是不斷地有 Sality 的攻擊案例。
目前Microsoft Security Essentials、Microsoft Forefront、Windows Live OneCare、以及 Windows Live Safety Platform 的使用者均可以有效攔阻/過濾這些惡意程序。另外在本月釋出的MSRT中也已經針對下列惡意程序進行清除程序:
提醒使用者除了盡快完成安全性更新程序之外,還可以透過以下的鏈結下載微軟惡意軟體移除工具(MSRT)進行掃描與清除,以維護您電腦使用時的安全性。http://www.microsoft.com/taiwan/security/malwareremove/default.mspx http://www.microsoft.com/taiwan/security/malwareremove/families.mspx
我們經常從重大新聞事件中讀到處心積慮的惡意人士如何強行徵用搜尋引擊,在我們尋找新聞事件的詳細資訊時,結果把我們導向提供某些惡意程式碼的頁面,那些通常是假造的防毒程式。但是,壞人是如何欺騙搜尋引擎,使他們的網站在搜尋中的排名如此之高,進而說服人們按一下連結呢?這邊將以濫發訊息的鞋子賣家做為此技巧的範例進行說明。
首先,我們設立一個 Twitter 帳戶,並透過這個帳戶發送資訊安全相關新聞。為了尋找這類新聞作為Twitter的訊息來源,我們設定了幾個網頁通知(Alert),來幫忙尋找網路上的資安相關新聞,發現其中一個網頁如下:
這則新聞看起來像真的。它是一個部落格,說明零售業的員工如何從信用卡獲得詳細資料,進而製作一樣的卡片來盜刷。唯一會令人感到奇怪的是,裡面提到知名品牌運動鞋的名字。
但是當您進去閱讀文章時,它看起來如下:
文章來源不明,因為網際網路上的搜尋是根據其他採用這篇文章做為 SEO 定位且有利於其他網站的案例而彙集的。
不過,您還是會注意到 (上面紅框的部分),這個文章版本分佈著許多販售鞋子的網站連結(您可以在螢幕擷取的左下角看到部分 URL)。
那麼 SEO 如何運作呢?
網路行銷的人,為了賺取更多的獲利,會努力盡量讓產品曝光,將他們的商品呈現在您眼前。現今最佳的方式之一就是提高他們網站的知名度,以名列於您在搜尋他們所販售之項目時會出現的網站清單中。因此,他們了解到無論如何都要在搜尋引擎計分公式中得到高分。職業道德較低者,如您所見,甚至會嘗試劫持與他們所販售之項目無關的熱門主題,就為了要得到高分以名列於搜尋結果中。
在這個範例中,我們看到:
從受歡迎的主題開始:信用卡詐騙。人們會選讀這類文章,進而提高這些頁面的價值 (於是,很不幸地,當我們按一下並閱讀這些頁面就會提高它們的價值)。
在該頁面上,有一些可連到販售他們鞋子的網站連結。由於這個頁面如此有趣,而且多次指向他們的銷售頁面,所以,那個銷售頁面也一定非常有趣,搜尋引擎當然也會這麼認為。
搜尋 Nike 的人很可能也會搜尋 Puma,因此,若內容同時包含兩者,那麼這個頁面甚至會變得更加引人注目。
以上的結果就是,販售他們鞋子的頁面得到很好的分數。
現在,當您搜尋 “puma shoes” 會出現什麼呢?
許多熱門搜尋引擎顯示的第一個結果是一組贊助的網站、已付錢給搜尋引擎以便名列第一的公司,接著是 Puma 的官方網站。其餘是誰排第一?就是它啦!就是剛才說明與 SEO 有關的網站 (上述結果的擷取時間為 2010 年 7 月 8 日清晨)。在另一個搜尋引擎上,第一和第二結果相同 (不出所料),而這個網站是其餘中的第二個。
我們試過使用 Bing 進行相同搜尋,發現定位的結果降到第 6 頁才出現。雖然在這個特定情況中未與 Bing 團隊配合,但是我們會確實與他們合作,並通知他們任何發現惡意程式碼的情形,所以,他們不會將那些網站提供給他們的客戶,就如同我們與 SmartScreen 人員合作,協助 Internet Explorer 封鎖惡意程式碼網站一樣。
剛才示範的 SEO 範例不是導向惡意程式碼的範例,但技巧是相同的。若要和目前熱門主題相關而達到高得分的搜尋結果排名,要散佈的詞彙就要和目前的熱門關鍵字相同 (也可以從搜尋引擎趨勢來尋找可能的片語) ,這些實際上都是以相同方式達成的。
Microsoft 最近發現,在部分的新手機所內含配備的 microSD 卡,受到惡意程式碼的感染。惡意程式碼本身不會在手機上執行,但會嘗試感染您的電腦。其中一個可能的感染原因,推測是用來製造第一版 SD 卡影像的電腦受到了感染,進而將感染散播到客戶電腦。
這個惡意軟體似乎只散發給少數客戶,而影響範圍限定為西班牙東部到波蘭西部這塊特定地理區域。
我們偵測到這個惡意程式碼為 Worm:Win32/Verst.A。
除了形成蠕蟲以外,Verst.A 還會搜尋各種應用程式的認證和軟體註冊詳細資料,其中包括 Miranda ICQ、WebMoney、QIP Infium 和 Multi Password Recovery。有趣的是,我們發現這個威脅會從其他密碼復原工具搜尋已儲存的認證。如需詳細資訊,請參閱我們的詳細分析,網址為:http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Verst.A
Verst.A 利用 Windows 中的自動執行功能進行散佈。如果執行,蠕蟲就會發佈威脅,持續地嘗試將它自己複製到所有磁碟機 (從 A 到 Z)。幸好 Windows 7 在叫用自動執行之前會先提示使用者。此外,您也可以依照這裡的指示來更新其他 Windows 版本的自動播放功能。
如果您懷疑自己的電腦已受到感染,建議您使用 Microsoft Security Essentials 等可靠的掃描程式掃描您的系統,以偵測是否存在惡意程式碼。