手機應用程式有假的 網絡罪犯盜資料幹案
(吉隆坡5日訊)趨勢科技Trend Micro核心科技行銷總監派勞(Pilao)說,10個手機應用程式(Apps) 中,有3個是假冒(Fake Apps),而國內三大最高危手機應用程式類型,是遊戲、休閑及生產型應用程式。
她說,一旦手機使用者下載這些應用程式,地下網絡犯罪分子即可從中偷取用戶資料或進行其他不法活動。
“目前,用戶資料在地下網絡不法分子世界是很值錢的,各類資料都有不同价錢,甚至有人在中國發現‘網絡偷取個人資料中介’,僅需為不法集團傳發假訊息。”
用戶沒詳讀內容
派勞今日匯報“大馬遭地下網絡入侵的情況”時說,網絡地下不法分子,目前使用假冒手機應用程式來達到目的。
“我們可以看到越來越多不同和新應用程式,但有時候分不清真假,比如說,很火紅的‘憤怒鳥’(Angry Bird),過后出現‘Flappy Bird’遊戲的假冒程式。”
她說,這些假冒手機應用程式可能在使用者下載后及使用前,要求用戶通過一系列要求,如“當局有權使用用戶所有資料”或“當局傳收費短訊給你”。
“一般人並不會仔細閱讀內容,匆匆提交‘可以’(OK)或‘同意’(agree),卻不知已墮入不法分子的陷阱。”
派勞勸告手機用戶,為免成為假冒手機應用程式受害者,即需注意3大事項,包括每次下載前仔細閱讀條款。
“另外,我們也應該了解有關手機應用程式開發公司背景;同時要注意連結網址(URL)是否正確,如果一個應用程式原是來自美國,連結網址卻是英國,那使用者就要小心了。”
趁有大新聞製假網站
派勞說,網絡不法分子常趁有大新聞時制造假網站,讓為追看新聞的用戶不小心跌入陷阱,趁機盜取資料。
“只要吸引你去瀏灠這些假網站,不法分子就可以從中找到可賺錢的東西,這可以是用戶的資料,或誘導你去打開另一些惡意網站。”
她舉例,如過去大馬發生馬航MH370客機空難和MH17客機遭擊落事件,很多人都緊緊追蹤相關新聞,地下網絡不法分子趁機制造假新聞網,再“騎劫”網上搜尋工具(search engine),把這些網站連結放在首20名。
“這樣一來,用戶在網上以相關字眼搜尋時,就會在不知情下首先找到這些網站連接,只要一連結進去就是落入網絡陷阱的第一步。”
國人警覺處安全狀況
派勞說,惡意銀行軟件(Online Banking Malware)令網絡使用者難辨真偽,歐洲多國也成為目標,但大馬依然在安全狀況內,原因是大馬人醒覺高。
她指出,根據研究和報告,2014年4月至6月,大馬受惡意銀行軟件“釣魚網絡”(Phishing,即虛假銀行網絡)影響率下降26%,顯示大馬網上銀行系統是很穩定的。
“但隨著地下網絡不法分子越來越專業,我不排除大馬網上銀行系統會成為他們的目標,受影響率會提高。”
她說,另外,今年4至6月,大馬也出現惡意代碼殭屍網絡(botnet),數據顯示大馬曾有68%伺服器出現這個代碼,受影響者劇升230%。
“如果要加強和確保網絡安全是需要投資大量資金的,而實際上由于網絡罪案無國界,確實很難追蹤。”
她指只能建議各方加強網絡保安,尋有實力的網絡保安公司為他們設計保安系統,才有能力面對越來越強的地下網絡分子。
要求網速忽略安全
派勞說,很多業者和公眾強調企業數碼化和電子化,“更快上網”高於“安全上網的同時,將忽略網站安全。
“這是企業看待網站安全的其中一個誤區,他們想要盡快將業務數碼化,使用許多數碼化特點,卻沒將安全擺在第一位,導致輕易成為網絡犯罪者的目標。
她說,有些公司認為自己有沙盒技術(Sandboxing)就已足夠,或以為網絡犯罪者攻擊只有1次,其實可能會不只一次成為受害者。
沙盒技術是讓企業通過該軟件測查,本身程序是否遭到未知病毒攻擊或感染,但邁菈認為屆時已經是為時已晚。
她說,有企業認為舊有侵入方式只會影響到一些使用舊科技業者,但這些網絡罪犯卻通過不斷地更動讓這些舊有的程序和方式,讓許多人調入陷阱。
聘大量專才運作
派勞說,現今地下網絡犯罪是集團式,並大量投資“聘請”專才和進行“研究與發展”(R&D),几乎可比擬大型合法集團模式。
“現在的地下網絡犯罪‘社區’不可輕視,他們有架構、有研究專家和投資,以制造更強的網上幹案途徑,他們可以做到在網上犯罪后令你難以發現任何痕跡。”
她指出,需要做得這么強和令人難以追蹤,就必須投資來建立更高科技和技術的層面,並相信這些投資是全球性的,有些在中國和俄羅斯的網絡罪案看似沒有關係,其實是有關連的。”
“根據過去報告,我們可以發現這些網絡犯罪分子,是不斷重新架構組織,顯示他們是非常專業的。”
她說,這些地下網絡組織正一步步和很用心來了解手機、電腦和網絡用戶的習慣,從中找出用戶弱點來進行網絡罪案。
| Android類別受威脅 | ||
| 威脅 | 2013年 | 2014年 |
| 1)廣告程式(Adware) | 31.99% | 46% |
| 2)付費服務盜用軟體(Premium services abuser) | 47.72% | 40% |
| 3)數據盜竊(Data stealer) | 11.34% | 20% |
| 4)手機控制(Remote controller) | 2.58% | 8% |
| 5)惡意下載(Malicious downloader) | 6.41% | 3% |
| 6)間諜程序(Spyware) | – | 3% |
| 7)駭客工具(Hacktool) | 2.09% | – |
| 8)其他 | 1.08% | – |
| 2014年6月十大惡意軟件(Malware) | |
| 1)OPFAKE | 30% |
| 2)FAKEINST | 28% |
| 3)GINMASTER | 8% |
| 4)SMSREG | 6% |
| 5)JIFAKE | 6% |
| 6)MSEG | 5% |
| 7)SMSAGENT | 5% |
| 8)STEALER | 4% |
| 9)SNDAPPS | 4% |
| 10)BOXER | 4% |
| 地下網絡出售個人資料价格表 | |
| 資料類別 | 价格(美元(令吉)) |
| 1)歐盟/美國信用卡 | 10-150(32-478令吉) |
| 2)假身分證 | 1,352-1,555(4,307-4,954令吉) |
| 3)美國公民文件 | 10,000(31,855令吉) |
| 4)英國國際護照 | 4,000(12,742令吉) |
| 5)美國假鈔 | 600-5,000(1,911-15,928令吉) |
| 6)駭客服務 | 270-500(860-1,593令吉) |
| 7)PayPal帳號 | 10-120(32-382令吉) |
| 8)假國際護照 | 3,380-5,400(10,767-17,202令吉) |
| 9)假美國駕照 | 200(637令吉) |
| 10)歐幣假鈔 | 676-6,000(2,153-19,113令吉) |
| 11)假鈔 | 有關假鈔一半的价格 |
| 12)網頁提升服務/每小時 | 126(401令吉) |
