【資安宣導】近期假冒軟體事件分析與緩解建議

不堪其擾的假冒軟體

• 不論國內外，假冒軟體或網站常常會出現在資安新聞裡。

持續性的威脅

• 舊的假冒網域即使被檢舉了，新的假冒網域又會被建立，繼續欺騙使用者。

• 攻擊者會持續更新假冒軟體、躲避防毒軟體的偵測，使用者依舊必須小心看待。

假冒軟體的影響

• 假冒軟體可以造成嚴重的損失及危害，其中包含

• 資策會調查顯示，Line 為台灣使用占比高的通訊軟體(87%)。考慮到近期有發現多個組織的內部有安裝 Line 假冒軟體，因此實際應該也有不少其他使用者受害。

檢測方式-使用VirusTotal 

檢測下載網域(1/3)
Google 搜尋 Line 電腦版，除了正版網站會出現外，也有可能會跳出一些釣魚/偽冒網站。

在 VirusTotal 網站的搜尋欄位，輸入想檢驗的網域名稱。

透過有無通報和建立日期來當作正版網域的判別參考。

檢測下載安裝檔

進入 VirusTotal 網站，點選 Choose file，開啟要檢查的檔案。# 要小心不要上傳到含有個人隱私資料的檔案。

上傳檔案後，發現沒有安全廠商通報為惡意，再點選 DETAILS 欄位。

DETAILS 頁面會有檔案的相關資訊，包含基本屬性、歷史以及名稱，其中確認有有效簽章 (valid signature) 為重要的一步。

簽章資訊欄位能顯示上傳檔案的發行來源。

• LY Corporation (Line 公司)

同時顯示背書的憑證授權中心 (CA) ，可能的 CA 可能會有:

• GlobalSign Root CA – R3
• Microsoft Root Authority
  … 等相關機構

上傳檔案後，如果發現 VirusTotal顯示有被多家資安廠商通報或是 DETAILS 頁面沒有簽章資訊，那該安裝檔可能為假冒，建議不要使用，以避免受駭或資料外洩。

假冒軟體緩解建議-防駭守門員

檢測方法能一定程度的防止受駭，但欺騙手段日新月異，可能導致使用者一不小心就受騙。

使用中華電信防駭守門員服務，讓使用者上網行為多一層保護，減少資安事件發生的機會。

免安裝、跨平台，透過與黑名單資料庫的即時比對，對有記錄的異常位址進行攔阻。

其中涉及的阻攔種類包含釣魚網站、簡訊詐騙以及惡意程式下載點等。