Contributor: Avdhoot Patil
Phishers have continued to focus on social networking sites as a platform for their phishing activities. Symantec is familiar with various phishing campaigns related to social networking. Celebrity promotions, fake applicatio…
Social media profiles affects college admission, job searches, and careers A 24-year-old high school teacher in Georgia, USA, lost her job after an anonymous e-mailer complained about a Facebook picture of her sipping wine and drinking beer while on vacation in Europe. An Arizona woman was fired after ranting on Facebook when she was passed […]
Mobile devices are also increasingly being used to manage a critical and important asset for all of us: our money. According to the Federal Reserve Board report “Consumers and Mobile Financial Services 2013,” in the United States “48 percent of smartphone owners have used mobile banking in the past 12 months, up from 42 percent Read more…
Being headquartered in the heart of Silicon Valley, we have the benefit of being embedded in an environment that is home to many burgeoning trends. Over the decades, we’ve seen a tremendous amount of disruptive technology emerge and keep our finger on the pulse of the latest trends. Recently, many of these developments have been Read more…
The Online Trust Alliance (OTA) has news today, June 5. The OTA conducts an annual audit of a range of businesses, government agencies, and vendors. This audit looks at how each organization deals with the key points of importance to the OTA; domain, brand and consumer protection; site, server, and infrastructure security (including SSL certificate implementation); data protection, privacy, and transparency. They look at over 750 websites, including the 2013 Internet Retailer Top 500, leading financial institutions (certified FDIC), social networking sites, and OTA member companies like Symantec. The public can go to the OTA’s website, look at their criteria, and see who the OTA recommends for practicing safe online activity in their Honor Roll.
Inclusion isn’t guaranteed, even for partner Certificate Authorities. Symantec Website Security Solutions works with the OTA and its partner group on whitepapers, educational materials, and symposiums. We believe in the importance of having industry leaders get together to determine common grounds of governance, suggested guidelines, and best practices to share with the whole internet ecosystem. The goal of all these efforts is to make the internet a safer place for the consumer to do business, and be protected at work and play. Consumers can use the OTA Honor Roll the same way they review a company’s certification by the Better Business Bureau, Angie’s List, Consumer Reports, and other independent online reviews to evaluate where to spend their money.
This year, the OTA’s criteria expanded to include more details of website security, including the use of 2048-bit certificates, Domain Locking, and the honoring of Do Not Track. Additionally, they have revised the weighting of email authentication to include best practices such as DMARC and DKIM. And because the OTA believes in practicing what they preach, they include their own membership and sponsor list in the audit. Not everyone makes the grade.
Symantec Website Security Solutions shares the goals and principles of the Online Trust Alliance, an organization promoting industry best practices and education to help protect users and increase online trust. We’re proud to be named on their Honor Roll a third year in a row. We believe this achievement represents our dedication to best practices. Internet security is a constantly changing field, and new criteria will be added every year. Staying ahead of the curve is important, and we encourage everyone to maintain, monitor, and keep planning for the future with the right investments in security and safety for users.
A low-tech type of identity theft is threatening Facebook users in South Africa. Facebook “cloning” has been around for years, but has had a revival this past week. We learned about it in a personal way – the brother of an Avast colleague, Richard B. from South Africa, had his profile cloned and notified Richard. […]
Cybercrime is one of the most lucrative illegal businesses of our time, and it shows no signs of slowing down. Over the last decade, cybercriminals have developed new and increasingly sophisticated ways of capitalizing on the explosion of Internet users, and they face little danger of being caught. Meanwhile, consumers are confronted with greater risks Read more…
スーパーマーケットに向かう途中でカーラジオから流れてきたやかましい曲が耳について離れない。冷凍食品の売り場を探しながら、ふと気が付くとその曲を口ずさんでいて驚くやら恥ずかしいやら。そんな経験が誰にでもあるものです。そうなったらもう、80 年代の定番ロックを歌って、連れにも聞かせてあげるしかありません。そうやって、いつの間にか、その曲は人から人へと伝染していきます。この流れはウイルスによく似ています。ウイルスは、コンピュータにも人にも次から次へと感染して拡散していきます。シマンテックから、「80 年代ロック対策製品」が出ていないのが残念です。
冗談はさておき、音楽を通じて拡散したりコマンドを受信したりするマルウェアがあると言ったら、まるで SF 映画から飛び出てきた話のようだと思うでしょうか。ところが、アラバマ大学バーミンガム校(UAB)の研究者が最近発表した「Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices(モバイルデバイスの検出困難なコマンドおよびコントロールに感知可能な経路を利用する方法)」(英語)という論文によれば、そうでもないのです。この論文では、音声、光、磁気、振動といった、インターネット以外の経路でモバイルデバイス上のマルウェアを起動して制御する方法を検証しています。マルウェアの制御は従来、ネットワークベースの経路(たとえば TCP/IP ベースの経路)に頼っているので、検出も遮断もファイアウォールやウイルス対策ソフトウェアで簡単に行えます。一方、UAB の研究者が検証している方法では、不可能とは言えないまでも検出するのは非常に困難です。
スマートフォンやタブレットなどのモバイルデバイスには現在、カメラやマイクのほかに、加速度センサーや磁気センサーまで搭載されています。こうした機能は、元々写真を撮ったり音声を録音したりする目的で搭載されたことは言うまでもありませんが、最近では本来の用途以外の機能を実装するためにアプリケーション開発者によって採用されるようになりました。たとえば、デバイスに内蔵されているカメラを使って脈拍を測定するアプリや、加速度センサーを使って地震の検出に役立てるアプリもあります。モバイルデバイスのユビキタス性と組み込みセンサーが、攻撃者にとってもさまざまな可能性を切り拓くと、UAB の研究者は述べています。この論文で詳しく述べられているのが正にこの可能性で、概念実証用の Android アプリを作成してそのアイデアを披露までしているほどです。
研究者は、特定の信号によって起動されるまで潜伏し続けるように設計されたマルウェアを Android デバイスにインストールし、人通りの多い廊下で、17 メートルほど離れた音源から聞こえてくる音楽を使ってこのマルウェアを起動しました。また、音楽ビデオ、テレビの光や照明、磁気、そしてサブウーハースピーカーの振動によってマルウェアを起動することにも成功しています。
この攻撃方法を使えば、攻撃者は状況に応じて以下のような標的型攻撃を実行できることになります。
このような攻撃はきわめて高度であり、現時点では実行も困難であると研究者は認めていますが、技術が進歩するほど実行は容易になるでしょう。この種の研究が重要であると研究者が考える理由は、正にこの点にあります。セキュリティ業界やデバイスメーカーが犯罪者の先手を取ることができるからです。
研究者が論文で展開した仮説上の攻撃では、マルウェアがデバイスに侵入する際の方法は従来と同じです。従来と異なるのは、攻撃者がマルウェアと通信する方法として、新しい経路を使う点です。この研究は確かに注目に値しますが、音声などの放送に信号を隠して埋め込むのは、ステガノグラフィーの一形態にすぎません。ですから、シマンテック製品を実行しているデバイスであれば、通信の受信方法にかかわらず、マルウェアの存在や動作は検出されるのでご安心ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
We’ve all heard a really annoying song on the radio on the way to the supermarket and then are shocked and ashamed to find ourselves humming the tune while perusing the frozen foods isle. All it takes then is for a fellow shopper to overhear your…
This week the Federal Government scored a major victory over a massive worldwide network of cybercriminals by shutting down Liberty Reserve, a criminal business venture disguised as a bank that was fronting a secret money system for everyone from credit card and identity thieves to Ponzi scheme peddlers, hackers for hire, and money launderers. Liberty Read more…