《虛擬貨幣》物聯網成為挖礦惡意程式的目標


《虛擬貨幣》物聯網成為挖礦惡意程式的目標加密虛擬貨幣近來持續引起許多騷動。雖然部分政府致力於管理相關交易,但也有一些政府希望完全停止相關挖礦活動趨勢科技注意到網路犯罪者持續積極參與加密貨幣挖礦惡意程式活動,包括入侵消費者的硬體圖形處理器 (GPU),以及利用使用者的行動裝置。

俗話說,犯罪總是離不開錢財,網路犯罪者的行為再次印證了這個說法。地下世界充滿了許多加密虛擬貨幣惡意程式,犯罪者肯定很難判斷哪個最有利可圖。此類惡意程式亦稱為挖礦惡意程式 (cryptomalware),其目標明確,就是要從加密虛擬貨幣交易中獲利。這可以透過兩種方式達成:竊取加密貨幣,以及偷偷地在受害者的裝置上進行加密虛擬貨幣挖礦,此程序亦稱為挖礦綁架。在本文中,我們將討論這兩種方式如何運作,以及研究連接至物聯網(IoT ,Internet of Thing 的裝置 (運算能力相對較低) 是否會成為目標。

「虛擬貨幣挖礦惡意程式與「虛擬貨幣竊取惡意程式」的運作方式

如同一般惡意程式,挖礦惡意程式也可能採取不同的形式,包括用戶端網頁指令碼以及行動應用程式等。隨著線上服務的普及,挖礦過程變得更加容易,值得注意的是,我們發現以 JavaScript 撰寫的網頁型用戶端加密貨幣挖礦惡意程式有所增加。

不過,這項威脅並不限於電腦。幾乎任何連接網際網路的裝置都可能成為挖礦殭屍網路的一部分。犯罪者只需要能夠實現此目標的程式碼,而且他們早已進行開發,本文稍後就會說明。

一般加密虛擬貨幣挖礦惡意程式的手法如下:

  1. Dropper 程式碼透過指令碼或適當的可執行檔,未經受害者同意而執行於受害者的裝置上 (如同任何其他惡意程式)。為達到此目的,網路犯罪者會攻擊防備不足的電腦基礎設施、進行網路釣魚詐騙,或惡意利用瀏覽器擴充功能、行動應用程式及即時傳訊等工具。
  2. 挖礦程式碼執行於受害者的裝置,並開始利用其運算能力來計算雜湊。此時,受害者可能會注意到裝置效能降低,如果是電腦,風扇會為了降溫而發出較大的噪音。

    挖礦程式碼執行於受害者的電腦,風扇會為了降溫而發出較大的噪音。
    挖礦程式碼執行於受害者的電腦,風扇會為了降溫而發出較大的噪音。
  3. 計算結果送回攻擊者或直接送至線上採礦池,無論是否惡意 (專門設置用於支持網路犯罪)。接下來,攻擊者將結果轉換為加密貨幣。

Continue reading “《虛擬貨幣》物聯網成為挖礦惡意程式的目標”


《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開


商店和金融機構內的攝影機也可能被駭客用來取得個人身份資料(PII)和付款資訊。地下論壇有人出售可以收集信用卡資料的網路攝影機影像串流(如下圖),也有人表示願付出每秒15美元來觀看被駭攝影機。

地下論壇有人出售可以收集信用卡資料的網路攝影機影像串流(如下圖),也有人表示願付出每秒15美元來觀看被駭攝影機。地下論壇有人出售可以收集信用卡資料的網路攝影機影像串流(如下圖),也有人表示願付出每秒15美元來觀看被駭攝影機。
地下論壇有人出售可以收集信用卡資料的網路攝影機影像串流(如下圖),也有人表示願付出每秒15美元來觀看被駭攝影機。

 

一篇論壇文章出現了多達 2,000 台據說連到咖啡館、醫院、辦公室、倉庫和其他地點的IP攝影機。而另一個網站上的群組成員可以分享和觀看網路攝影機影像並進行惡作劇。

網路探勘及網路攝影機入侵所用的工具也都可公開取得。趨勢科技還觀察到,因為這些網路攝影機經常都是用預設密碼或是無需身份認證的影像串流,因此並不需要特殊知識或高級駭客技能去入侵這些網路攝影機。地下論壇、社群網路專門群組和YouTube頻道也提供了詳細的指南。因為這些指南都可以公開取得,所以想跟上暴露網路攝影機潮流的人都可以輕鬆地做到。

駭客如果入侵人群聚集地點的網路攝影機,如商店、酒吧和餐廳,甚至到更私密的地方,如游泳池和健身中心的更衣室、SPA沙龍的桑拿浴室,甚至是醫院手術室。

入侵美容院、泳池和健身中心的更衣室、SPA沙龍的桑拿浴室等地的攝影機,專門用來勒索明星和其他公眾人物,網路犯罪分子會威脅不付錢就流出這些私密影片。

有些地下駭客在幫助腳本小子自動化入侵網路攝影機流出影像串流的程序,甚至利用這些物聯網設備進行惡意活動,如分散式阻斷服務(DDoS)攻擊、虛擬貨幣挖礦,甚至是金融犯罪。

許多團體都致力在社群網路上經營暴露網路攝影機的生意。有些是付費制會員的商業模式,每個會員需要付幾美元。比方說一個有超過 500名會員的成人內容網路攝影機 VK 群組 Cam Over(hxxps://vk[.]com/cam_over),其終身會員資格約為 3 美元。

駭客舉辦投票來詢問其他駭客是否要關閉特定城市內的網路攝影機並將串流影像換成勒贖通知,接著可能在受害者打電話時錄下他們的反應。這類型的“網路攝影機勒索”可能帶來嚴重的後果,受害者可能失去的不是之前儲存的資料(像是傳統勒索軟體),而是現在或未來的資料。這不僅會影響到大型工廠這類使用網路攝影機來追蹤或控制技術流程的環境,也會影嚮到可視化即時資料是業務核心的環境(如證券交易所)。

這些暴露的網路攝影機也影響到了企業大樓和關鍵基礎設施的實體安全。許多會議室、主管辦公室、警衛室、危機管理中心和政府建築的可以發現暴露的網路攝影機。值得注意的是,惡意份子可能會支付相當金額來看某人的裸體,但會更願意多付幾倍的錢來進入董事會議室 – 想想看這種地方所收集到的敏感資料所可能造成的風險將會更高。

 

被看光光的影像串流:駭客如何惡意利用監控攝影機

網路監控攝影機因為其外部連線能力而替家庭和企業帶來了些便利。像是可以讓家長遠端查看家中的小孩,員工也能夠監視營業場所及四周發生了什麼事。但因為設備漏洞或錯誤設定等問題,這可用性往往付出了安全性的代價。更嚴重的是會出現一些我們所看到的後果:駭客連上網路攝影機錄影,將連線能力賣給其他人,甚至用網路攝影機來窺視商店或取得無辜客人的信用卡資料。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

大多數人並不擔心監控攝影機的暴露問題,這是可以理解的,因為大多數人沒有或不使用監控攝影機。但這些網路攝影機駭客攻擊實際上會影響到比預期更多的人。因為駭客會入侵人群聚集地點的網路攝影機,從公共場所(如商店、酒吧和餐廳)到更私密的地方(如游泳池和健身中心的更衣室、SPA沙龍的桑拿浴室,甚至是醫院手術室)。

儘管這些網路攝影機所洩漏出的影像和資訊非常敏感,但我們認為這些攻擊並不是由進階駭客所進行。因為惡意利用IP監控攝影機及其他物聯網(IoT ,Internet of Thing設備的常見服務通常都放在公開的社群網路上(如VK.com),而不是暗網或只能透過專用匿名工具連接的網路。網路探勘及網路攝影機入侵所用的工具也都可公開取得。此外,交易方式也往往不用匿名。我們還觀察到,因為這些網路攝影機經常都是用預設密碼或是無需身份認證的影像串流,因此並不需要特殊知識或高級駭客技能去入侵這些網路攝影機。所以也就毫不意外的,入侵網路攝影機被認為是容易上手的目標,攻擊者往往是入門級駭客和腳本小子,或使用現成腳本而非自行開發的非技術駭客。

 

地下駭客和腳本小子的角色

這些活動看起來是因為好玩,無論是有經驗的駭客或是腳本小子所為。使用已知密碼的網路攝影機被廣泛地分享在地下論壇的“趣味”討論區或某些社群網路的惡作劇群組。一篇論壇文章hxxps://blackbiz[.]/threads/baza-ip-veb-kamer[.]20364出現了多達2,000台據說連到咖啡館、醫院、辦公室、倉庫和其他地點的IP攝影機。而另一個網站上,hxxps://vk[.]com/camerasdragorock的群組成員可以分享和觀看網路攝影機影像並進行惡作劇。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖1、關於暴露網路攝影機的貼文範例

 

駭客通常會播放不同影片或甚至與影片中人進行交動來進行惡作劇。網路攝影機惡作劇的影片經常被分享到專門社群網路群組、即時通聊天室和YouTube頻道上,能夠取得數十萬甚至數百萬的觀看次數。有些惡作劇是因為影片留言要求而進行,有些則使用聳動的標題,如“美國宣布核子戰爭”hxxps://www.youtube[.]com/watch?v=Ka-DsDZgAM4

當我們研究了這個市場(特別是社群網路上的專門群組),可以看出幾個重點:暴露個人生活的網路攝影以及付費成人網站的串流影片需求量很大,實體安全相關的網路攝影機可以被免費分享並作為熱身或群組推廣工具。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖2、秀出暴露網路攝影機的貼文

 

除了好玩以外,有些地下駭客和腳本小子是真的在做生意。除了只是惡作劇之外,這些駭客還是有賺錢的一面。實際上,有些地下駭客在幫助腳本小子自動化入侵網路攝影機流出影像串流的程序,甚至利用這些物聯網設備進行惡意活動,如分散式阻斷服務(DDoS)攻擊、虛擬貨幣挖礦,甚至是金融犯罪。

 

所用的軟體

入侵這些設備的大部分階段都是自動化完成。某些階段會使用知名服務甚至是合法軟體。

他們經常會用自己的軟體(如SquardCam),以及知名滲透測試工具(如masscan和RouterScan)。有時甚至不用掃描程式或其他工具就可以找出並進入網路攝影機;像InsecamIP-Scan這類網站就可以讓這項任務變得更輕鬆。有時也會使用暴力破解軟體或針對特定製造商的攻擊軟體,就像是BIG HIT SPAYASICAM 2017這樣的全功能解決方案,它的前10名買家只要120美元。至於網路攝影機客戶端,常被使用的有SmartPSS和IVMS-4200。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖3、入侵設備的生命週期

 

地下論壇、社群網路專門群組和YouTube頻道也提供了詳細的指南。因為這些指南都可以公開取得,所以想跟上暴露網路攝影機潮流的人都可以輕鬆地做到。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖4、使用SquardCam入侵IP攝影機的指南貼文

 

這些指南通常會介紹的是前三個階段,讓駭客有機會在最後一個階段發揮創造力。不過其他階段也經常會被利用。我們發現有些網路攝影機入侵軟體在散布時會夾帶傷害使用者的惡意軟體。這顯示出在這網路攝影機入侵市場內也沒有職業道德可言。

購買程序和機會

許多團體都致力在社群網路上經營暴露網路攝影機的生意。有些是付費制會員的商業模式,每個會員需要付幾美元。比方說一個有超過500名會員的成人內容網路攝影機VK群組Cam Over(hxxps://vk[.]com/cam_over),其終身會員資格約為3美元。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖5、VK網路攝影機群組提供付費會員資格

 

不過比較流行的作法是按攝影機付費(PPC)或套餐制(PPP)模式。這些模式的價格通常是每件1.5美元至5美元之間,特賣商品可能低於1美元。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖6、成人內容的影像串流套餐

 

有些賣場或團體會販賣錄好的影片,而並非是網路攝影機連線。這服務讓駭客有機會利用網路攝影機勒索受害者,或利用這些設備進行其他犯罪活動(如間諜活動或資料外洩)。

 

可能的用途和後果

因為IP攝影機也是物聯網設備的一種,有幾種可以濫用的方式。其中一個是虛擬貨幣挖礦,這是種相對無害的方式來利用被駭設備賺錢。但這些有漏洞的設備可能會帶來更嚴重的後果 – 成為攻擊第三方基礎架構的跳板,被用來隱藏蹤跡防止被鑑識、洩露資料,甚至因為網路攝影機通常有良好的網路連線,可以用來進行分散式阻斷服務攻擊HYPERLINK “http://blog.trendmicro.com.tw/?p=16497” (DDoS)

 

地下駭客很了解這些網路攝影機對私人生活、金融交易,甚至是關鍵基礎設施所可能造成的安全影響。他們甚至會去討論這些網路攝影機入侵,包括如何攻擊有漏洞的設備及勒索受害者。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖7、問卷調查關於關閉城市內的網路攝影機並勒索受害者

 

在上面的範例中,駭客舉辦投票來詢問其他駭客是否要關閉特定城市內的網路攝影機並將串流影像換成勒贖通知,接著可能在受害者打電話時錄下他們的反應。這類型的“網路攝影機勒索”可能帶來嚴重的後果,受害者可能失去的不是之前儲存的資料(像是傳統勒索軟體),而是現在或未來的資料。這不僅會影響到大型工廠這類使用網路攝影機來追蹤或控制技術流程的環境,也會影嚮到可視化即時資料是業務核心的環境(如證券交易所)。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖8、關於SPA沙龍內被駭攝影機的貼文

 

入侵美容院、桑拿浴室和醫療機構等地的攝影機能用另一種方式來勒索明星和其他公眾人物,網路犯罪分子會威脅不付錢就流出這些私密影片。

商店和金融機構內的攝影機也可能被駭客用來取得個人身份資料(PII)和付款資訊。像是下面貼文內的被駭攝影機被廣告為適合收集信用卡資料。在地下論壇也有人直接要求願意付出每秒15美元來觀看被駭攝影機並記錄PII和付款資訊。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖9、關於可能洩露信用卡資料的網路攝影機貼文

 

當然,這些暴露的網路攝影機也影響到了企業大樓和關鍵基礎設施的實體安全。許多會議室、主管辦公室、警衛室、危機管理中心和政府建築的可以發現暴露的網路攝影機。值得注意的是,惡意份子可能會支付相當金額來看某人的裸體,但會更願意多付幾倍的錢來進入董事會議室 – 想想看這種地方所收集到的敏感資料所可能造成的風險將會更高。

《IOT 物聯網》信用卡資料外洩,付款時網路攝影機搞鬼!駭客惡意利用監控攝影機的各種手法大公開

圖10、有關辦公室攝影機被入侵的貼文

 

針對暴露攝影機的最佳實作

我們的發現提醒了人們,網路攝影機的製造商和品牌廠商以及使用它們的個人和組織都必須遵循最佳實作來使用它,充分保護IP攝影機和其他物聯網設備。

提供給設備製造商和品牌廠商的建議包括:

  • 採用「始於安全的設計(Secure by Desgin)」的作法,在開發過程的最初階段就將安全功能和防護措施內建到設備中。
  • 持續監視韌體並修補有漏洞的系統組件,必要時用線上韌體更新(FOTA)。
  • 應用secure boot來確保設備開機時只用可信任軟體,防止被入侵設備運作。
  • 採用最少功能原則,最大程度地降低係系統出現漏洞的可能性,並且停用任何未使用或不必要的端口、協定和服務。
  • 強制變更設備的預設密碼,最好讓使用者進行初始化設定。

 

對使用者來說,最佳實作包括:

  • 新設備要變更預設密碼,使用至少包含15個字元,大小寫,數字和特殊字元混合的強密碼。
  • 關閉用不到的網路端口或協定,例如通用隨插即用(UPnP),這協定會讓連到網路的設備在不發出警告下開啟對外部網路的端口。
  • 盡快更新韌體和安全修補程式,盡量減少遭受漏洞攻擊的機會。

因為地下市場的蓬勃發展以及大量網路攝影機的出現(尤其是在現代都市),IP攝影機或影像監控系統的安全問題幾乎影響到了每個人。事實上,這是涉及物聯網,工業物聯網和重要基礎設施安全的全球性問題。

 

@原文出處:Exposed Video Streams: How Hackers Abuse Surveillance Cameras 作者:趨勢科技前瞻性威脅研究(FTR)團隊


「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼


趨勢科技發現一個會竊取個資的多平台間諜軟體: Maikspy,目標是Windows和Android使用者,該間諜軟體偽裝成人遊戲: Virtual Girlfriend(虛擬女友)。Android 用戶若感染了該間諜軟體,通話時它會偷偷錄音和竊取設備所在位置、簡訊、聯絡人和

WhatsApp資料庫等資訊。最新的變種還可以竊取剪貼簿、本機號碼、已安裝應用程式列表和帳號等資訊。

「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

安裝惡意Virtual Girlfriend(虛擬女友)應用程式後,間諜軟體會秀出線上約會詐騙網站,當使用者進行註冊時,駭客不僅可以取得受害者的信用卡資料,還會取得註冊該網站時的刷卡費用。

另外,趨勢科技也發現 Windows使用者在瀏覽特定網頁時可能會被安裝 Chrome 擴充功能(VirtualGirlfriend.crx)。當下載此擴充功能時,會指示受害者將其加入瀏覽器。接著 Maikspy 就能收集從網頁輸入的使用者名稱和密碼。

如果你授權它使用你的Twitter帳號,作者可以利用這個帳號來使用自動化工具散播廣告。 

 

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

PCcillin 雲端版超強跨平台防護, 同時支援PC、Mac及Android智慧手機與平板電腦,一組序號可安裝在不同上網設備,讓您不管在何時、何地都能獲得跨平台的防護。

 

趨勢科技發現了稱為Maikspy的惡意軟體家族,這是會竊取使用者私人資料的多平台間諜軟體。這系列間諜軟體的目標是Windows和Android使用者,一開始出現就用成人遊戲作為偽裝,使用熱門美國AV女星來命名。Maikspy這個結合AV女星和間諜軟體的名稱從2016年開始出現。

根據分析最新Maikspy變種的結果顯示,使用者從感染了間諜軟體,這網站會散播惡意應用程式(包括2016年的成人遊戲),連到其C&C伺服器來從上傳中毒設備和電腦的資料。有多個Twitter帳號廣告了這款被稱為Virtual Girlfriend(虛擬女友)的成人遊戲,並透過短網址分享惡意網站。

Figure 1. Tweets that mention Virtual Girlfriend and the short link of hxxp://miakhalifagame[.]com/

圖1、提到Virtual Girlfriend的推特文章

Continue reading “「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼”


【 虛擬貨幣 】行動裝置遭挖礦劫持,恐導致設備損耗加劇、電池壽命縮短、效能降低


 跟任何銀行機構都沒有連結也無法追蹤的數位虛擬貨幣對駭客來說具有難以抗拒的吸引力。除了合法的使用和挖礦之外​​,網路犯罪分子也在利用虛擬貨幣。
 趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力,會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。詳情請看:新的Android挖礦程式,這回要榨乾你的手機電力

在2017年秋季,趨勢科技在Google Play商店中發現數個惡意虛擬貨幣挖礦應用程式。這些應用程式會利用受害者行動裝置的運算能力挖礦來幫駭客賺錢。下文讓我們先了解虛擬貨幣如何造就今日的威脅環境?

虛擬貨幣的匿名性讓駭客如虎添翼 

儘管許多人認為2017是虛擬貨幣踏入主流的一年,但其實有人已經使用比特幣或其他虛擬貨幣好些年了,這是區塊鏈概念背後的主要推動力。

【 虛擬貨幣 】行動裝置遭挖礦劫持,恐導致設備損耗加劇、電池壽命縮短、效能降低

基本來說,虛擬貨幣可以說是一種數位或電子貨幣。但虛擬貨幣與其他數位交易間的主要區別是是比特幣等貨幣不需要中央銀行或金融服務商的驗證或支持。

「相對地,它使用加密技術來確認交易,在名為區塊鏈的公開分散式帳本上進行交易,從而實現直接的點對點支付,」Motley Fool的撰稿人Adam Levy寫道。

虛擬貨幣為良善使用者帶來許多好處,包括簡化數位交易和強化隱私。但這些優點也同樣地吸引了惡意使用者。比特幣和其他虛擬貨幣對他們來說是能幫助惡意攻擊(如勒索病毒 Ransomware (勒索軟體/綁架病毒))的理想元素。虛擬貨幣強調隱私這事實也讓受害者付錢後無法追踪惡意攻擊者 – 正是網路犯罪分子利用它的原因。

正如阿爾斯特大學網路安全教授Kevin Curran博士對衛報撰稿人Simon Usborne所說,虛擬貨幣所能提供的匿名性是駭客之前一直苦於無法達成的能力。

Curran表示:「以前的駭客可能會要求透過西聯匯款或銀行帳戶來付錢,但這些交易只要監管當局介入就能夠追蹤。」 Continue reading “【 虛擬貨幣 】行動裝置遭挖礦劫持,恐導致設備損耗加劇、電池壽命縮短、效能降低”


《IOT物聯網》駭客攻擊 IP 監視攝影機的五個動機


物聯網 (IoT) 裝置的安全一直是一項熱門討論話題,其中 IP 監視攝影機的安全尤其受到矚目。

IP 攝影機目前已是駭客優先鎖定的攻擊目標,因為這類裝置的運算效能和網路頻寬都較為充裕。眼前最好的例子就是 2016 年底一個名為「Mirai」的殭屍網路病毒利用監視攝影機發動了有史以來最大的一樁分散式阻斷服務 (DDoS) 攻擊。結果造成網際網路流量瞬間暴增至平常的 50 倍,創下 1.2 Tbps 的歷史新高。而這些網路流量都是因為 IP 監視攝影機遭到駭客挾持,駭客從遠端下達攻擊指令所造成。

事件過後至今,又出現了多個類似 Mirai 的惡意程式變種,且更善加利用這些含有漏洞的 IP 監視攝影機。當然,網路資安現已成為 IP 監視攝影機的首要問題,某些政府機構也開始著手制定一些規範來要求這類裝置提升其網路資安能力。這勢必將成為 IP 監視攝影機市場一項新的競爭要素。

徒駭入 IoT 裝置的主要動機是為了賺錢
徒駭入 IoT 裝置的主要動機是為了賺錢

歹徒攻擊 IP 監視攝影機的背後動機

歹徒駭入 IoT 裝置的主要動機是為了賺錢。IP 監視攝影機之所以成為歹徒的重要目標,有以下幾點原因:

  1. 無時無刻的網路連線。如同許多其他裝置一樣,IP 攝影機必須仰賴網際網路連線來運作。然而也因為隨時暴露在網際網路上,因此駭客很容易找到這些攝影機並攻擊其裝置漏洞。這些裝置一旦被駭入,就會成為駭客的工具。
  2. 駭客投入的成本低廉。與駭入 PC 不同的是,駭客一旦找到方法來破解某種 IoT 裝置的安全機制 (例如 IP 攝影機),同樣的方法就可以套用在類似的型號上,所以每一裝置的駭入成本相當低廉。
  3. 缺乏監督管理。有別於一般 PC (尤其是辦公室環境的 PC),IP 攝影機通常不太需要使用者操作,而且缺乏安全控管,還不能在上面安裝市售惡意程式防護軟體。
  4. 充裕的效能。IP 攝影機平常閒置的運算效能通常就足以執行一些駭客想要的工作 (例如挖礦) 而不會引起使用者注意。
  5. 充裕的網際網路頻寬。IP 攝影機需要傳輸視訊,因此需要隨時、高速、高頻寬的連線,正好成為歹徒發動 DDoS 攻擊的良好條件。

典型感染過程

IP 監視攝影機遭駭的典型過程如下:

1.初次感染。駭客會先搜尋裝置是否開放了某些連接埠,如 Telnet、Secure Shell 以及 Universal Plug and Play (UPnP) 所使用的連接埠。接著,便利用裝置預設的帳號密碼來試圖登入裝置 (這就是 Mirai 的作法),或者攻擊尚未修補的系統漏洞 (這就是 PersiraiReaper 的作法),進而掌控裝置。 Continue reading “《IOT物聯網》駭客攻擊 IP 監視攝影機的五個動機”


《資安新聞週報 》為 GDPR 做好準備:強化易受攻擊的郵件系統/聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身


本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

 媒體資安新聞精選:

知名電競賽事主持人IG遭盜用 竟要1萬連署才能討回來! 新頭殼

 聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身       ETtoday新聞雲

強化裝置安全性, Google 將強制要求手機商進行每月安全更新        癮科技

趨勢科技協助FBI成功將 Scan4You 定罪  台灣產經新聞網

IoT裝置UPnP協定可讓駭客發動新型態DDoS攻擊 一旦發生難以緩解       iThome

RSA資安調查:僅4成7的組織會在第一時間修補安全漏洞        iThome

兩大郵件加密軟體有漏洞 恐易遭駭客入侵      中央社即時新聞網

LG旗艦手機遭爆有遠端程式碼執行漏洞,G4、G5及G6全中鏢  iThome

微軟修補68個安全漏洞,包含兩個零時差攻擊漏洞      iThome

南韓業者GPON路由器漏洞遭5種殭屍網路開採    iThome

【美國銀行】首席技術長:加密貨幣是一個「麻煩的」支付系統,鑑於支付設計不透明        BLOCKTEMPO

密碼沒保管好 信用卡盜刷恐難賠      台灣蘋果日報網

訊息爆炸時代資訊審核的重要性        數位時代

巡迴花蓮31校 千萬VR巴士開進校園 星河大體驗        中國時報

Adobe釋出本月第二波安全修補        iThome

厄瓜多砸上億台幣 監視維基創辦人亞桑傑      中央社即時新聞網

影/員工證晶片植入手背保證不遺失!這些瑞典人好勇        聯合新聞網

網路報稅防駭 五招護身 可由財部網站下載軟體 事前掃毒 完成後移除資料 確保安全  經濟日報(臺灣)

海外被盜刷爆 銀行竟酸「為何亂刷卡」  台灣蘋果日報網

駭客入侵西點軍校 曾留名逾萬軍事、政府及商業網站  世界新聞網

伊朗示威反美 網軍大舉襲美      聯合新聞網

國際資安新創交流活動,讓台灣與世界共同抵禦網路威脅    T客邦

資安界奧斯卡DEF CON 駭進中國 開辦活動26年 首次在美以外地方舉行        旺報

臺灣HITCON再度入圍全球駭客攻防大賽DEF CON CTF決賽,8月於美國再戰全球  iThome

新IP力助物聯網裝置抵禦物理攻擊威脅   EDN Taiwan

Nutanix加強SDN產品布局推出Nutanix Flow    iThome

Google:Microsoft Edge的ACG安全功能含有缺陷  iThome

【央行加密禁令】辛巴威央行宣布禁止金融機構與任何加密相關業務往來        BLOCKTEMPO

Windows容器 資安漏洞 Windows Server容器套件含遠端程式碼執行漏洞,用Windows主機執行容器要快更新    iThome Weekly電腦報

AI技術扮要角  打造智慧工廠非夢想 電子時報

36萬筆個資外洩顧客遭詐求償 雄獅旅行社:沒因果關係     經濟日報網

【Mac 不會中毒?醒醒吧】高市佔率讓蘋果成駭客目標,但防毒軟體可千萬別亂裝       科技報橘網

OS業者誤解晶片製造商文件,使Windows、macOS與Linux曝露資安風險        iThome

朔宇結盟FireMon 強化企業整體資安防護力   iThome

臺荷產官學國際合作  建設資安基礎防護 財團法人資訊工業策進會

【軍事】台美國防產業論壇  潛艦合作成焦點 新新聞

台灣推動國艦國造 專家:融入資安觀念  中央通訊社商情網

GDPR上路倒數,小心相關網釣活動激增!        iThome

訂定「敏感科技保護法」刻不容緩    台灣新生報

拜託別再教我如何成功─Tomofun 創辦人張友辰:「失敗很痛,但那才是學習的開始」  數位時代

《資安新聞週報 》為 GDPR 做好準備:強化易受攻擊的郵件系統/聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身

Continue reading “《資安新聞週報 》為 GDPR 做好準備:強化易受攻擊的郵件系統/聲控系統恐有安全隱憂 人耳聽不到的聲音駭客將現身”


網路攻擊和資料盜竊列組織前五大風險,資安長(CISO)該怎麼辦?


企業風險管理 (ERM) 日益困難。世界經濟論壇 2018 年《全球風險認知調查》(Global Risks Perception Survey) 顯示,組織今年最可能遭遇的前 5 大風險之中,網路攻擊和資料盜竊分別是第 3 名和第 4 名。這種情況並非出乎預料。2017 年,全球各地的資安長- chief information security officer (CISO)面臨了破壞性的勒索攻擊、大規模的漏洞威脅、削弱企業的商業電子郵件入侵變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)詐騙、遽增的加密貨幣風險、不斷演進的物聯網(IoT ,Internet of Thing)威脅,資料外洩事件更是源源不絕。面對諸多危險,公司應如何自處?而組織在 2018 年,又該如何管理企業風險?

網路攻擊和資料盜竊列組織前五大風險,資安長(CISO)該怎麼辦?

WannaCry(想哭)勒索蠕蟲到 Petya勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊導致許多生產線中斷,受害廠商包括 Honda、Nissan、Renault,甚至 Cadbury。強大的勒索病毒結合 EternalBlue(永恆之藍)漏洞的蠕蟲功能,使得這類攻擊的發生率和影響力增加 10 倍。光是這些攻擊就突顯出,資安長必須重新審視評估營運的風險。我們不能再將這類威脅視為單純的 IT 風險,其影響範圍遍及 IT 和營運技術 (OT) 的領域,可能造成全球數十億美元的損失。

[請參閱:深入瞭解 2017 年的資安威脅如何侵擾企業]

2018 年,組織亟需採用風險導向漏洞管理,因為即使只有少數漏洞曝露,就表示已經成為刺探攻擊的武器,而且還會持續造成後患。特定類型的威脅,如 2017 年發生的 Dirty COW 攻擊,仍對企業帶來嚴重影響。 Continue reading “網路攻擊和資料盜竊列組織前五大風險,資安長(CISO)該怎麼辦?”


趨勢科技協助 FBI 將網路犯罪集團 Scan4You 定罪


趨勢科技與全球執法機關合作已有很長的一段歷史。至今已協助執行了大約 20 次執法行動,對象包括:國際刑警組織 (Interpol)、歐洲刑警組織 (Europol) 以及英國國家犯罪局 (National Crime Agency,簡稱 NCA)。最近一次行動是與 NCA 的多年合作,讓惡名昭彰的 CAV 服務 reFUD.me 經營者被成功定罪

趨勢科技協助 FBI 將網路犯罪集團 Scan4You 定罪

趨勢科技協助 FBI 將網路犯罪集團 Scan4You 定罪

趨勢科技 與美國聯邦調查局 (FBI) 密切追查、逮捕惡名昭彰的 Scan4You 防毒反制服務 (Counter Antivirus,簡稱 CAV) 並將之起訴的相關細節。兩名主要嫌犯當中,Ruslans Bondars最終被判有罪,而 Jurijs Martisevs 則早在 2018 年 3 月即已認罪。透過趨勢科技與 FBI 獨家合作的調查成果,將這幫歹徒追緝並起訴。

Scan4You 的服務專門幫網路犯罪集團檢查其最新的惡意程式能否被市面上 30 多種防毒引擎所偵測,藉此改進其攻擊技巧。趨勢科技自 2012 年即和 FBI 展開密切合作。Scan4You於 2017 年五月因兩名系統管理員遭到逮捕而關閉服務。

趨勢科技網路資安長 Ed Cabrera 指出:「身為對抗網路犯罪的先驅與全球公民的一員,能夠支援全球執法行動讓我們備感驕傲。在這起案例當中,我們的全球威脅情報網與研究團隊發揮了很大作用,可說是 FBI 的無價資源,讓 FBI 能夠直搗惡名昭彰的 CAV 服務。這對全球各地的網路犯罪集團來說都是一大打擊,不僅無數的網路犯罪集團受到衝擊,也讓他們了解其行為將面臨何種後果。日後,我們將繼續致力與執法機關聯手保護連網的世界。」

趨勢科技是不用槍的 007 與執法機關長期合作 證明趨勢科技打擊全球網路犯罪的先驅地位

趨勢科技與全球執法機關一直保持著密切的合作關係,曾協助 FBI 破獲最大殭屍網路駭客集團,也協助過台灣健保局偵破盜個資案件,因為我們相信,唯有公私部門共同合作才能建立一個更安全的數位資訊交換世界。隨著網路犯罪日益猖獗、不斷演變,趨勢科技也採取對應的行動。很榮幸能協助美國聯邦調查局 (FBI) 進行一項為期數年的跨國辦案行動,終結惡名昭彰的 Scan4You 防毒反制服務,並將兩名幕後嫌犯起訴。

如同我們在最新的報告中指出,此案例不僅展現了趨勢科技情報蒐集與協助調查的能力,也突顯出網路犯罪偵查的艱難之處。

趨勢科技協助 FBI 將網路犯罪集團 Scan4You 定罪

漫長而崎嶇的道路

CAV 服務是全球網路犯罪生態當中很重要的一環,因為全球各地的駭客都仰賴這類服務來事先檢驗其惡意程式是否能夠躲過防毒軟體的偵測。少了這類服務,駭客攻擊就不一定能夠順利。而 Scan4You 是該領域當中的佼佼者,以堅強的實力贏得無數黑帽駭客的信賴。而這一切趨勢科技都看在眼裡。

早在 2012 年,當我們在研究一個名為「g01pack」的私人漏洞攻擊套件時,我們就發現到一些不尋常的活動。就在該漏洞攻擊套件的實際案例出現前的幾分鐘,有人從拉脫維亞的 IP 位址向趨勢科技網站信譽評等服務查詢提供該漏洞攻擊套件的網址是否已被列為黑名單。進一步追查之後我們發現,這些 IP 位址不僅會查詢 g01pack 漏洞攻擊套件的網址,還會查詢許多其他的網址。而這就是 Scan4You 這個專門協助網路犯罪集團檢查其最新惡意程式是否能被市面上至少 35 套防毒軟體引擎所偵測的服務。 Continue reading “趨勢科技協助 FBI 將網路犯罪集團 Scan4You 定罪”


《電子郵件詐騙 》用 AI 人工智慧及機器學習防堵 BEC 變臉詐騙


變臉詐騙攻擊或稱為商務電子郵件入侵 BEC),是對於全球企業的危險威脅。目前 BEC 已在全球一百多個國家出現,2013 年至 2016 年期間,美國聯邦調查局 (FBI) 共接獲超過 40,000 起事件,報告指出全球損失達 53 億美元。然而 BEC 攻擊在 2017 年繼續擴散,從上半年到下半年增加了 106%;但網路罪犯不只依靠其盛行程度來獲得豐厚的報酬。網路罪犯變得更加狡猾,BEC 詐騙不再需要完全依賴可偵測得到的惡意元件。儘管惡意軟體仍然是發起攻擊的一種選擇,但網路罪犯正在增加網路釣魚及社交工程攻擊,鎖定企業內可能容易受到陰險手段攻擊的個人。

《電子郵件詐騙 》用 AI 人工智慧及機器學習防堵 BEC 變臉詐騙

BEC變臉詐騙難以偵測的特徵

由於 BEC 的發展與詭計多端,面對攻擊,一般的最佳做法及資安解決方案已經顯得薄弱。由於傳統防毒軟體偵測不到,社交工程式的 BEC 詐騙攻擊進行很快,相較於需要放置鍵盤記錄程式、遠端存取工具的攻擊計畫,所需的事前勘查相對較少。網路罪犯使用以下欺詐策略:

  1. 在 BEC 攻擊計畫中使用緊迫性、行動要求或財務影響等,讓目標落入陷阱。例如,網路罪犯聯絡企業的員工及/或高階主管,並且扮演第三方供應商、律師事務所的代表,甚至執行長 (CEO) 的角色,操縱目標員工/高階主管祕密處理資金轉移。
  2. 偽造的電子郵件看似正當。網路罪犯會利用員工希望儘快處理遭冒充高階主管交辦事項的心理。過去幾年來,最容易成為目標的職位是財務長 (CFO),財務主管、財務經理、財務總監,而最常遭到冒充的高階主管為執行長、董事總經理、總裁。
  3. 使用者的帳戶或電子郵件信箱遭到入侵時,攻擊者可以使用遭到入侵的帳戶發送內部網路釣魚郵件或 BEC 郵件。由於電子郵件來自正當使用者的電子郵件信箱,因此郵件標頭或寄件人地址不會有任何可疑內容。

Continue reading “《電子郵件詐騙 》用 AI 人工智慧及機器學習防堵 BEC 變臉詐騙”


【網路釣魚警訊】「帳號出現異常活動 請更新您的付款資料」一按下去, Apple ID 就被盜


趨勢科技偵測到一波新的 Apple ID 網路釣魚攻擊,利用社交工程技巧假藉可能必須終止服務的名義強迫使用者提供個人資料。這波網路釣魚電子郵件是假冒 Apple 的名義,通知客戶因為帳號出現異常活動而被鎖住,必點選郵件內的連結來更新付款資料。當受害者點選郵件中的「Update Your Payment Details」(更新您的付款資料) 按鈕時,就會連上一個外觀類似 Apple 網站的假冒網站,網站上所使用的影像背景甚至跟正版的 Apple 網站一樣。

【網路釣魚警訊】「帳號出現異常活動 請更新您的付款資料」一按下去, Apple ID 就被盜

 

這網站的確做得比絕大多數網路釣魚網站都來得精緻而逼真。而且內含基本的輸入資料檢查,會利用基本的總和檢查 (checksum) 來確定信用卡號碼輸入正確,同時也會檢查數字和文字欄位的長度是否正確,或者是否包含特殊字元。日期、電子郵件、姓名、CVC 檢查碼等等都會檢查是否輸入正確。

在所有個人資料和帳號資訊都填妥之後,網站會告訴使用者他們將被登出以確保安全。接著,使用者會被重導到真正的 Apple 網站。

惡意網站使用了AES 加密來反制資安廠商網站信譽評等的爬網動作,此外還搭配了其他反制措施。對一個網路釣魚詐騙攻擊來說,使用 AES 加密相當反常,因為正如我們前面所述,歹徒通常會將心思花在詐騙行動上,而非安全與躲避機制。而且此採用的加密有別於一般保護整個連線階段的 HTTPS 加密。

趨勢科技提醒使用者須小心注意任何經由電子郵件發送的連結,尤其是用來登入 Apple ID、Google 帳號、PayPal、社群網站以及其他敏感網站的連結。除此之外,信中還可能有其他惡意連結或附件檔案,因此請務必使用防毒軟體來掃瞄附件檔案。比如能保護使用者的多台裝置,並能攔截惡意連結的
PC-cillin雲端版 ,同時,使用者也應透過其他管道來求證信件當中所說的緊急情況,例如該公司的社群網頁。

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
【網路釣魚警訊】「帳號出現異常活動 請更新您的付款資料」一按下去, Apple ID 就被盜

 

網路釣魚詐騙使用 AES 加密並騙取 Apple ID

近期發生的資料外洩與隱私權風波再加上歐盟通用資料保護法 (GDPR) 即將上路,使得企業紛紛改變其處理使用者資料的方式。也因此,許多企業開始透過電子郵件通知用戶更新自己的個人檔案或主動強化資安防護。而這些電子郵件儘管來自不同的企業,其內容卻大致相同,不外乎開頭先來一段標準的問候,接著說明為何要更新其政策,最後再提供一個很顯著的按鈕讓使用者點選。由於最近這類郵件非常的多,而且陸陸續續還會有更多企業發送這類郵件,因此,不令人意外的,歹徒也看上這波郵件通知熱潮,開始假冒企業發動網路釣魚攻擊。歹徒非常擅長假冒知名企業,以「使用者政策更新」的名義發送網路釣魚郵件。 Continue reading “【網路釣魚警訊】「帳號出現異常活動 請更新您的付款資料」一按下去, Apple ID 就被盜”


為 GDPR 做好準備:強化易受攻擊的郵件系統


歐盟通用資料保護條例(GDPR)的目的是保護歐盟居民的個人資料,無論位在何處。該法規強制企業遵守關於如何收集、儲存和使用資料的隱私規定,包括數位識別資料(如電子郵件地址),通過郵件交換的訊息及郵件聯絡人列表(大多數電子郵件都涵蓋在“GDPR”所要保護的“個人資料”內 )。

為 GDPR 做好準備:強化易受攻擊的郵件系統

趨勢科技2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關

電子郵件對企業來說是特別脆弱的一環,因為它是一種溝通工具,同時也是網路犯罪份子最愛用的威脅載體。趨勢科技的Smart Protection Network在2018年第一季封鎖了近95億筆的威脅 – 其中有82%與電子郵件有關。

電子郵件會成為主要的攻擊途徑是因為這是種無處不在且被廣泛利用的通訊方式。根據市場調查公司Radicati Group在2017年所進行的研究顯示,該年每天發送了2,690億封電子郵件。除了數量外,電子郵件也被各種人士所使用,從年輕學生到跨國企業執行長都有。它已經成為日常生活的一部分,人們經常會打開電子郵件,滑動內容或點擊連結。網路犯罪分子也利用這樣的習慣來嘗試各種手法攻擊使用者:

  • 網路釣魚(Phishing)
    這是種古老卻仍被廣泛應用的攻擊方式,網路犯罪分子會冒充公司同事來向目標受害者索取個人資料或帳號內容。網路釣魚有時也被用來取得深入企業網路的權限。電子郵件只是網路釣魚攻擊的眾多形式之一。
  • 變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)
    在BEC詐騙中,網路犯罪分子會入侵高階主管的電子郵件帳號,並且試圖誘騙員工或財務長將資金轉到詐騙用帳戶。
  • 垃圾郵件(Spam) :
    垃圾郵件是另一個老舊但仍在使用中的技術。根據我們在2016年的調查結果,有71%的勒索病毒透過垃圾郵件散播。網路犯罪分子會製作看似合法的電子郵件(從工作相關郵件到行銷郵件都有)加上附加惡意檔案或連結。可以用來散播各種惡意軟體來危害使用者或企業的系統。

Continue reading “為 GDPR 做好準備:強化易受攻擊的郵件系統”


【資安數字月報 】66%的連結推文來自機器人/ 逾兩成美國學生用助學貸款來買加密貨幣/技術支援詐騙案例增加24%


 

微軟:去年技術支援詐騙案例較前年增加24%

低成本而有效的技術支援詐騙手法開始受到駭客的青睞。根據微軟自己的統計,2017年差點及實際受害人數比前一年成長24%,這些用戶中,15%遭遇金錢損失,平均金額在200到400美元

這些用戶中,15%遭遇金錢損失,平均金額在200到400美元。有人則損失慘重;去年12月荷蘭一名客戶在一次技術支援詐騙中,慘遭騙走89,000歐元(約322萬台幣)。

相較之下,2016年微軟贊助的調查中,2/3的受訪者過去12個月內遭遇過各種假網站、網釣郵件、假冒的惡意程式或電話形式的技術支援詐騙,近1/10有金錢損失。》相關報導

《延伸閱讀 》偽裝成微軟Windows通知的技術支援詐騙頁面,散佈Coinhive門羅幣採礦程式

《 EITest攻擊活動》偽裝成微軟Windows通知的技術支援詐騙頁面,散佈Coinhive門羅幣採礦程式

 

機器人是Twitter上的最佳公關!研究:66%的連結推文來自機器人

Pew Research Center本周公布一研究報告,指出機器人帳號在Twitter上扮演重要的角色,該組織在去年夏天調查了2,315個網站與120萬則張貼相關連結的英文推文,發現有66%的連結出自機器人帳號。》相關報導
假新聞為何能創下歷史上最貴的推文!研究: 假新聞散播速度比真新聞快六倍

《延伸閱讀 》假新聞為何能創下歷史上最貴的推文!研究: 假新聞散播速度比真新聞快六倍

 

The Student Loan Report詢問了1000名已申請助學貸款的大學生,有21.2% 把部份資金拿來投資加密貨幣。》相關報導

Continue reading “【資安數字月報 】66%的連結推文來自機器人/ 逾兩成美國學生用助學貸款來買加密貨幣/技術支援詐騙案例增加24%”


以 GDPR 的隱私始於設計 (Privacy by Design) 保障資料安全


資料外洩已成為主流資安事件,每次新出現的外洩事件似乎都比之前更嚴重。近期外洩事件的嚴重程度,讓資料保護成為近年來立法領域討論最多的話題,促成了各國的嚴格立法,例如歐盟的一般資料保護規則 ( General Data Protection Regulation ( GDPR) 以及世界各地,包括英國、美國、澳洲中國
以 GDPR 的隱私始於設計 (Privacy by Design) 保障資料安全

這些事件的詳細資訊,向大眾展示了他們的個人資訊遭到使用或濫用的各種方式 – 用於分析、精準行銷、公然盜用身分等等。而大眾開始更加關注企業如何收集與保護他們的個人資料。光是去年一年,我們已經看到企業如何儲存資料儲存失當缺乏適當更新的安全性,並且輕率處理存取權限,導致第三方得以不當使用資料。這個情況顯示,雖然大多數企業已經制訂並改善了資料收集與使用政策,但並未將資安納入考量。

企業資料安全狀況

越來越多的大規模隱私暴露事件以及後續引發的結果,促使企業增加了資安解決方案的開支。根據 Gartner的資料顯示,今年全球資安支出將達到 960 億美元;到了 2020 年,超過 60% 的企業將投資多種資料安全解決方案。調查受訪者表示,這些支出決策背後的主要推動力是資料外洩的風險。

但是部署尖端資安技術,只是周全有效的資料保護計畫中的一小部分。另一個重要部分是改變保障隱私做法的實際方法。涉及個人資料的任何計畫或專案,一開始就必須將隱私納入首要考量,而非將其視為附加功能。企業應該儘早在所有技術、流程及系統的設計階段納入隱私原則,這是一種主動而非被動的避險方法。

企業要如何進行改善?

組織需要採納隱私始於設計 (Privacy by Design) 的架構,在最初階段就對隱私及資料保護問題進行預測及因應。世界各地的主管機關已經體認到這種方法的優點,由近期如 GDPR 等法規的制訂可見一斑。遵循法規是朝著正確方向邁出的一步。遵循 GDPR 不僅是處理歐洲公民資料的必要要求,而遵守規則也為任何收集及處理個人資料的組織樹立了良好的典範。企業若希望將隱私全面整合至其基礎架構中,還應該注意由 GDPR 推動的重要資料隱私原則:資料最少化 (data minimization) 及匿名化 (pseudonymization)。

資料隱私從明確定義兩件事開始:要收集的個人資料類型,以及收集資料的用途。一些組織正在收集超出其真正需要的資料,並用於未明確告知使用者的用途。一種避免這種情況的方式,是資料最少化:僅向客戶收集需要的資料,用於使用者同意的用途,並遵循適當的資料保留政策,或在達成預期目的後刪除資料。

另一方面,匿名化資料能夠讓個人資料無法直接識別出特定人士。要將個人資料連結到特定某人的唯一方法,是將它與分開儲存及保護的其他資料組合在一起。這表示組織仍然可以處理個人資料並繼續為客戶提供服務,同時保護他們的隱私權。 Continue reading “以 GDPR 的隱私始於設計 (Privacy by Design) 保障資料安全”


《資安新聞周報 》要抓住AI浪潮,先改企業腦袋! / 將工作帶回家,將威脅帶回工作 ?!/IT 安全對邁向 GDPR 遵規之路有多重要?


本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安新聞精選:

台灣特別區?1個月駭客攻擊68億次       三立新聞網

推特爆漏洞,用戶密碼全曝光,如何變更密碼自保看這邊!        T客邦

《國際產業》處理器大廠又出包?傳找到8個新設計漏洞    中時電子報網

盜用帳號!駭客利用「家人共享」 盜刷3800元    tvbs新聞網

駭客猖狂留言!60多台佳能攝影機遭入侵       蘋果日報

電腦變慢、手機發燙?你可能變礦工啦    三立新聞網

Windows安全漏洞遭攻擊 微軟發布修補程式  中央社即時新聞網

拍照還在比YA? 7種常見動作都會被駭  聯合新聞網

小七爆資安漏洞?消費者數百萬點數遭駭、購物金消失        台灣蘋果日報網

未來十年台灣會在哪裡?趨勢科技董事長:要抓住AI浪潮,先改企業腦袋! 創業新聞

Google Shopping假商家真詐騙,傳Google主管也受害,一舉砍掉5千個詐騙帳號  iThome

Google I/O:機器學習服務集大成推出ML Kit,要讓App開發者隨呼即用開發AI應用     iThome

iOS 11.4 悄悄新增功能 禁止 GrayKey 解鎖你的 iPhone       流動日報

《魔獸世界》玩家因分寶糾紛而攻擊遊戲伺服器,遭到美國 FBI 起訴       遊戲基地

Equifax資料外洩調查報告出爐,逾1/3美國消費者的姓名、生日與社會安全碼曝光        iThome

巨頭的未來AI之戰:微軟向左走2B 谷歌向右走2C      新浪網(臺灣)

韓媒:北韓派人企圖暗殺叛逃高級軍官    中央通訊社商情網

北韓否認駭入制裁資料庫 要美致力和平  中央通訊社商情網

金正恩偷偷來? 文金會前夕傳網攻南韓政府網站  自由時報電子報

Windows 10 4月更新傳災情,部份用戶電腦變磚塊        iThome

【快更新】免費解壓軟體 7-zip 爆重大資安漏洞,一不小心電腦就會被「整碗端走」!        科技報橘網

Facebook 被爆特別小組可觀看使用者資料,隱私通知有差別待遇       科技新報

漫科技:WiFi不會設定、軟體不會裝 疑難雜症來電 趨勢科技旗艦服務 幫你搞定  癮科技

臉書Messenger Chrome加密貨幣趨勢:惡意程式專門利用臉書Messenger感染Chrome用戶,直指加密貨幣而來        iThome Weekly電腦報

芭黎絲被駭 遭盜財偷走裸照      自由時報

全台郵局電腦一度當機 民眾領無錢 程式改版惹禍 儲匯、網路、ATM昨停擺1小時 14年前同一天 也遭殺手病毒攻擊    聯合報

FBI擬提案要求開資安後門 美科技大廠齊聲抗議    電子時報

日本政府擬允許自衛隊對網路襲擊發動反擊    新浪網(臺灣)

遇「駭」匿名通報 盼科學園區廠商加入平台  自由時報

中國網軍猛攻台灣學研網路 科技部:沒有一天停止攻擊      自由時報電子報

駭客利用GPU與WebGL可開採記憶體設計漏洞Rowhammer,兩分鐘就能取得手機權限        iThome

趨勢T-Brain競賽近千人組隊參加 首屆競賽結果出爐    網管人

一周大事:臺灣人工智慧學校首屆產出500多名AI人力       iThome

亞洲資安意識弱 成物聯網時代新挑戰與新契機      電子時報

看懂毛小孩臉色的智慧保母        財訊雜誌網

企業資安應該安內還是攘外?淺談資安的劍宗與氣宗。        iThome

無線隨意網路彈性高效 Ad Hoc獨特路由運作探討  網管

《資安新聞周報 》要抓住AI浪潮,先改企業腦袋! / 將工作帶回家,將威脅帶回工作 ?!/IT 安全對邁向 GDPR 遵規之路有多重要?

Continue reading “《資安新聞周報 》要抓住AI浪潮,先改企業腦袋! / 將工作帶回家,將威脅帶回工作 ?!/IT 安全對邁向 GDPR 遵規之路有多重要?”


將工作帶回家,將威脅帶回工作 ?! 連網工作者如何保護家庭與企業網路


近期一些嚴重的威脅都是因為員工家用網路及一些公共場所的網路所引起,如:咖啡廳、機場、飯店等等。在家工作者的網際網路連線所帶來的資安漏洞不容忽視。有位員工在下班後將公司筆電帶回家中繼續工作。但該員工的女兒也利用這部筆電來上網讀取自己的電子郵件。很不幸地,該女兒開啟了一封含有 Sircam 的電子郵件,這是一個在網路上散布的病毒。

由於該員工的女兒開啟了病毒郵件的附件檔案,因而使得這台公司筆電感染了 Sircam。更慘的是,該男子並不知情,所以又把筆電帶回公司並連上企業網路。Sircam 因而從該筆電擴散至企業網路。

將工作帶回家,將威脅帶回工作 ?! 連網工作者如何保護家庭與企業網路

在目前的企業環境與員工生態下,許多人都會透過各種裝置從各種不同地點存取企業的系統和資產。員工再也不被綁在辦公桌前,許多員工和工作者不是在家上班,就是以其他遠端形式在外工作。

這樣的模式確實帶來不少好處,例如:降低員工相關成本、提高員工的工作滿意度和生產力。也因如此 (以及其他原因),無怪乎全美國有將近 4 百萬人口一星期當中至少有一半的時間都在家工作。

然而,當企業讓員工能夠從辦公室以外的地點和網路來執行一些營運關鍵的工作時,就必須考慮到某些重要層面,也就是資料安全。

將工作帶回家,將威脅帶回工作

近期一些嚴重的威脅都是因為員工家用網路及一些公共場所的網路所引起,如:咖啡廳、機場、飯店等等。正如 ComputerWeekly 特約記者 Peter Ray Allison 指出,在家工作者的網際網路連線所帶來的資安漏洞不容忽視,而這也是當前資安情勢當中最常被忽略的威脅Continue reading “將工作帶回家,將威脅帶回工作 ?! 連網工作者如何保護家庭與企業網路”


「媽呀,上傳了什麼照片這麼糗 !」三大自拍風險 你犯了幾項?專家教你四大避險撇步


「媽呀,上傳了什麼照片這麼糗 !」32.24%的網友最想跟愛自拍的媽媽說:檢查照片後再上傳( 別犯了跟英國威廉王子同樣的錯誤)

神力女超人在推特分享代言手機廣告影片,卻被發現發文底下顯示「透過iPhone傳送」。但她透過發言人回應否認,表示是團隊代為發文引發誤會。

一旦分享自拍照,除了照片外,你知道你同時分享了什麼嗎?

「媽呀,上傳了什麼照片這麼糗 !」三大自拍風險 你犯了幾項?專家教你四大避險撇步

 

母親節即將到來,大多數兒女為了慰勞媽媽的辛勞大多會安排各式慶祝活動,且不忘在這重要場合,與媽媽合照或是自拍收藏彼此美麗的笑顏。因此,趨勢科技在母親節前舉辦「你家有愛自拍的媽媽嗎?」網路問卷調查,針對668位網友調查結果發現,榮登網友最害怕媽媽不諳自拍與照片分享而招致的三大風險王分別為:

(一)「出國時 PO 登機證打卡文 個資全都露」

(二)「拍照時開了定位功能,曝露所在位置」

(三)「分享照片時除曝光位置也將手機型號洩露出」等隱憂。

近年來大眾對行動裝置的依存度提升,行動裝置自然也成為駭客攻擊目標,趨勢科技提醒行動用戶,經攻擊而中毒的行動裝置可能導致私人照片遭駭的風險提高。另外,網路使用行為軌跡包含預設手機照片自動上傳雲端資料庫、打卡洩露位置等行為,都讓有心人士名正言順搜集使用者個人數據;而當私人照片外洩時,網路犯罪業者便能透過取得受「駭」者個人識別資訊(PII),以其名義開設銀行帳號或存取信用資料。此外,外流的個人照片也可能流入地下市場被交易。因此大家對於自拍/拍照上傳可能會帶來的隱私危機,千萬不能輕忽!

趨勢科技呼籲大家在紀錄美好當下時,最好先檢查照片再上傳,同時要記得安裝PC-cillin 2018雲端版防毒軟體來守護自己的電腦、手機等各裝置。

趨勢科技在此也提供四大避險對策,協助大家預防照片外洩風險:

  1. 加倍小心避免點入可疑網站

不肖份子擅長透過假網站散播詐騙或釣魚訊息來謀取利益,消費者常因好奇心驅使點選此連結,不肖份子就可以從中獲利或駭入消費者使用的裝置。

  1. 避免填寫任何要求提供個資的電子郵件

詐騙郵件通常會要求消費者點擊網站並登入。對此,消費者應主動通報該公司與其聯繫確認真偽,但切記不要使用郵件內提供的聯絡資訊。 Continue reading “「媽呀,上傳了什麼照片這麼糗 !」三大自拍風險 你犯了幾項?專家教你四大避險撇步”


上百萬台光纖路由器爆漏洞,變更網址即可避開認證機制


上百萬台光纖路由器爆漏洞,變更網址即可避開認證機制資安研究人員在上百萬個 Gigabit 被動光纖網路 (GPON) 家用路由器上發現了一個遠端程式碼執行 (RCE) 漏洞。此漏洞會讓駭客藉由修改瀏覽器網址列上的網址來輕易避開路由器登入頁面的認證機制,等於完全掌控了該路由器。根據 Shodan 全球連網裝置搜尋引擎的搜尋結果顯示,含有此漏洞路由器有一半都位於墨西哥,其餘一半的則分布在哈薩克和越南。

[延伸閱讀:路由器遭到攻擊:最新資安漏洞以及如何修正]

研究人員針對 Dasan Networks 所生產的路由器進行了完整的研究之後發現了可讓駭客避開其認證頁面的 CVE-2018-10561 漏洞,只要在存取該路由器的設定頁面時在網址末端加上「?images/」字串即可。除此之外,研究人員還能利用這項漏洞來注入指令,從遠端透過修改 DNS 設定對裝置及網路執行其他指令。

[延伸閱讀:2017 年最值得注意的家庭網路威脅]

GPON 是一種被動光纖網路,經常用於光纖路由器來提供高速網際網路連線,可讓使用者和所有相連的裝置經由光纖網路上網。其路由器通常由 ISP 提供,因此大多使用預設的帳號密碼。這讓駭客很容易竄改這些路由器的韌體,將路由器收編成殭屍網路的一員,進而被駭客用來從事中間人攻擊,或者竊取各種資訊以用於其他數位勒索或網路間諜活動。 Continue reading “上百萬台光纖路由器爆漏洞,變更網址即可避開認證機制”


資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?


歐盟通用資料保護法 (GDPR-General Data Protection Regulation) 所強調的重點是企業內的透明、安全與責任歸屬,這其中每一項都對資安造成不同程度的影響,從行動、預防,到減低傷害、監督、資安意識等等。

資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?

在這段有關我們如何邁向 GDPR 遵規之路的最新系列影片當中,我們的 IT 安全總監 William Dalton 將說明 GDPR 如何影響趨勢科技在資安上的作法,包括:促使我們從全球觀點來看待資料隱私的管理,以及改變我們對資料外洩事件的對外通訊方式。

GDPR 最重大的挑戰之一就是資料外洩事件必須在 72 小時之內通知,這突顯出資料外洩事件必須明確告知的重要性。為了達成這項規定的要求,我們制定了一些新的程序和作法來讓我們不僅能夠確切掌握是否有資料外洩發生,更能夠在發生時迅速而準確地加以矯正和通報。

GDPR 另一個需要注意的重要領域是必須採用頂尖的防護技術。為了符合這項規定,我們採用了多重技術 (包括趨勢科技自家的多項產品) 來保護客戶資料,協助我們達成法規要求。有鑑於該法規對於網路邊境、資料中心內部以及端點裝置都有資安與隱私的要求,因此採用趨勢科技環環相扣的防護產品,讓我們在需要通報資料外洩事件時更加輕鬆,因為不論事件發生在何處,我們都能夠輕易掌握資安狀況並蒐集必要資訊。

請觀賞這段影片,讓我們的 IT 安全總監為您說明 GDPR 將在哪些層面對資安造成影響,以及採取全球觀點來管理資料的重要性,還有為何您需要頂尖的防護。

資料外洩事件必須在 72 小時之內通知! IT 安全對邁向 GDPR 遵規之路有多重要?

系列影片簡介:

銷售和行銷:看我們的營運長 Kevin Simzer 說明我們如何和客戶站在同一陣線,一起邁向 GDPR 遵規之路,以及這個過程能帶來什麼效益。

人事:看看 GDPR 如何影響我們的員工,以及我們如何確保員工真正了解這項法規。

行銷業務:看看我們的行銷業務團隊如何確保所有外部平台上的客戶資料都能受到妥善保護。

產品與服務:聽聽我們的雲端防護資深副總裁 Bill McGee 說明我們如何不斷創新來提供頂尖的產品功能,以及我們如何協助客戶履行其雲端環境共同分擔的資安責任。

銷售與通路訓練:看看讓現有的通路合作夥伴認識 GDPR 有多重要,以及我們如何協助他們找到達成 GDPR 規範所需的工具。

 

 


新一代 Spectre 漏洞攻擊手法:發現新的 Intel CPU 漏洞


繼一月份發現 Meltdown 和 Spectre 兩個影響 Intel 處理器的漏洞之後,資安研究人員又發現了八個 Intel 處理器的新漏洞。隨著 Google Project Zero 的 90 天技術細節與解決方案公布緩衝期已於 5 月 7 日到期,專家指出這些新的漏洞 (命名為「Spectre Next Generation」或「Spectre NG」) 基本上與先前的 Spectre 類似。其中有四個漏洞被認定為「高」嚴重性,其餘的則為「中」嚴重性。

新一代 Spectre 漏洞攻擊手法:發現新的 Intel CPU 漏洞

[延伸閱讀:關於 Intel 處理器的 Meltdown 與 Spectre 漏洞您該知道些什麼?]

這些漏洞每一個都會有對應的 Common Vulnerability Enumerator (CVE) 編號。Intel 的修補更新將分成兩個階段實施,第一階段在 5 月份,第二階段將在 8 月份。此外,Linux 開發人員也正在針對 Spectre 漏洞研擬對策,而 Microsoft 也將釋出選擇性的修補更新來應對。此外,Microsoft 也提供 25 萬美元的獎金來懸賞更多 Spectre 相關的未知漏洞。日本 Softbank 旗下 ARM Holdings 公司的 Advanced RISC Machine (ARM) CPU 也被懷疑可能受這批新漏洞影響,至於 Advanced Micro Devices (AMD) 的處理器是否受到影響,目前仍有待檢驗。 Continue reading “新一代 Spectre 漏洞攻擊手法:發現新的 Intel CPU 漏洞”


推特爆漏洞,變更你的 Twitter 密碼了嗎? 三個保護社群網站帳號建議


Twitter(推特)公告他們系統內的一個臭蟲可能會讓使用者密碼曝光,並呼籲所有的使用者變更帳號密碼。他們還沒有透露受到影響的使用者數量,但該公司表示已經調查並且修復了此一漏洞。不過內部人士聲稱這個問題影響了大量的使用者,並且讓密碼暴露了“好幾個月”。

推特爆漏洞,變更你的 Twitter 密碼了嗎? 三個保護社群網站帳號建議

Twitter在聲明裡說明自己使用了 bcrypt 進行雜湊處理,這是種較強的雜湊演算法,可以在不洩露密碼的情況下驗證使用者帳號。但該公司沒有透露為什麼密碼會在雜湊處理之前先儲存在內部日誌。他們的調查結果表示並沒有遭受入侵或帳號受到濫用的跡象。不過聲明仍建議使用者要考慮變更帳號密碼以及所有使用相同密碼的服務密碼。

使用者在打開應用程式時也會跳出視窗來告知此問題。根據報導,Twitter到二月為止已經達到3.3億名使用者,且稱他們“正在進行計劃來以防止這漏洞再次發生。”

[延伸閱讀:如何防護你的社群網站帳號]

為了你的隱私和安全著想,以下是三個保護社群網站帳號的建議: Continue reading “推特爆漏洞,變更你的 Twitter 密碼了嗎? 三個保護社群網站帳號建議”


《1987-2018 資安威脅演變史 》回顧主動事件應變策略的發展與對企業的意義


本文回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。

 

今日的威脅既複雜又猖獗,光靠防範似乎已經不夠。事實上,根據專家指出,威脅已經無可避免除此之外,再加上網路資安技術上的缺口也使得資安威脅對企業的營運、獲利和商譽帶來龐大的風險。為了因應這樣的情況,企業開始改懸易轍,建置一些主動偵測技術與事件應變策略來強化其防禦。換句話說,企業或許無法完全避免所有的資料外洩或網路攻擊,但卻能夠針對這類可能帶來重大損失的事件做好更周全的準備,進而降低、控制損害並從中復原。

然而,是什麼樣的原因造成這樣的改變?促使企業在網路資安防禦當中加入主動偵測、回應及矯正技術的因素為何?讓我們來回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。

1987 年 10 月

《1987-2018 資安威脅演變史 》回顧主動事件應變策略的發展與對企業的意義Cascade (瀑布) 病毒現身 (德國稱為「Herbstlaub」),其名稱的由來是:當該病毒啟動時,螢幕畫面上的文字會像瀑布一樣往下墜落到畫面底部。Cascade 當初原本打算避開 IBM 電腦不加以感染,但卻因為一個程式錯誤而讓它幾乎擴散至比利時某個辦公室中的所有電腦。Cascade 病毒的出現,也促使了防毒軟體的問世。

 

1987 年 11 月

《1987-2018 資安威脅演變史 》回顧主動事件應變策略的發展與對企業的意義

Lehigh (理海) 病毒 (或稱為「command.com」病毒) 感染了 DOS 作業系統開機所需的系統檔案。該病毒是以當初發現病毒的美國理海大學 (Lehigh University) 來命名,是第一個會將電腦資料清除的病毒。為了因應這個病毒,該大學的電腦中心還對全校學生和教職員發出了緊急通告。此外,病毒的作者也通知了其他大學有關該病毒可能帶來的影響。

 

1988 年

《1987-2018 資安威脅演變史 》回顧主動事件應變策略的發展與對企業的意義Morris 蠕蟲發動阻斷服務 (DoS) 攻擊並大量散布,根據報導,網際網路上約有 10% 的電腦因而當機。這是當時第一個對網際網路骨幹造成重大影響的病毒之一。這起事件也因而讓人意識到網路緊急事件聯合應變的必要性,促使專家們成立了後來的「電腦緊急應變小組」(CERT)。而 Morris 蠕蟲也為隨後數十年企業所遭遇的惡意程式打下重要基礎。 Continue reading “《1987-2018 資安威脅演變史 》回顧主動事件應變策略的發展與對企業的意義”


無伺服器應用程式(Serverless Applications):它們在DevOps代表什麼?


資安研究人員指出,在超過1,000個開放原始碼的無伺服器應用程式中,有21%具有嚴重漏洞或設定錯誤。他們還指出有6%將敏感資料(如API金鑰和帳號密碼)儲存在可公開存取的檔案庫中。

無伺服器應用程式(Serverless Applications):它們在DevOps代表什麼?

[專家見解:轉向無伺服器雲端應用程式]

 

什麼是無伺服器應用程式?

“無伺服器”有點不精確。應用程式在第三方雲端基礎設施上運行(如Amazon Web Service(AWS)的Lambda,微軟的 Azure Functions和Google的Cloud Functions)。它們沒有使用專屬伺服器、虛擬機或容器(container);只有應用程式的程式碼在雲端伺服器上執行直到完成任務。

無伺服器應用程式體現了新興的功能即服務(FaaS)模型,將雲端運算轉變成一個平台,企業可以用來開發、部署和管理其應用程式,無需建立自己的基礎設施。

透過“無伺服器”,開發人員和企業受益於其靈活性和自動化能力。它也可以是推出應用程式的一種可擴展且高經濟效益的方式,因為不需要配置或維護專屬伺服器,安裝/管理軟體或運行環境。

 

[InfoSec指南:緩解Web注入攻擊]

 

無伺服器應用程式最常見的安全問題是什麼?

安全研究人員指出,大多數漏洞和弱點是因為實際應用程式中所用的不安全程式碼等問題所造成。他們發現這些是開放原始碼無伺服器應用程式最常見的安全問題:

  • 資料注入 – 不可信或未經處理的輸入在應用程式元件(例如儲存、資料庫和通知系統)之間傳輸
  • 認證機制
  • 雲端儲存系統的錯誤授權設定
  • 應用程式請求或授予的權限
  • 監控和記錄功能不足
  • 來自第三方套件的不安全程式碼

Continue reading “無伺服器應用程式(Serverless Applications):它們在DevOps代表什麼?”


漫科技:WiFi不會設定、軟體不會裝 疑難雜症來電 趨勢科技旗艦服務 幫你搞定


漫科技:WiFi不會設定、軟體不會裝 疑難雜症來電 趨勢科技旗艦服務 幫你搞定

相信不少人都有被問過電腦相關的問題,不論是中毒解法、WiFi不會裝,還是碰到軟體操作問題都很讓人困擾。尤其是要讓你隔空抓藥幫對方解決問題,往往考驗你的經驗與電腦能力。現在如果有人碰到這種問題,你可以推薦他這個趨勢科技的旗艦服務,打通電話就能幫你搞定數位生活的大小事。從各種作業系統的問題、無法搞定上網設定,甚至是電腦運作越來越慢,開個網頁要好久(是不是很熟悉)該如何解決,各種數位難題都能打通電話解決。

 

漫科技:WiFi不會設定、軟體不會裝 疑難雜症來電 趨勢科技旗艦服務 幫你搞定

▲對我們而言很小的事情,對於不懂科技產品的朋友可能就是件大事,現在不論大小事,都能透過旗艦服務幫你解決。

VIP客服專線

趨勢科技推出的旗艦服務可以說就是3C小幫手,是為了協助不熟悉電腦操作的長輩或是想節省時間的用戶。服務範圍十分廣泛,軟體面包括Windows、MacOS、Android、iOS等作業系統,以及各種瀏覽器、電子郵件、文書處理、多媒體等軟體,硬體面的設定像是螢幕、印表機、硬碟、無線基地台、投影機、電視盒等裝置的設定與安裝問題,全都能詢問你的小幫手。 Continue reading “漫科技:WiFi不會設定、軟體不會裝 疑難雜症來電 趨勢科技旗艦服務 幫你搞定”


利用機器學習 (Machine Learning)標記未知檔案


趨勢科技研究人員的一項研究顯示下載的軟體檔案中有83%屬於未知或未經分類過的檔案,有些甚至已經出現超過兩年了。因為大多數惡意軟體威脅來自於下載事件,因此研究人員開發了具可讀性的機器學習系統,能夠成功地將未知檔案分類為正常或惡意。

這項研究利用在七個月內所收集的300萬份的網路下載事件作為資料集。這些事件利用多種趨勢科技內部系統及外部公開系統來標記以進行研究和分析。但只有不到17%的資料集能用傳統方法進行標記。

儘管這些未知檔案的普及率非常低,但研究結果發現有69%的電腦下載一個或多個可能為惡意軟體的未知軟體檔案。

利用機器學習 (Machine Learning)標記未知檔案

 

利用機器學習來解開未知狀態

為了減少未知下載軟體的數量,趨勢科技研究人員開發了一套機器學習系統,這個系統會將對軟體檔案資訊和特徵的觀察結果自動產生出偵測規則。這套可據以行動的智慧系統分析下載軟體檔案的以下資訊:

  • 簽章者(Signer),憑證頒發機構(CA)以及下載檔案的封裝程式(packer)
  • 簽章者(Signer),憑證頒發機構(CA)以及下載程序的封裝程式(packer)
  • 下載程序的類別(瀏覽器,Windows,Java等)
  • 下載網域的熱門程度

Continue reading “利用機器學習 (Machine Learning)標記未知檔案”


FacexWorm瞄準了虛擬貨幣交易平台,利用Facebook Messenger進行散播


FacexWorm 透過 Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁,要求不知情的使用者同意並安裝一個解碼器擴充功能(FacexWorm)以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

 

FacexWorm瞄準了虛擬貨幣交易平台,利用Facebook Messenger進行散播

趨勢科技的網路安全產品團隊發現了一個惡意的Chrome擴充功能,將其命名為FacexWorm,它利用了多項技術來針對受影響瀏覽器所連到的虛擬貨幣交易平台,並且會透過Facebook Messenger散播。到目前為止只有少量使用者受到這惡意擴充功能影響,Chrome在趨勢科技警告前就已經移除許多這類的擴充功能。

 

FacexWorm並不新。它在2017年8月被發現,儘管當時它的意圖尚不明朗。但我們在4月8日注意到其突然出現密集的活動,這與德國突尼西亞日本台灣韓國西班牙出現FacexWorm的外部報告一致。

我們的分析顯示FacexWorm的功能已經翻新。它保留了跟Digmine一樣會上傳和發送社交工程(social engineering)連結到受影響Facebook帳號好友的行為。但現在它還可以竊取FacexWorm所感興趣的網站帳號密碼。還能夠將受害者導向虛擬貨幣詐騙攻擊、將惡意挖礦程式碼注入網頁、重新導向攻擊者的虛擬貨幣推薦計劃連結,並且可以接收地址換成攻擊者的地址來劫持交易平台和網路錢包的交易。

雖然在檢查攻擊者地址錢包後,至今只發現一起比特幣交易被FacexWorm劫持,但我們不知道它利用惡意網頁挖礦賺得多少。

FacexWorm瞄準了虛擬貨幣交易平台,利用Facebook Messenger進行散播

圖1、FacexWorm的感染鏈

 

散播

 

FacexWorm透過Facebook Messenger的社交工程連結散佈。這些連結會導向一個假YouTube網頁,要求不知情的使用者同意並安裝一個解碼器擴充功能(FacexWorm)以便在網頁播放影片。接著它會要求存取和變更網站資料的權限。

FacexWorm瞄準了虛擬貨幣交易平台,利用Facebook Messenger進行散播

圖2、假YouTube網頁要求使用者安裝FacexWorm

FacexWorm瞄準了虛擬貨幣交易平台,利用Facebook Messenger進行散播

圖3、FacexWorm所發送訊息的範例

Continue reading “FacexWorm瞄準了虛擬貨幣交易平台,利用Facebook Messenger進行散播”


《資安新聞周報 》Alexa 語音助理可能成為竊聽器?!/ GDPR重點深度解析/金融科技時代下的資安風險 


本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安精選

看懂個資侵害通報規定 GDPR重點深度解析    網管人

研究:福斯與奧迪汽車含有遠端存取漏洞,可讓駭客竊聽談話、追蹤車輛位置        iThome

無痕瀏覽掩護XSS攻擊 記憶體鑑識揪出罪證   網管人

光纖路由器爆RCE漏洞,上百萬台家用路由器門戶洞開        iThome

Alexa遭爆有隱私漏洞,可能成為駭客監聽用戶的幫手  iThome

愛追劇、泡咖啡館、手機血拚 當心挖礦劫持  台灣蘋果日報網

【南北韓高峰會】北韓駭客新手法 侵入電腦幫金正恩政權「挖礦」  鏡傳媒

機器人送貨服務正式在歐美推出,Starship機器人可以送餐到你桌上  iThome

臉書為孩童版的Messenger推出睡眠模式,讓父母管理孩童上線時間 iThome

加密貨幣洗錢防制  實名制是共識     中央社即時新聞網 Continue reading “《資安新聞周報 》Alexa 語音助理可能成為竊聽器?!/ GDPR重點深度解析/金融科技時代下的資安風險 “


《實測文》免費資源與工具,到底暗藏了哪些陷阱?


《實測文》免費資源與工具,到底暗藏了哪些陷阱?

行動世代從一出生就開始連網,網際網路快速發展的這些年,年輕族群的生活已經從馬路移轉到網路,不論工作、生活,還是娛樂,一切的一切都在網路上發生。開源與共享世代的來臨,也讓越來越多使用者習慣在各種論壇或資源分享網站與社群中,尋求免費的資源與工具。

開源共享卻危機四伏的網路世界

然而許多使用者卻因為這樣的使用習慣,在不知不覺中讓自己曝露在高危險性的網路環境裡。在不斷更新的攻擊手法當中,駭客抓準免費工具軟體,往往缺乏定期的更新與安全性維護,或是即時安全防護措施,透過感染上游的方式,將病毒或惡意程式植入深受大眾信賴的免費工具軟體中。例如先前的 CCleaner 事件,就是因為上游受到感染,讓使用者在不知情的狀況下,成為駭客攻擊的目標。

而許多常見的免費軟體資源分享網站,因其網站受到達人推薦或是擁有廣大的閱讀和分享數,讓使用者容易相信軟體的下載連結和檔案是安全無慮的,結果卻反而成為資安問題的受害者。駭客也常利用使用者圖謀一時的便利或急用,將惡意病毒夾帶於免安裝或去廣告的軟體版本中。

以下為科技新報實際模擬使用者搜尋方式,下載免費的工具軟體及 App,並測試當中是否蘊含病毒或其他惡意程式。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 就算是一般的免費軟體,都有可能在下載過程中受到軟體下載網站感染成為惡意程式。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 看起來毫無異常的檔案,背後卻可能潛藏了安全性威脅。

下載檔案中病毒四竄

從使用狀況上來看,許多免費下載的軟體在點選下載後,會發現防毒軟體跳出來的警告標示。顯見就連看似平常無異的軟體,都有可能已經被埋藏病毒在內,若沒有防毒工具偵測的話,一般用戶很難自行判斷。

另外,行動世代少不了的各式行動裝置,自然也成為無孔不入的駭客犯罪的工具。各種針對行動裝置設計的釣魚網站,或是有隱私與安全顧慮的 App 層出不窮,還有廠商利用修改版本號的方式,將惡意程式或廣告軟體植入像是 LINE、WhatsApp 這類常用程式,甚至偽裝成手機清理最佳化 App 當中,欺騙使用者進行更新,讓自己的隱私與資料安全曝露在極高風險當中。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 許多使用者為了加快手機運行速度,在不知情的狀況下安裝了可能存在安全威脅的手機管理程式。

科技新報以行動安全防護實測後發現,雖然 App Store 和 Google Play 商店的 App 皆是合法上架,但上面所販售的 App 仍然可以偵測到病毒或是有擷取隱私的風險,不知不覺中,日常生活中陪伴左右的手機也成了大毒窟。

從使用習慣下手,竊取重要資料和個人隱私是目的

前面實測可見,這些免費工具和 App 皆能正常下載甚至使用,但實際情況是我們正身處威脅之中而不自知。原因就在於,新一代的駭客攻擊思維,已經不再以破壞為主,而是轉向針對使用者最重要的資料下手,不論是盜取後轉賣,或是透過像是 Wannacry 勒索軟體綁架使用者資料,甚至以挖礦程式利用使用者裝置挖礦,都令人頭痛不已。

過去在防護工具上,資料的保護多半以防止入侵或病毒感染為主,在駭客攻擊手法持續更新的狀況下,安全防護軟體也該與時俱進,提供更全面的系統防護。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 除了定期異地備份外,選擇可以保護資料夾的安全防護程式,可以避免重要檔案受到勒索軟體的威脅。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 當有程式要存取受保護的資料夾時會發出警告。

不僅資料要安全,隱私也要安全

另外,我們在網路上的隱私其實相當脆弱,對大多數使用者來說,如果沒有進行特別的設定,基本上就像裸體站在馬路上一樣,經過的路人都能一層一層的剝開你的心,發現你最深處最壓抑的秘密。除了路人的騷擾外,未經保護的隱私資料也可能成為駭客攻擊的目標,甚至透過這樣的方式竊取你的網路身份,讓你在不知不覺中受害。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 社群服務上的隱私安全也是現代人不可忽視的重要環節。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 在瀏覽器上的隱私安全問題更值得重視。

《實測文》免費資源與工具,到底暗藏了哪些陷阱?

▲ 透過安全防護軟體的雲端資料庫比對,可以很清楚快速知道網站與連結的安全程度。

良好的使用習慣,結合強大的防護工具,才能完整保護資料安全

如同一開始提到的,駭客攻擊手法日新月異,雖然市面上已經有許多強大的防護工具軟體,但是如果沒有良好的使用習慣與資安思維,還是容易讓自己曝露在危險當中。許多使用者都認為自己的使用習慣夠好,所以覺得不需要安裝防護工具;另外也有許多使用者對於安全防護軟體還停留在過去笨重遲緩的使用經驗,為了不要拖慢電腦效能選擇不使用安全防護軟體。

然而,正如同駭客的攻擊手法,安全防護軟體也不斷進化著,現在的安全防護軟體除了強調安全性外,有些甚至比使用者更強調軟體運行時的系統效能表現,如果沒有特別跳出安全警示,幾乎感覺不到它的存在。

無論如何,養成良好的使用習慣,仔細注意自己點擊的連結或是打開的各種檔案,在進行任何網路活動前最好都先用防護軟體檢查一下,才能確保自己的重要資料不受威脅和濫用。

(首圖來源:shutterstock)

文章出處:科技新報

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《實測文》免費資源與工具,到底暗藏了哪些陷阱?

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數 《實測文》免費資源與工具,到底暗藏了哪些陷阱? 《實測文》免費資源與工具,到底暗藏了哪些陷阱? 《實測文》免費資源與工具,到底暗藏了哪些陷阱?

 


GDPR 將是未來 WhatsApp 與 Facebook 共享用戶資料的一個考量因素


 

Whatsapp Facebook User Data SharingWhatsApp 已同意不再與其母公司 Facebook 分享用戶的個人資料,靜待歐盟通用資料保護法 (General Data Protection Regulation,簡稱 GDPR) 上路。此外,該公司也同意,如果未來再就其他用途與 Facebook 分享資料,將會遵守 GDPR 的規定。該公司的這項動作是為了回應英國資訊委員會 (Information Commissioner’s Office,簡稱 ICO) 對其資料分享行為的調查

2016 年 WhatsApp 曾因眾多團體對其更新後的隱私權條款與條件有所疑慮而中止與 Facebook 分享用戶資料的計畫。其新政策當中包括了針對某些用途與 Facebook 分享用戶資料的條款。同年,ICO 針對此案展開全面調查,而法國德國方面也隨之跟進。

分享資料務必遵守法規

ICO 發現這項資料分享的作法毫無法源根據,而且 WhatsApp 並未充分告知用戶有關其個人資料的被分享狀況。此外,這項資料分享計畫也與現有用戶當初提供個人資料時的用途不符。若當時兩家公司的資料分享計畫成案,將違反英國現行資料保護法 (Data Protection Act,簡稱DPA) 的規定。值得注意的是,目前已經有一個資料保護法修正案 (Data Protection Bill,簡稱 DPB) 正在國會審查,該案將確保未來英國法律不會與 GDPR 牴觸。

ICO 表示 WhatsApp 一案並不會引起罰鍰,因為資料外洩尚未成立。WhatsApp 已保證英國用戶的資料除了就資料處理的用途之外從未與 Facebook 分享。其實 DPA  (及 GDPR) 並未「真正」禁止資料分享,只要企業機構遵照法律要求即可。

[觀賞趨勢科技邁向 GDPR 遵規之路的影片:GDPR 個案研究影片]

邁向 GDPR 遵歸之路的步驟

目前,Facebook 和 WhatsApp 已經開始針對 GDPR 進行一些調整。Facebook 已修改了隱私權政策,包括提供一些工具讓用戶控管及保護自己在社群網路上的隱私。同樣地,WhatsApp 也正在開發用戶資料隱私選項。等到這些更新內容推出,使用者就能將自己的帳戶資料下載成一份報告,以符合 GDPR 對資料可攜性權利的規定。ICO 表示未來將持續監控 WhatsApp 將如何修改其隱私權政策以及條款與條件,並持續觀察該公司在使用者同意權更加嚴格的 GDPR 規範底下將如何因應。 Continue reading “GDPR 將是未來 WhatsApp 與 Facebook 共享用戶資料的一個考量因素”


好黑心! 新勒索病毒 BLACKHEART夾帶合法軟體 AnyDesk,企圖掩飾加密行為


趨勢科技最近發現了一隻新的勒索病毒(偵測為RANSOM_BLACKHEART.THDBCAH),它的惡意行為包括帶入並執行一個合法工具 – AnyDesk。這並非惡意軟體第一次濫用類似工具。一個擁有超過2億名使用者的工具 – TeamViewer也在之前被勒索病毒利用受害者連線來散播。

但在本案例中,RANSOM_BLACKHEART將合法程式和惡意軟體捆綁在一起,而非是利用AnyDesk來進行散播。

好黑心! 新勒索病毒  BLACKHEART夾帶合法軟體 AnyDesk,企圖掩飾加密行為

 

使用者有可能在瀏覽惡意網站時不自覺地下載了 RANSOM_BLACKHEART 勒索病毒

雖然 RANSOM_BLACKHEART具體是如何進入系統仍屬未知,但我們知道使用者有可能在瀏覽惡意網站時不自覺地下載了勒索病毒 Ransomware (勒索軟體/綁架病毒)。

一旦下載完成,RANSOM_BLACKHEART會產生並執行兩個檔案:

  • %User Temp%\ANYDESK.exe
  • %User Temp%\BLACKROUTER.exe
  • 好黑心! 新勒索病毒  BLACKHEART夾帶合法軟體 AnyDesk,企圖掩飾加密行為

圖1、RANSOM_BLACKHEART產生的檔案

 

如前所述,第一個檔案包含了 AnyDesk,這是個功能強大的應用程式,可以在不同桌面作業系統(包括Windows、MacOS、Linux和FreeBSD)間進行雙向遠端控制,並且可以在Android和iOS上進行單向存取。此外,它還可以傳輸檔案,提供聊天客戶端及記錄連線內容。要注意的是,攻擊者所用的是舊版AnyDesk而非目前的版本。

好黑心! 新勒索病毒  BLACKHEART夾帶合法軟體 AnyDesk,企圖掩飾加密行為

圖2、我們所分析樣本所帶的 AnyDesk使用者介面

Continue reading “好黑心! 新勒索病毒 BLACKHEART夾帶合法軟體 AnyDesk,企圖掩飾加密行為”


《IOT物聯網》亞馬遜 Alexa 語音助理可能成為竊聽器?!


研究人員發現了熱門智慧家居系統內的物聯網(IoT ,Internet of Thing設計缺陷:他們發現駭客可以寫程式利用Amazon的Alexa服務來竊聽使用者並轉錄所聽到的訊息。要做到這點只需要建立一個應用程式,讓語音啟動的數位助理將所聽到的所有內容轉錄給駭客,這是種會被惡意用來竊取敏感資訊的功能。

《IOT物聯網》亞馬遜 Alexa 語音助理可能成為竊聽器?!

[延伸閱讀:你的連網語音助理安全]

Alexa語音助理的設計是在收到提示詞後會開始收聽使用者指令,不過只啟用一小段時間。一旦服務通知使用者對話結束就會回到休眠狀態,直到下一次收到提示詞啟動。當研究人員以駭客的角度來研究這功能,發現可以在程式中插入空白回覆提示詞來惡意利用這功能,這表示Alexa認為自己已經通知使用者設備仍在收聽,但其實卻是保持沉默。使用者並不會意識到這一點,而且也可能沒有注意到Echo設備上的藍色指示燈亮起。只要沒有收到使用者的提示詞,這收聽狀態就會一直繼續下去。

 

[測驗:為孩子購買智慧型設備?先問自己這8 個問題]

經過進一步的測試,研究人員增加說明了如何將設備所收聽到的所有訊息轉錄下來,可以再將收集到的資訊傳送給駭客,直到設備關閉。研究人員已經將此漏洞告知了Amazon,儘管完整的修復方法並未透露,但此一漏洞已經被修復。 Continue reading “《IOT物聯網》亞馬遜 Alexa 語音助理可能成為竊聽器?!”