購物季點擊”降價大促銷”前該注意的事

今年來到最後一季也代表了購物季節的來臨,有越來越多消費者因為網路購物的便利性而大量使用。在2017年,單單美國的網路購物銷售額就達到了2.3兆美元,預計全球網路銷售額到2021年會成長達到4.48兆美元。而今年預期可以在11月看到大規模的網路流量,而且消費支出將來到91.5億美元,黑色星期五 (Black Friday)和網路星期一(Cyber Monday)將會讓網路銷售額達到高峰。而不幸的,也可以預期駭客會趁此機會來好好利用這購物季節

*編按:所謂的”黑色星期五 (Black Friday)”,指的是11月第四個星期四感恩節後的星期五, “網路星期一(Cyber Monday)”是每年感恩節後的第一個星期一,這兩個日子美國零售業者會推出各式降價大促銷活動。

購物季給予網路犯罪份子各種機會,從垃圾郵件到贈送給親友的電子設備,一個錯誤舉動就可能導致你的個人資訊落入壞人之手。以下是一些最常見的威脅及防禦它們的最佳作法。

把連網裝置當作禮物送出前,該遵循的三個原則

智慧型裝置成為禮物選項不再只是給兒童和青少年的娛樂用途,因為物聯網(IoT ,Internet of Thing裝置也是給大人相當實用的禮物。從手機到智慧家電,還是有些廠商並沒將安全功能放在心上,這可能會讓使用者面臨各種網路威脅。

在將它們當作禮物送出去前,最好先想一想並遵循下列三個指導原則:

  1. 計劃送智慧裝置給兒童和青少年時,請檢查它會向使用者要求的資料。這些資料是否跟功能有關,還有廠商如何儲存和保護這些資料。
  2. 給予並教導。除了贈送禮物給年輕使用者之外,還要提醒他們負責任地使用這些裝置,而且要安全地在網路上使用它們。
  3. 註冊智慧裝置帳號時,確保使用跟其他網路帳號不同的強帳密。安裝廠商提供的最新修補程式來更新韌體,並且要連接安全的網路。

相關文章:
保護智慧家庭:家庭使用者與裝置製造商的安全祕訣

可能攻擊物聯網 (IoT) 的駭客的五種嫌疑犯

不要讓你的新冰箱癱瘓網路

 

點開特價郵件訊息前,給自己三個提醒

消費者可能會在這購物季節收到廠商的購買確認郵件或警示訊息。駭客也可能製作看似合法的電子郵件,這些郵件可能會將你帶到詐騙網站,或利用特價訊息及緊急通知進行網路釣魚(Phishing)來取得資料。

開啟這些郵件、點擊連結或送出任何資訊前的三個提醒:

  1. 不要馬上點入郵件內的連結。將常去的網站加入書籤或直接輸入已知的代表網址或電子郵件地址。使用詐騙檢查程式來掃描可疑的電子郵件。
  2. 透過已知的聯絡號碼來打給企業或組織,確認是否有通過電子郵件來請求資訊或進行認證,或是否有郵件內提到的促銷活動。小心那些聲稱來自某公司要求你提供帳密的電話。銀行等正常企業絕不會透過電話或電子郵件來要求你的密碼。
  3. 限制你在網路上所分享的個人資訊量。

繼續閱讀

《資安新聞周報》第一個要求「微信支付」的勒索病毒現身  / Google Play出現假語音應用程式竊個資/吸睛網紅 紛紛成了吸血駭客的大肥羊 

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安新聞精選:

20大國際品牌揭曉  智慧科技加持價值    經濟日報(臺灣)

中國出現勒索軟體首度要求受害者用微信支付繳贖金    iThome

美陸軍關閉資訊傳遞系統 機敏資訊竟靠傳統郵寄  青年日報

不肖app打著健康減重的名義,誘騙iPhone 用戶在TouchID掃指紋刷卡   iThome

印表機攻擊再起?駭客入侵印表機推出廣告列印服務    iThome

同行眼紅?駭入對手廣告看板大放無碼A片    自由時報電子報

勒索病毒捲土重來,盯上二維碼支付,近兩萬人「中招」    新浪網(臺灣)

駭客入侵4.5萬台路由器,要為NSA攻擊工具開門,百萬PC和行動裝置恐成目標  iThome

駭客鎖定矽谷主管的行動電話門號下手,偷走百萬美元加密貨幣        iThome

印度再破獲假冒微軟、蘋果及Google的技術支援詐騙客服中心   iThome

德國耳機業者誤將憑證置入軟體,陷用戶於安全風險    iThome

【網紅經濟】吸睛網紅 紛紛成了吸血駭客的大肥羊      鏡傳媒

PS4出現一位駭客,專門把那些無視他的玩家永久斷開PSN連接        T客邦

Elasticsearch伺服器配置不當,8,000萬名美國民眾資料外洩曝光        iThome

《WINDOWS 10更新搞鬼》電腦被偷偷安裝LINE主程式?日本網友痛批太超過……       卡卡洛普

Dell遭駭客入侵,強制重設所有官網客戶密碼        iThome

印度再破獲假冒微軟、蘋果及Google的技術支援詐騙客服中心   iThome

萬豪酒店遭駭 5億個資外洩 旗下訂房系統被入侵 近四年客戶恐受害 範圍擴及信用卡 在台品牌寒舍、W飯店不回應    經濟日報(臺灣)

臉書OMG測驗病毒烏龍,教你申訴 Google Play 問題交易與刪除臉書遊戲      硬是要學

美國政府指控伊朗籍駭客散佈勒索軟體SamSam,並揮刀斬斷駭客金流     iThome

砸1.5億辦賽車競賽還包機帶員工參加!不畏泡沫,趨勢科技的AI育才術        數位時代

《科技》全球員工籌組500隊,趨勢AI競賽4日福岡決賽   富聯網

政府砸下50億拼AI 喊話4年追上國際腳步    寰宇新聞

培養AI創新人才 趨勢執行長 : 玩樂最重要   寰宇新聞

台灣年度品牌價值排行出爐 HTC光芒散退跌21%   ETtoday新聞雲

2018台灣20大品牌揭曉  華碩蟬聯冠軍6年、價值500億  今周刊

Edge難挽頹勢,傳微軟下一個Windows重大更新將以Chromium打造新瀏覽器       iThome

微軟釋出.NET Core 3.0預覽版,還開源WPF、Windows Forms和WinUI       iThome

億元設備模擬企業網路環境,HITCON首度舉辦考驗企業資安防禦能力競賽      iThome

IOT+智慧紡織+精準醫學 跨業簽MOU拚三贏      工商時報

再通報FB漏洞「天才駭客」百萬獎金達陣      台灣蘋果日報

Hyper-V隔離容器 支援.NET程式獨立運行       網管人

資安疑慮 英電信5G設備 禁華為投標      自由時報

Media OutReach/趨勢科技重新定義用戶端防護 推出全功能用戶端防護方案Apex One    Pchome 新聞

衛星基地成果展登場 中科AI創新生態圈成形 經濟日報(臺灣)

研發量子加密法 陸技術領先      中時電子報網

邁入2019必看 影響下個十年的全球10大趨勢(上)  天下雜誌網

邁入2019必看 影響下個十年的全球10大趨勢(下)  天下雜誌網

美國、法國、烏克蘭、卡達、台灣… 潛藏在選舉中的訊息戰爭   自由時報

Quora遭駭客入侵!1億用戶個資裸奔 姓名、郵件全外洩    ETtoday新聞雲

2019 PHP5網站技術支援到期,恐將成為資安孤兒  iThome

防毒日:隱藏的陷阱,認識勒索病毒與現今防毒軟體必備功能 硬是要學

向密碼說再見,微軟Win 10支援FIDO 2驗證  iThome電腦報周刊

SIM-Swapping橫行,連帶衝擊加密貨幣帳號安全 盜用門號成竊取加密貨幣新手法  iThome電腦報周刊

行政院資安處:投票當天中選會遭DDoS攻擊流量只有9Gbps,維持不到10分鐘    iThome

中山大學資安碩士班 全台首見  中時電子報

大舉投入車聯網研發前,台灣政府跟產業有信心「資安零危機」嗎?        科技報橘網

Intel 經由 Windows Update 推出微碼更新,修補 Spectre V4 和 L1 Terminal Fault    T客邦

港媒指信貸公司存漏洞  特首資料隨意看 中央通訊社

合勤全新商業用Mesh無線網路解決方案-Multy Plus 即插即用,搭配企業級安全防護,為小型企業大幅節省人力與成本    T客

繼續閱讀

2018年不可思議14個駭客入侵手法懶人包

在新興資安威脅中,也有一些可能帶來威脅但看似冷門的技術。
像是近日,有研究人員利用中階的熱感攝影機,可在一分鐘內蒐集到鍵帽上殘留的餘溫,便能蒐集到使用者剛輸入的密碼。


記得,在去年臺灣資安大會上,也曾經有專家分享,用生活中無線訊號感知的研究。像是家中房間有一臺無線路由器,而使用者在這樣的空間用電腦打字,這時訊號會受到某種程度都卜勒效應干擾,因此打字的動作將反應在此訊號上,再傳送到接收端,而這個現象可以被觀察到,如果建立起一個模式,就有可能一一區分使用者現在正在按哪個按鍵。資安威脅真的是無所不在。

失「手」外洩密碼

1.鍵盤上手指餘溫,竟可洩漏密碼 !

中階熱感攝影機,可在一分鐘內利用鍵帽上殘留餘溫,蒐集使用者剛輸入的密碼。

如果你輸入密碼後就立刻離開座位,密碼可能立馬被人竊走。

加州大學艾爾文分校(University of California, Irvine, UCI)研究人員發展出以熱感攝影機量測手指留在鍵盤上的餘溫,藉此竊取密碼。此新奇攻擊手法,可在使用者在盤上輸入密碼後一分鐘內,利用中階熱感式攝影機蒐集到按壓過的鍵帽上的溫度。

●原文參考來源: IT  Home

繼續閱讀

從中攔截:能源與水資源基礎架構漏洞

能源與水資源是我們生活當中最重要的兩大關鍵基礎架構 (Critical Infrastructure,簡稱 CI)。近年來,這兩大產業皆經歷了一些必要的變革以因應科技的最新發展,同時也改善天然資源開採及輸送的方式。目前,這些變革正朝著連網系統的方向發展 ,尤其開始整合了工業物聯網 Industrial Internet of Things (IIoT) 技術。能源與水資源產業的持續發展,已讓個人和企業獲得更有效率、也更穩定的資源供應。然而,卻也因為如此,想要妥善保護這些關鍵基礎架構背後的系統,也變得更加困難。隨著 CI系統的漏洞不斷增加,尤其是監控與資料擷取 (SCADA) 系統人機介面 (HMI) 的漏洞,我們有必要好好檢視一下這些關鍵產業所面臨的風險。

我們經由公開來源的情報 (OSINT) 即可一窺能源與水資源產業所面臨的一些問題。藉由網際網路搜尋引擎 (主要為 Shodan) 與實體定位技術,趨勢科技找出了許許多多暴露在外且容易遭到攻擊 HMI 系統,這些全都屬於中小企業所有。這顯示了網路資安對整體供應鏈的每一階層以及每一基礎架構產業有多麼重要。

完整的調查結果與相關影像,請參考趨勢科技的完整報告:「暴露在外而可能遭受攻擊的基礎架構:能源與水資源產業」。本文將列舉幾個我們在全球各地一些能源與水資源相關產業發現暴露在外的 HMI 系統,以及這些案例將對基礎架構供應鏈帶來什麼影響。

暴露在外而可能遭受攻擊的 HMI 系統

在水資源產業,我們在全球各地都發現一些暴露在外的 HMI系統。這些系統包括各種水資源系統的監控介面, 例如:水加熱、地熱、抽水、水過濾、海水逆滲透及消毒等等。 繼續閱讀

Google Play出現假語音應用程式,竊取姓名電話住址等個資

趨勢科技注意到Google Play上有好幾個偽裝成語音訊息平台的App(應用程式),會自動跳出假調查和進行欺詐性廣告點擊。這些惡意應用程式變種從10月開始陸續出現,未來可能發動殭屍網路等惡意攻擊。雖然目前感染數量仍不大嚴重,但因為其快速的發展及在行動生態系內的散播行為,仍須持續觀察相關應用程式上傳和使用者下載的狀況。

來自七個已知應用程式ID的所有樣本有著相似的編碼和行為,令人懷疑網路犯罪分子還在開發其他模組並將部署更多的惡意應用程式。

botnet fake voice messenger app google play_1

圖1、上傳到Google Play上偽裝成語音訊息應用程式的其中之一

繼續閱讀