【軟體無所不在5-4】軟體更新竟讓裝置變磚塊?

在許多情況下,軟體有正當的理由必須更新。有時,軟體更新是為了提供原本已宣傳、但出貨時卻來不及加入的功能。因此,裝置開箱、連上網路、下載最新軟體以獲得最新功能,對今日的消費者來說就像家常便飯。但像這樣的更新不一定每次都很順利,有時候功能遠比預期還晚推出,或者功能根本就不如原先所預期。

軟體更新可能既麻煩又耗費成本

除此之外,一些透過更新取得的功能,也可能導致不預期或不良的後果。例如:Spectre 漏洞最初的修正就會導致某些系統的效能變慢。除了 CPU 效能問題之外,有些案例是儲存效能也受到影響,而這又可能進一步影響系統的其他效能,因為資料讀取速率突然變慢。

大體而言,裝置能自動更新對使用者來說是件好事。許多裝置軟體所發生的問題,可透過更新來修正當然最好。只不過,軟體更新有時候也可能反而讓裝置變得無法使用。這樣的問題通常是因為更新規劃不當,或是硬體上的變異所造成。例如裝置用到一些不良 (或仿冒) 的晶片 (這樣的情況並非罕見),所以才會讓裝置在更新後出現異常行為,甚至變成磚塊 (完全不能用)。

繼續閱讀

就像在 ATM 上安裝盜卡裝置一樣, 「Magecart」專偷線上刷卡資料

官網訂機票後,信用卡即遭竊取! 新式數位盜卡集團來了!該如何確保信用卡資料安全?

就像犯罪集團在 ATM 提款機上安裝的盜卡裝置一樣,駭客將一種叫做「Magecart」的惡意程式碼植入目標網站,專門竊取客戶在結帳時所提供的付款資料,只不過是數位版本。更厲害的是,這類程式碼不但強大,而且持卡人完全無法察覺。

過去這一年來 Magecart 駭客集團已證明,沒有任何一個網站可以倖免於這類盜卡攻擊。不論是知名電子商務品牌 (如 Newegg)、國內大型航空公司、全球售票網站 (Ticketmaster),甚至服務對象遍及美國、加拿大將近 200 所大學的校園網路商店只要網站接受線上刷卡就存在著風險

近年來大約有 17,000 個網站是經由此方式遭到入侵。還有另一波攻擊在短短 24 小時內就入侵了 962 家網路商店。Magecart 還變本加厲開發支援各種結帳網頁的萬用盜卡程式碼們,最高記錄可支援 57 種支付閘道,也就是說駭客可以很輕鬆地利用同一套工具來攻擊全球網站。

七月英國航空 (British Airways) 遭到了航空史上最高的罰鍰,原因是該公司的客戶在其官網訂票之後,信用卡資料便隨即遭到竊取。這筆由英國隱私權監理機構所開出的 2.28 億美元罰款,反映出這起事件的嚴重性,以及該公司未善盡保護客戶個人及金融資訊的責任。不過,這起事件的後續發展並不只侷限於英國航空公司及其客戶。這其實是一波最新的攻擊手法,歹徒專門在電子商務網站上植入「數位盜卡」程式碼來竊取使用者在網站上消費時所輸入的付款資訊。

雖然,數以萬計的網站都曾經發生同樣的情況,但你還是有一些方法可以確保自身的消費安全,最方便的作法就是安裝一套 PC-cillin 雲端版 。不過,有些事情你還是必須預先了解。


🔴 PC-cillin 雲端版30天防毒軟體 》即刻免費下載試用

繼續閱讀

你一直被追蹤位置你知道嗎?教你看懂什麼是「定位」、「權限」

其實我們目前在日常生活中,一直帶在身上的「手機」都在默默追蹤我們的位置你知道嗎?

無論是 Apple 或者是 Google 兩者的服務都會要求提供定位資訊,當然我們並不建議隨便調整定位資訊啦!要不然下次想要使用某個功能的時候就會發現突然不能使用了!
但大家依然要知道如何讓定位提供最少的資訊喔!這樣不但安全還省電呢!接下來讓好麻吉帶大家來看看吧!

繼續閱讀

《資安新聞周報》車廠才知道的隱藏版軟體更新功能/一封信騙走 11.7 億/不給錢,就公開你看色情網站”紀錄片”

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空,它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

一周精選媒體資安新聞

國防報告首納假訊息 學者:網安已受重視      中央通訊社

「你在瀏覽色情網站時的一舉一動,已被側錄」駭客威脅不給錢,就公開        T客邦

上百萬台網路收音機暗藏可遭駭客挾持的安全漏洞        iThome

北韓的駭客能力有多強呢?是連韓國都讚譽有加的「世界前五名」    關鍵評論網

掉包SIM卡,駭客在用戶和電信商間找到漏洞        世界新聞網

新勒索軟體Lilocked瞄準伺服器展開攻擊 iThome

豐田子公司遭變臉詐騙攻擊損失40億日圓      iThome

密碼安全性是新焦點,使用預設密碼或設定太簡單 2019臺灣漏洞通報趨勢出爐! iThome電腦報周刊

不相信也照樣發生 網絡犯罪損失5兆美元      工商時報電子報

駭客任務快狠準  無檔案式攻擊暴增265%       經濟日報網

《科技》趨勢:91%駭客威脅,透過電郵入侵        雅虎奇摩

驚!無檔案式威脅成長265% 數位勒索、變臉詐騙猖獗 三立新聞網

蘋果暗示 中國為監控維族駭入iPhone      台灣蘋果日報

陸追劇APP恐曝個資! 讀取電話簿、錄音監聽      tvbs新聞網

獅子大開口!駭客向美國麻州城市New Bedford要求530萬美元贖金遭拒 iThome

偽造郵件、偽造筆跡、機器人電話、語音複製……AI「花式詐騙」的N種方式  T客邦

樹大招風!《魔獸世界》經典服遭遇DDoS攻擊     新頭殼

繼續閱讀

Heatstrok網路釣魚攻擊,為何鎖定科技產業員工免費信箱?

Heatstrok惡意活動利用多階段網路釣魚攻擊,專竊取PayPal和信用卡資訊

雖然網路釣魚活動在2019年上半年顯得較為平靜,但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動, Heatstroke使用了圖像隱碼術(Steganography)等更加複雜的技術,展示出網路釣魚技術能夠如何演變,不只是冒用合法網站或是多樣化的社交工程手法。

Heatstroke操作者研究目標受害者的方式也值得注意。他們針對的是受害者的私人郵件地址,可能是從受害者身上收集,其中包括了科技產業的主管和員工。私人郵件地址較可能是免費信箱,所以安全防護和垃圾郵件過濾機制也比較弱。而且私人郵件也常被用來驗證社群媒體和電子商務網站,以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號;取得權限的攻擊者也可以存取受害者的Google雲端硬碟,甚至可能會危及連結帳號的Android裝置。因此,跟防護較高的企業郵件帳號比起來,這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。

Heatstroke攻擊鏈

Heatstroke操作者使用下列策略來隱藏自己的踪跡:

  • 多階段網路釣魚攻擊。為了避免起疑,攻擊者並不會著急。跟通常只用單一網頁進行的釣魚攻擊比起來,Heatstroke試圖用多階段作法去模仿合法網站,讓目標受害者不會感受到不妥之處。
  • 混淆蹤跡。釣魚套件內容是從另一個位置轉發,但會被偽裝成來自登錄頁面。登錄頁面也會不斷變動來繞過內容過濾器。釣魚套件還能夠封鎖IP範圍、爬蟲服務甚至是漏洞掃描程式這類安全工具。如果從攻擊者列入黑名單的位置、瀏覽器、IP地址或國家/地區進行連線,則該網頁不會顯示內容(出現HTTP 404錯誤),或是內容會從其他位置轉發。釣魚套件的第一個網頁是由Base64編碼的PHP腳本產生,來躲避或繞過防火牆。
  • 網路釣魚即服務。我們看到了另一團隊購買此套件來進行自己的網路釣魚攻擊。該套件開發者甚至為此團隊分配專屬的API金鑰。顯示出這些攻擊活動包含了客戶、操作者和開發者等角色。
  • 自我感知的釣魚套件。釣魚頁面內容會根據使用者/訪客屬性動態產生。網頁原始碼內藏了一篇像是童話的故事。可能是開發者想表明自己知道研究人員會查看他的原始碼。
  • 試圖顯得合法。會根據受害者來從該國網域寄送網路釣魚攻擊。在趨勢科技分析的案例裡,用於攻擊的網域曾屬於合法商家但後來被出售。

被偷的帳密會用圖像隱碼術(Steganography)(將資料隱藏或嵌入到圖檔裡)送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者,另一個則會竊取PayPal帳密。

繼續閱讀