繼續閱讀
在社群媒體蓬勃發展之下,工作型態越發多元,也降低了人與人之間的互動門檻。小模、素人美女當道,網拍代言這樣的工作也不再僅限於明星。詐騙集團看準這樣的新興趨勢,將觸角伸向有星夢或是想賺錢的年輕女孩,一起來看看聽起來光鮮亮麗的「網拍兼職」有哪些陷阱吧!「網拍兼職詐騙」用的是哪些手法呢?
網拍兼職代言賺外快?無經驗、無作品可?小心!有可能遇到「網拍兼職詐騙」!
雲端優先,但不是只有雲端:為什麼組織需要簡化網路安全?
全球的公共雲市場在今年有望成長17%,去到2,660億美元。這數字很令人印象深刻,不管Covid-19會對宏觀經濟在短期內造成怎樣的影響,這數字都標誌著世界的發展方向。但儘管許多企業都將自己描述為“雲端優先”,但他們肯定不是“只有雲端”。混合雲已經成為今日的主角:融合了多個雲端服務和多個資料中心。
這樣新的現實在推動敏捷、差異化和增長的同時,也帶來了網路風險。當IT主管想制定方向時,會尋求更全面、更簡單的方式來管理混合雲的安全防護。
給所有人的雲端環境
可以理解組織為什麼熱衷於擁抱雲端平台。誰不想讓員工提高生產力且讓DevOps提供敏捷、以客為尊的服務?但數位轉型面臨著一連串的挑戰。轉變通常在整個組織裡以不同的速度發生。想在整個企業內獲得統一的能見度並以一致的方式管理安全策略變得很困難,尤其是當不同業務單位及部門會各自做決策時。現在估計有85%的組織使用著多個雲端平台,有76%的組織使用了2到15種混合雲服務。
為了管理這樣的複雜性,企業開始擁抱容器和無伺服器架構以更有效地開發新應用程式。但使用這些技術的DevOps團隊主要專注在產品上市時間,有時會犧牲掉安全性。使用第三方程式碼就是個典型的例子:可能讓組織陷入有缺陷甚至充滿惡意軟體的程式碼泥沼。
< 資安報告>假的「404 Not Found」頁面等四個網路釣魚新手法
雖然 2019 年網路釣魚活動的整體數量減少,但2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。
2019 年網路釣魚犯罪集團所使用的一些進階手法,使其越來越真假難辨 ,比如:
1. 登入憑證釣魚技巧
2.破解雙重認證機制的網路釣魚技巧
3.將網路釣魚連結插入搜尋結果當中
4.自訂「404 Not Found」 錯誤訊息頁面,發動網路釣魚攻擊
Office 365 網路釣魚威脅倍增
根據趨勢科技最新的「網路資安風險指標」(Cyber Risk Index) 研究指出,網路釣魚是企業 2019 年最大的威脅, 這項研究調查了美國境內上千家企業機構。儘管去年仍有不少網路釣魚詐騙,但我們偵測到的活動數量已較前一年減少。
2019 年已攔截的網路釣魚網址存取次數較 2018 年減少 28%,原本可能受到網路釣魚網站危 害的使用者數量也因而減少。此外,已攔截的非重複用戶端 IP 存取網路釣魚網址的次數也較前一年減少 38%。這類威脅偵測的數量之所以減少,或許還有一個因素是一些新型態訊息平台 (如 Slack) 的企業用戶日漸成長,而這些平台已取代了電子郵件。
原本可能遭網路釣魚網站感染的使用者數量減少:已攔截的非重複用戶端 IP 存取網路釣魚 網址次數逐年比較 (同一台電腦若試圖存取同一個網址三次則只算一次)。
資料來源:趨勢科技 Smart Protection Network 全球威脅情報網。
資料來源:趨勢科技 Smart Protection Network 全球威脅情報網。
雖然網路釣魚活動的整體數量減少,但假冒 Microsoft Office 365 (尤其是 Outlook) 的網址數量卻持續增加。2019 年已攔截的 Office 365 非重複網路釣魚網址數量較前一年翻了一倍。
資料來源:趨勢科技網站信譽評等服務。
駭入一個 Office 365 帳號,就能對企業機構內部進行網路釣魚攻擊
Office 365 的普及率已使得其每月活躍使用者數量在 10 月份突破 2 億大關,這也是為何它一直成為網路犯罪集團覬覦的主要目標。Office 365 帳號對歹徒之所以有價值還有另一個原因,那就是用來散發垃圾郵件。網路犯罪集團看上的是 Microsoft 的電子郵件平台,包含 Hotmail、Live Mail 及 MSN Mail,因為
Microsoft 電子郵件服務的郵件地址較容易被列在白名單內,對資安軟體來說也比較難以阻擋。此外,網路犯罪集團只要駭入一個 Office 365 帳號,就能對企業機構內部進行網路釣魚攻擊,完全不必再偽造電子郵件地址,這樣的攻擊讓企業更難防範。
四個網路釣魚詐騙新技巧
網路犯罪集團的技巧一直在不斷精進,其偽造的電子郵件越來越真假難辨,使得電子郵件與手機簡訊的 收件人更容易上當。這一點,從 2019 年網路釣魚犯罪集團所使用的一些進階手法就能看出端倪。
1. 登入憑證釣魚技巧
趨勢科技在 4 月份披露了一起採用一種最新登入憑證釣魚技巧的攻擊行動,歹徒使用的是 SingleFile 這個 Google Chrome 和 Mozilla Firefox 皆支援的網頁延伸功能元件。歹徒利用這個延伸功能元件來產生與原始登入網頁一模一樣的頁面讓使用者輸入登入憑證,進而加以竊取。
2.破解雙重認證機制的網路釣魚技巧
此外,我們也觀察到一種可破解雙重認證機制的網路釣魚技巧,它基本上是破解了一次性密碼 (OTP) 的 機制。2019 年,這個手法在日本相當流行,主要攻擊目標是網路銀行用戶。歹徒所發送的網路釣魚郵件或簡訊會將使用者帶往冒牌的網路銀行登入頁面。使用者一旦在該頁面上輸入自己的登入憑證,歹徒就將使用者的登入憑證拿到網路銀行真正的登入頁面同步登入使用者的網路帳戶。此時,網路銀行會產生一次 性的密碼來確認使用者的身分。當使用者收到一次性密碼之後,會將該密碼輸入假冒的登入畫面,此時歹徒就會得到密碼,並拿去輸入到真正的登入畫面當中,如此就成功駭入使用者的銀行帳戶。
3.將網路釣魚連結插入搜尋結果當中
網路犯罪集團也成功利用類似方法來攔截使用者的網頁搜尋,將網路釣魚連結插入搜尋結果當中。2019 年,歹徒利用遭到操作的 Google 的搜尋結果,讓受害者不小心誤入網路釣魚網頁。此方法要能得逞,歹 徒首先要重導網頁流量,將正牌網站的流量導向他們製作的網站,讓這些網站登上某些關鍵字在 Google 的 熱搜排行。接著,歹徒發送含有這類 Google 熱搜網站連結的電子郵件。當受害者點選這類 Google 熱搜排 行連結時,就會先連上歹徒架設的網站,然後再前往最後的網路釣魚網站。
4.自訂「404 Not Found」 錯誤訊息頁面,發動網路釣魚攻擊
另一個在去年值得關注的網路釣魚技巧是利用自訂的「404 Not Found」(網頁找不到) 錯誤訊息頁面來發動攻擊。歹徒並非單純地製作一個網路釣魚網站,然後將受害者導向這個網站,而是先註冊一個網域,然後設定一個自訂的 404 Not Found 錯誤訊息頁面,讓這個頁面假冒成登入畫面。有了這麼一個自訂的 404 Not Found 錯誤訊息頁面,歹徒就能將網路釣魚攻擊全都導向這個網域而沒有數量限制。
欲索取中文版完整報告,請至趨勢科技粉絲專頁,私訊小編,留言:我要索取2019年度資安報告
💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂
《肺炎防疫》三步驟,全家安心宅在家上網防疫
新冠狀病毒(COVID-19,俗稱武漢肺炎) 的疫情或許讓我們很多事都做不了,但卻絲毫不影響我們協助家長及兒童安全、負責、成功地運用科技的使命感。正當大家都善盡本分宅在家裡來保護自己、家人以及其他人的同時,我們對網際網路的依賴程度卻也越來越高。但危機就是轉機,這的確是個值得鼓勵大家正向思考來好好善用科技的良機。
未來幾個月,趨勢科技將陸續分享一系列的祕訣和觀念 (包括直播技術論壇、來賓聊天室以及其他線上資源) 來協助您和您的家人適應整天宅在家的防疫生活,不論是在家工作的上班族或是在家學習的學生,希望您能一切安好。
我們分享的內容,除了在家工作的家長該遵守哪些最佳資安原則 (這方面我們的確有很多可以分享),更重要的是家中的每一分子該培養哪些觀念和習慣,好讓網際網路能在您的家裡和日常生活中妥善扮演更重要的角色。
繼續閱讀《肺炎抗疫》在家工作,專家建議這樣開視訊會議才安全
視訊會議軟體能夠帶來許多好處,但如何在使用這些工具時確保員工及工作資料安全也給企業帶來了挑戰。
趨勢科技在2020資安預測裡指出現代的工作模式已經不再只有傳統的辦公環境。而也確實如此,持續進行中的新冠病毒(COVID-19)疫情爆發已經導致許多人的工作方式發生轉變。隨著公司為員工做出在家工作(work-from-home,WFH)的安排,許多企業都已經在使用視訊會議工具(如Zoom、Microsoft Skype和Cisco Webex)。
儘管這些應用程式帶來了許多好處,尤其是幾乎做到了從直接會面到數位溝通的無縫過渡,卻也為企業帶來了挑戰,就是必須在使用這些軟體的同時確保員工及工作資料的安全。