【2022 年8月 30 日,台北訊】全球網路資安解決方案領導廠商趨勢科技所新成立的車用資安公司VicOne攜手全球電源與能源管理領導廠商台達電子共同合作,在台達電動車充電基礎設施解決方案DeltaGrid®能源管理閘道器中導入VicOne入侵檢測和保護系統 (In-Vehicle Security,IDPS),確保電動車充電樁與能源管理平台資料傳輸安全性,協助台達客戶及電動車充電站營運夥伴鞏固資安防禦並符合國際法規要求,掌握國際市場拓展的關鍵商機。
誤申請「假的」中國信託「信扶專案」恐淪為詐騙集團人頭戶!與中信官網幾乎一模一樣,靠這招一秒辨真假
繼續閱讀中信慈善基金會與中國信託商業銀行自2011年共同推出「信扶專案」,提供創業輔導與急難家庭救助。近日我們發現網路上竟流傳「假的信扶專案」網站,且整個網站與真實的中信專案頁面幾乎一模一樣,若是不慎在釣魚網站申請專案,將有可能變成詐騙集團人頭戶,被警察找上門。
分析使用環境變數來管理無伺服器環境的風險
本文探討使用無伺服器服務來管理機密的潛在風險。
無伺服器環境正日益受到歡迎,這類環境經常主打一些方便企業營運與拓展業務的功能特色,例如:內建擴充性、跨地區服務、成本管理容易等等。幾乎每家主要雲端服務供應商 (CSP) 都提供了某種型態的無伺服器服務,而目前最受歡迎的兩大服務是 Amazon Web Services (AWS) Lambda 和 Azure Functions。
我們可以將無伺服器應用程式想像成在雲端基礎架構內執行的一段程式碼。這段程式碼可透過多種不同方式來觸發執行,例如經由一個 HTTP API 端點或事件。從資安的角度,我們可以將被執行的程式碼本身的安全性與其執行環境的安全性分開來看。雖然 CSP 沒辦法掌控被執行的程式碼,因為那是由使用者所負責,但 CSP 卻能掌控程式碼的執行環境。
我們先前就曾撰文探討過風險管理不當可能帶來什麼危險,而同樣的風險也適用於 CSP 和他們所提供的服務。以下我們將介紹一種許多開發人員在移轉到雲端環境之後常犯的資安錯誤。
繼續閱讀
《資安新聞周報》盤點未來汽車 6 大趨勢!車內元宇宙、客製功能訂閱制,哪些真的可能會實現? / 資安人員:iOS VPN 壞了,蘋果知情但不修 /比特幣ATM危險!General Bytes爆漏洞遭駭客竊幣已2年,全台灣有18台服役中/播放Janet Jackson音樂影片造成數款老舊筆電掛點
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- SolidBit 勒索病毒跨足勒索病毒服務 (RaaS) 並使用新的變種瞄準遊戲玩家與社群媒體使用者
- Mac XProtect 是什麼?是否足以保證你的Mac安全?
- 【警訊】你更新了嗎? 蘋果 iPhone、iPad、Mac 曝嚴重安全漏洞,可讓駭客遠端控制你的手機、平板和電腦
- Alibaba OSS Bucket 遭駭客入侵並使用圖像隱碼術(Steganography)散播惡意指令列腳本
- ICS 與 OT 網路攻擊趨勢
- 《上週資安新聞周報》半數安卓用戶考慮改用iPhone 的關鍵原因曝光/OT裝置有漏洞,如何緩解資安危機?/資安長異動兩天內須申報/遇「假臉」Deepfake視訊交友 2大招拉下假面具
資安新聞精選
車聯網資安與生命安全掛鉤 台灣產業轉型準備好了嗎? 電子時報網
汽車化身服務載體 車路雲聯網協作時代來臨 電子時報網
盤點未來汽車 6 大趨勢!車內元宇宙、客製功能訂閱制,哪些真的可能會實現? 科技報橘網
趨勢科技與 Schneider Electric 結盟 加速實現工業物聯網防護 新聞稿自助吧
5G技術打造「嬰兒遠端智慧監測」 染疫可即時控管心率血氧 CTWant
機器人商機上看8000億 經長按讚:多機控制新科技挑戰億元募資 ETtoday新聞雲
電子五哥都用AR管工廠!鴻海、廣達、華碩工業展秀肌肉 經濟日報網
鴻海推機器人整合平台 經濟日報網
勒索軟體LockBit聲稱遭到來自受害者Entrust的DDoS攻擊 iThome
微軟揭露ChromeOS風險值9.8的重大DoS漏洞 iThome
他收到駭客寄來的「詐騙版」Office 2021,附安裝序號、安裝隨身碟還帶有微軟LOGO T客邦
微軟安全團隊發現互聯網上出現了新的「加密劫持者」 iFuun.com
前安全主管控Twitter有問題 3大點藏缺陷 聯合新聞網
亞太為資安高風險區 企業應打造數位信任 工商時報電子報
男控個資遭外洩!北醫5點回應「加掛作業點選誤按」並致歉 三立新聞網
幣安公關長遭Deepfake冒用,欺騙合作方!高科技詐騙怎麼防? 數位時代
假Cloudflare的DDoS防護頁對Wordpress用戶發動掛馬攻擊 iThome
FBI警告代理伺服器及伺服器配置檔被用於帳密填充攻擊 iThome
PwC:4成美國企業視資安為嚴重風險,38%嘆人才難尋 MoneyDJ 理財網
比特幣ATM危險!General Bytes爆漏洞遭駭客竊幣已2年,全台灣有18台服役中 BLOCKTEMPO
分析工具顯示Tiktok、IG App內建的瀏覽器會蒐集用戶資料 iThome
TikTok再爆隱私疑慮 公司坦承以內建瀏覽器追蹤用戶鍵盤操作 中時新聞網
駭客開採General Bytes比特幣ATM漏洞,直接轉走用戶存入的比特幣 iThome
Google Cloud在今年6月平息了每秒請求達4,600萬次的DDoS攻擊,比Cloudflare的紀錄多出76% iThome
Google修復Pixel手機「150個Bug」!快更新Android 13 自由時報電子報
繼續閱讀SolidBit 勒索病毒跨足勒索病毒服務 (RaaS) 並使用新的變種瞄準遊戲玩家與社群媒體使用者
本文從技術面分析一個偽裝成不同應用程式來誘騙遊戲玩家與社群媒體使用者的最新 SolidBit 變種。SolidBit 勒索病毒集團似乎打算透過這類假冒應用程式並吸引勒索病毒服務加盟夥伴來拓展經營規模。
趨勢科技研究人員最近分析了一個專門瞄準熱門遊戲與社群媒體使用者的最新 SolidBit勒索病毒 樣本。此惡意程式被上傳至 GitHub,它會假扮成不同的應用程式來吸引受害者上當,包括一個英雄聯盟 ( League of Legends) 帳號檢查工具 (圖 1) 以及一個 Instagram 追蹤者殭屍程式。
這個 GitHub 上的英雄聯盟帳號檢查工具 (圖 2、圖 3) 內含一個說明檔案來介紹該工具如何使用 (圖 4),但其假冒程度也僅止於此:該程式並無圖形使用者介面 (GUI) 或任何其他應有的功能。一旦不知情的受害者執行了這個程式,它就會自動執行惡意的 PowerShell 程式碼並在系統上植入勒索病毒。勒索病毒還伴隨著另一個名為「Source code」的檔案,但看起來似乎與其組譯好的二進位檔案不符。