「趨勢科技」與「刑事警察局」共同合作,每週統計經民眾通報的高風險賣場。
本週最新的高風險賣場又多了幾名成員,都是民眾在此些購物商場購物時選取了分期付款後,遭不肖人士誆騙,他們假冒為電商及銀行業者的客服,多步驟地要求民眾連絡處理,卻在過程中埋藏詐騙手法,使民眾在完成這些「解除」分期付款手續後,帳戶的金額也已被詐騙一空。
覺得文章對你很有幫助的話,歡迎到Google Play給我們五顆星唷! 謝謝
歷年被破解的懶人密碼,你中了嗎?(同場加映:密碼攻擊手法解析)
近年來網路犯罪的問題層出不窮,而許多攻擊和您的密碼息息相關,駭客們會用各種方法取得您的帳號密碼,再以此潛入盜取資料,今天趨勢科技3C好麻吉為您整理了歷年外洩資料中最常使用的密碼,看看你是否曾經使用過類似密碼?
英國每日鏡報(Mirror)報導,2016年個資外流的雅虎帳號中,最常用的密碼分別是以下十個:
❶ 123456
❷ password
❸ welcome
❹ ninja
❺ abc123
❻ 123456789
❼ 12345678
❽ sunshine
❾ princess
❿ qwerty
2015 年LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼」,看看你中獎了嗎?
1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣
6.常見單字
7.連續字母
2014-2016年最常見的懶人密碼:
2015年前十大最常用密碼依序是123456、password、12345678、qwerty、12345、123456789、football、1234、1234567及baseball,當中有9個也曾出現在2014年的前十大排行榜中。
根據統計,2016年1000萬筆外洩資料中最常使用的密碼為123456,其次是123456789、qwerty、12345678等,前25大常用密碼佔1000萬筆資料的一半以上。
相關報導:
2015年最糟糕密碼仍是123456及password
2016年最常見的懶人密碼是這個,你也是嗎?
關於密碼千萬不要做的四件事 :
- 不要字典裡選字
- 不要使用姓名、出生日期、年齡、電話號碼、寵物名字、球隊或任何跟你有關的東西
- 不要在不同用途的地方都使用相同的密碼
- 不要跟別人共用你的密碼,絕對!!!
同場加映: 駭客常用攻擊密碼的方式
解密駭客常用攻擊密碼的方式,幫助您更了解攻擊的手法並減少自己的犯錯以捍衛您的密碼~
(本篇只談論關於針對密碼的網路攻擊)
第一種:
暴力破解法(窮舉破解法):這是最基本的攻擊手法,駭客執行程式嘗試以字母、數字和符號排列組合來破解密碼。通常他們會有所謂的字典檔,也就是各種常見或是規律地等比較容易被入侵的密碼組合,因此如果您的密碼越長、字元、符號越複雜,被破解的難度就越高,被迫解的機率自然也就下降。
第二種:
側錄法:駭客將側錄軟體植入受害者電腦,就能監聽、盜取從受害者鍵盤、滑鼠等輸入工具寫入電腦的帳密。
第三種:
社交工程法: 近幾年很流行的一種駭客攻擊方法,駭客利用人性來騙取帳密。
較常見的社交工程攻擊方式有幾種
- 利用網路釣魚,受害者會收到偽裝成拍賣網站、銀行、信用卡公司、社群網站、公家機關、公司等等所寄出電子郵件,在郵件當中會夾帶惡意連結,將受害者導向看起來像正常知名網站或官方的釣魚網站,並要求登入、註冊填寫帳號密碼及個人資訊,駭客便可以藉機盜用。
- 駭客會假裝成公家機關、上司、家人、同事等等和被害人通訊以要求提供帳密。
(另外在社交工程(social engineering )攻擊中駭客會用上述方法騙取受害者打開電子郵件附件的檔案、連結或是誘餌誘騙使用者下載工具、檔案、圖片,再植入惡意程式、病毒於受害者電腦來竊取個人機密資料喔!)
經過了詳細的介紹,您是不是更了解最近的網路密碼攻擊手法了呢?
Android 趕緊安裝 i3C app,趨勢科技專業線上客服團隊協助您在手機或電腦上遇到的問題。
中國無人機大廠大疆創新 (DJI) 竟將 SSL 金鑰公開存放在 Github 儲存庫
全球最大無人機製造商之一大疆創新 (DJI) 被資安研究人員發現其 HTTPS 憑證竟大剌剌地存放在 GitHub 開放原始碼儲存庫 (Repository) 上長達四年。
研究人員 Kevin Finisterre 在一個公開的 GitHub 儲存庫上發現 DJI 的金鑰。該儲存庫中包含了 AWS 帳號登入憑證、AES 加密金鑰,以及公開的 AWS S3 儲存貯體 (Bucket)。Finisterre 指出,儲存庫內甚至還有個人身分識別資訊 (PII)。
DJI 已公開承認此事,並表示將評估及解決此問題,而受影響的 HTTPS 憑證也已在 9 月撤銷。該公司幾個月前公布了一項臭蟲懸賞計畫,不論個人或團隊,只要能夠找到 DJI 軟體的問題,就能獲得獎賞。Finisterre 也參加了這項懸賞計畫,並且原本有機會獲得 3 萬美元的獎金,但因不認同該計畫的某些條款而決定將發現的結果公開,並撰寫了一份長達 18 頁的報告 (PDF)。
這已經不是第一次因為雲端服務組態設定不當而導致資料可能遭到外洩。許多使用雲端的企業皆未徹底做好安全措施,甚至犯了一些明顯錯誤,因而使得資料暴露在外。所以可見,像雲端服務組態設定這麼簡單的問題,都可能導致資料外洩。
企業須了解,雲端基礎架構的安全,不單只是服務供應商的責任,雙方都必須共同分擔,因此企業與供應商應共同配合,這包括所有存放在雲端的一切在內。企業若能落實這份共同安全責任,就能避免發生前述的尷尬情況及相關損失。
趨勢科技 Hybrid Cloud Security 雲端解決方案,融合了跨世代的威脅防禦技巧,專為保護實體、虛擬及雲端工作負載而設計,能協助企業履行其共同分攤的安全責任。此外,更內含趨勢科技Deep Security這套領先市場的伺服器防護,隨時隨地保護著全球數以百萬計的實體、虛擬及雲端伺服器。
原文出處:Drone Manufacturer DJI Leaves SSL Key Exposed on Public Repository
防毒軟體推薦 PC-cillin 2018 雲端版
在每年的防毒軟體比較排行中,趨勢科技 PC-cillin 常常獲得不錯的評比效能,連續8次獲得國外評測機構 AV-TEST 效能、防禦能力以及使用者體驗的「頂尖產品」獎項,若要推薦防毒軟體看認證是最好的方式。硬大自己裝了 PC-cillin 2018 雲端版,介面部分就已經讓人覺得親近,以前看似艱澀難懂的防毒軟體現在變得非常淺顯易懂,各項功能圖形化+簡易說明,甚至針對近幾年流行的勒索病毒設計勒索剋星,避免重要檔案被加密,PC-cillin 的病毒防禦力本來就已經夠強,現在又能防範勒索病毒,基本上對普遍的使用者而言已經沒有什麼好擔心了。
趨勢科技行動安全 App:
除此之外,PC-cillin 2018 雲端版還有上網保護,不論在 Google、Twitter 還是 Facebook 上只要任何有外連連結的地方都會自動偵測網址的安全性,對於網路安全判斷經驗較不足的人來說,這個功能可以無時無刻的當作上網守門員。而有些家長希望孩子不要過度使用電腦,PC-cillin 雲端版內建「家長防護」功能讓家長設定電腦使用時間並同時過濾瀏覽成人、暴力、賭博等不正當網站,夠方便吧!推薦給大家。
▲ PC-cillin 連續8次獲得 AV-TEST 頂尖產品獎項
這是PC-cillin 2018 雲端版的主畫面,主要四大功能放在最上面,中間是代表防護狀態和掃描按鈕,再來才是購買正式版序號的按鈕。 繼續閱讀
美國國土安全部和FBI 聯合警告:當心北韓「HIDDEN COBRA」(隱藏的眼鏡蛇)駭客行動
美國國土安全部 (DHS) 和聯邦調查局 (FBI) 發表了兩份聯合技術警示公告 (TA17-318A 與 TA17-318B),提醒大眾注意可能來自北韓的網路攻擊。這批攻擊屬於某個名為「HIDDEN COBRA」(隱藏的眼鏡蛇) 的駭客行動,其主要目標為美國及全球的重要產業。該行動主要使用兩個惡意程式:一個是名為「FALLCHILL」的遠端管理工具,另一個是名為「Volgmer」的後門木馬程式 (趨勢科技將兩者皆歸入 VOLGMER 家族)。
根據公告,HIDDEN COBRA 背後的駭客集團應該是從 2016 年開始使用 FALLCHILL 惡意程式,主要攻擊航太、電信與金融等產業。該程式會經由攻擊行動當中的其他惡意程式植入系統,或者經由駭客事先入侵的網站來散布。FALLCHILL 一旦感染某系統,駭客就會經由雙重代理器從幕後操縱 (C&C) 伺服器下達遠端指令。由於 FALLCHILL是採用惡意程式服務 (Malware-as-a-Service) 模式運作,因此受感染的系統很可能也會感染 HIDDEN COBRA 的其他惡意程式。
第二個惡意程式 Volgmer 的設計是為了讓駭客暗中進出受感染的系統。據報 Volgmer 最早在 2013 年被發現,主要攻擊目標為政府機關與金融、汽車、媒體等產業。Volgmer 的主要感染途徑是魚叉式釣魚攻擊(SPEAR PHISHING)郵件的惡意附件檔案。Volgmer 具備了各式各樣的功能,包括:蒐集系統資訊、下載及上傳檔案、執行指令、終止執行程序,以及列出檔案目錄。其中一個專家分析到的樣本還具備操控「Botnet傀儡殭屍網路」的功能。 繼續閱讀