本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
個資無期限 駭客愛個資多於信用卡 中央社即時新聞網
搶先書摘》趨勢科技董事長的第一手觀察 透過AI革命 激發人的未知潛力 今周刊
5大駭客埋伏 台灣資安法規落後 聯合報
餐廳搜尋服務Zomato驚傳遭駭,外洩1700萬筆加密憑證 iThome
雄獅旅遊遇駭 36萬筆個資恐外洩╱一名旅客被詐騙10萬 自由時報
最大的資安漏洞是使用者 ?LINE 資安長和 Intertrust 技術長訪談 INSIDE
駭客以假 App感染百萬 Android裝置,盜走俄羅斯銀行存戶近2700萬元 iThome
與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊 資安趨勢
俄羅斯央行首次坦承 勒索病毒入侵銀行 中央社即時新聞網
筆記!電腦防毒不二法門 聯合財經網 繼續閱讀
儘管 WannaCry 勒索蠕蟲所要求的贖金,相對於其他勒索病毒家族,其實並不算多 (300 美元),但因為它會透過網路共用來散布,所以企業每多一台電腦遭到感染,就必須多支付 300 美元贖金。如此一來,駭客將賺得荷包飽飽,但受害的企業卻損失慘重。
在 2016 年當中,勒索病毒 Ransomware (勒索軟體/綁架病毒)駭客集團已開始將目光從個人使用者轉移到更大的目標,也就是大大小小的企業機構,並且海撈了 10 億美元。
才一年的時間,勒索病毒家族的數量就大幅成長 752%
早在 WannaCry(想哭)勒索病毒/勒索蠕蟲出現之前,全球的企業和個人使用者就已遭受勒索病毒所帶來的嚴重痛苦,這在我們的研究報告「勒索病毒的過去、現在和未來」(Rnsomware: Past, Present, and Future) 當中有詳盡的描述。才一年的時間,勒索病毒家族的數量就大幅成長 752%。
勒索病毒威脅在各地的分布 ,雅太區感染比例最高 (2016 年 1 月至 2017 年 3 月) 繼續閱讀
去年初,Google即宣布旗下Gmail郵件服務的全球活躍用戶已突破10億人,已然成為眾人普遍使用的郵件服務之一;然而近日Gmail釣魚郵件攻擊事件日益增加,如本月初發生的假冒熟人寄送Google Docs 邀請釣魚信件,就假以Google Doc服務之名要求存取受害者的通訊錄權限,帶給許多消費者很大的困擾。根據趨勢科技於今年1至5月的統計資料顯示,駭客最愛使用的5大Gmail釣魚郵件類型為下:
綜觀上述案例,可知駭客主要利用三種方式進行Gmail網路釣魚郵件詐騙,一為直接在郵件正文提供惡意網站連結,導引消費者至其架設的釣魚網站,並輸入重要的個人或財務資訊;二為在信件中夾帶含惡意程式的檔案,吸引消費者點擊下載,最後還有利用郵件軟體或瀏覽器弱點,在信件中包含特殊腳本讓惡意程式在收件人開信後就自動下載後執行,無須點擊連結或開啟附件。而趨勢科技發現在這些Gmail釣魚郵件中,於信件中提供惡意網站連結者,占全部惡意郵件比例的最大宗95.3%,而排名第二的則是夾帶惡意程式檔案附件,發現數量約佔4.4%。 繼續閱讀
經歷了所有這一切的恐慌,WannaCry(想哭)勒索蠕蟲終於在世界各地平息了。但這並不是能夠加以忘記而繼續前行的時候。從這次的攻擊中可以學到許多寶貴的經驗,為何它如此成功,以及該做什麼來防止它再次發生。而一個令人無法想到的事實是,許多在這月初遭受WannaCry肆虐的企業可能會遭到罰款,如果相同的事情是發生在一年之後。
沒錯,歐盟一般資料保護法規(General Data Protection Regulation,簡稱 GDPR)即將來臨,為企業帶來全新的緊迫性,意識到在WannaCry(想哭)勒索蠕蟲之後需要大規模的進行網路安全檢修。
資料外洩或勒索病毒?
猛一看,勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊跟即將到來的歐洲資料保護法規並沒有什麼關聯。畢竟,WannaCry被攻擊者的資料是被加密而不是被竊。但仔細看看GDPR會告訴我們不同的故事。
第4.12條規定: 繼續閱讀
