本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
訂閱資安趨勢電子報
OWASP 針對大型語言模型 AI 聊天機器人首次提出了一份風險清單,再次證明生成式 AI 正迅速邁入主流階段,而這份清單也象徵著保護企業、防範 AI 相關威脅的重要一步。
20 多年來,「開放網站應用程式安全計畫」(Open Web Application Security Project,簡稱 OWASP) 的十大風險清單一直是企業改善軟體安全最指標性的一份參考資料。這也難怪當今年春季初 OWASP 發布最新的十大風險清單並聚焦大型語言模型 AI 漏洞時,開發人員和網路資安專業人士都紛紛密切關注。
OWASP 此一動作再次證明了 AI 聊天機器人正迅速邁入主流階段。根據一項調查,有將近一半 (48%) 的受訪企業表示他們在 2023 年 2 月左右已經開始採用 ChatGPT 來「取代勞工」,而這距離 ChatGPT 發表以來才不過短短的三個月。許多觀察家都憂心指出,AI 的普及既倉促、又缺乏對相關風險的了解,因此 OWASP 的十大 AI 風險清單來得正是時候,也有其必要。
繼續閱讀資料外洩事件已經成為生活中不可避免的一部分,如果你已經成為資料外洩的受害者(或者說,你已經被pwned了),這時就必須要充分了解資料外洩帶來的後果以及應該採取的行動。
Pwned起源於網路遊戲魔獸爭霸內owned的拼寫錯誤,意思是被擊敗或羞辱。隨著時間過去,它也被用來描述未經授權的存取或數位資產外洩。所以,如果你的電子郵件地址或密碼被pwned,這代表它在資料外洩事件中被洩露,你的帳號安全已經受到威脅。
台灣大哥大已經公告「沒有積分計劃」,大家收到簡訊不要再上當!網址做得非常逼真,還用多個誘人禮品吸引民眾填資料兌換,甚至是騙你刷卡付運費,小心最後卡被盜刷還落得一場空
去年7月就開始出現「積分兌換」類型的詐騙簡訊,從當時的 Ikea 到後來各家電信業者,包含中華電信和遠傳都被變成積分兌換詐騙的假冒對象,沒想到這款詐騙竟然一路從去年延燒一整年,至今還是有很多人在防詐達人查詢類似的詐騙簡訊
最近尤其多的就是另一家電信龍頭:台灣大哥大的積分兌換簡訊
這幾日防詐達人收到大量關於台灣大哥大的簡訊查詢,簡訊內容跟網址雖然有很多版本,但大多都是在說台灣大哥大的積分計劃,以及提醒用戶要兌換積分
親愛的【台灣大哥大】用戶您好,積分計劃提醒您,您的18564點積分將在三天後過期,請及時兌換:https[:]//taiwannmobile[.]co[.]uk
台灣大哥大:您的門號尚有(8,956)積分將於今日到期,請盡快兌換獎品,逾期作廢 https[:]//web[.]mkmm[.]tw
【臺灣大哥大提醒】 您帳戶中的18564積分將在三天內過期,請點擊:https[:]//mottbi[.]top 兌換完成將安排發貨。
然而這根本是一個莫須有的活動,根據台灣大哥大的聲明,根本就沒有什麼積分累積活動,為了怕用戶誤會,台灣大哥大的官網也在今年三月就已經發布公告提醒民眾
那到底這個簡訊是如何達成他的詐騙目的,釣魚網站點進去又是要做些什麼,如果你真的好奇,就接著往下看,我們測試給你看
繼續閱讀本文引述三個研究案例說明駭客如何利用在地代理器 (residential proxy) 與 CAPTCHA 破解服務,來避開線上服務網站的反垃圾郵件、反機器人與反濫用措施。
今日線上服務網站有一項必要安全措施就是:確定來訪的真人、而非自動化機器人。這麼做可以讓網站過濾垃圾郵件、未經授權的網站爬梳、大量的假帳號註冊、回應及評論,以及最重要的,來自殭屍網路大軍的攻擊。其中最常被用來過濾自動化機器人的工具就是用來辨別電腦和真人的全自動化公開圖靈測驗 (CAPTCHA) 驗證。
CAPTCHA 是一種「質詢/應答」驗證,理論上只有真人能通過驗證。一些常見的 CAPTCHA 驗證會在一張含有紋路的背景圖案上顯示一些扭曲的數字和英文字母,然後要求使用者將圖中所顯示的數字和字母輸入到一個文字方塊中。今日還出現了一些進階版的 CAPTCHA 驗證,要求使用者從一些方形圖片中找出某種物件,例如:交通號誌、汽車等等。
簡單的 CAPTCHA (例如只包含數字和字母) 有時可利用光學辨識 (OCR) 技巧加以破解,而較難的 CAPTCHA (例如扭曲的字元) 也可以被採用機器學習 (ML) 技術的自動化解謎程式破解。為了反制這些 CAPTCHA 破解技巧,一些更進階的 CAPTCHA 驗證已被開發出來,包括:在一個網格當中找出某些物體,或是將某個物體旋轉至正確的位置。但假使駭客在破解 CAPTCHA 驗證時使用的不是機器人而是真人,那麼線上服務業者將面臨截然不同的挑戰。
繼續閱讀