川普(Donald Trump)的競選口號「2020年讓美國再度偉大!」(2020 Make America Great Again!)縮寫為「maga2020!」,喜歡在推特發表個人意見的他,傳出被駭客成功猜中帳號的密碼就是「maga2020!」,且沒有設定兩階段驗證。
2016年川普以實境節目「誰是接班人」(The Apprentice)中的名言「yourefired」(你被開除了)當成推特密碼,也被同個荷蘭駭客破解。
好萊塢女星 Salma Hayek (莎瑪.海耶克)電子郵件帳戶也曾經被駭,駭客變更信箱密碼後,還得意地在網路宣稱只要知道關於 Salma Hayek的生日和代表作,就可以藉由密碼提示問題得逞。
繼續閱讀不論是正當或非正當的領域,工作自動化,也就是在無人監督的情況下透過程式設計的方式來執行工作,是電腦的最基本應用之一。所以,我們很好奇像 Codex 這樣的工具是否足以在無人監督的情況下可靠地產生出我們想要的程式碼。
作者:趨勢科技前瞻威脅研究團隊
2020 年 6 月,非營利人工智慧研究機構 OpenAI 推出了第三版的 Generative Pre-trained Transformer (GPT-3) (生成式預先訓練轉換器) 自然語言轉換器,在科技界掀起了一番波瀾,因為它具備神奇的能力,可產生足以讓人誤認為是真人撰寫的文字內容。不過,GPT-3 也曾針對電腦程式碼來做訓練,因此最近 OpenAI 釋出了一套專為協助程式設計師 (或者可能取代程式設計師) 的特殊引擎版本叫作「 Codex」。.
我們藉由一系列的部落格文章,從多個面向探討 Codex 的功能在資安上可能影響一般開發人員和駭客的特點,本文是該系列文章的第三篇。(前兩篇在這裡:第一篇、 第二篇)
不論是正當或非正當的領域,工作自動化,也就是在無人監督的情況下透過程式設計的方式來執行工作,是電腦的最基本應用之一。所以,我們很好奇像 Codex 這樣的工具是否足以在無人監督的情況下可靠地產生出我們想要的程式碼。
答案是,我們無法得到兩次相同的結果:我們很快就發現 Codex 是一個「不具備」確定性的系統,同時也不具備可預期性。這意味著,結果不一定能夠重複。GPT-3 (以及 Codex) 背後的大型神經網路基本上是個黑盒子,其內部的運作方式要靠餵入大量的訓練文字來加以調校,讓它自己「學會」文字和符號之間的統計關係,希望它最終能夠忠實地模仿使用者的自然語言。而這會導致使用者在與 GPT-3 (或 Codex) 互動時有一些事情必須牢記在心,例如:
繼續閱讀本文是探討以 GPT-3 引擎為基礎的 Codex 程式產生器相關資安問題一系列文章的第一篇。
2020 年 6 月,非營利人工智慧研究機構 OpenAI 推出了第三版的 Generative Pre-trained Transformer (GPT-3) (生成式預先訓練轉換器) 自然語言轉換器,在科技界掀起了一番波瀾,因為它具備神奇的能力,可產生足以讓人誤認為是真人撰寫的文字內容。不過,GPT-3 也曾針對電腦程式碼來做訓練,因此最近 OpenAI 釋出了一套專為協助程式設計師 (或者可能取代程式設計師) 的特殊引擎版本叫作「 Codex」。身為一套生成式語言模型,這套新的系統可讓您輸入一句自然語言來表達您想要做的動作,然後系統就會使用您選定的程式語言幫您產生一段程式碼來執行您想要的動作。
早在 Codex 出現之前,大家就已經知道 GPT-3 可以做到這點,而且之前已經有許多早期採用者做出了各種概念驗證,包括將一段描述網頁排版動作的英文敘述轉成正確的 HTML 碼,或是根據使用者的描述從選取的資料集產生對應的圖表,除此之外,還有許許多多其他早期採用者不費吹灰之力就製作出來的各種知名範例。
繼續閱讀過完元宵節傳統過年才算結束,你的拜年行程還沒結束嗎?為了避開人群及長距離的舟車勞頓,你會考慮「線上拜年」 嗎?「線上拜年」是指,利用 Zoom 或 Microsoft Teams、Google Meet 等視訊通話服務與遠方的父母、親戚、朋友取得聯繫。但在使用的時候,從安全的角度來看有幾點需要注意的事項。
前陣子購物節很多人收到 貨到通知簡訊,不疑有它的點入連結,在你掉以輕心之際,藉機騙取個資及金錢。
最近最新的簡訊詐騙,是1月 29日(週五)詐騙集團假冒國泰世華,通知「您網銀帳戶異常,即將凍結」,三天內就有 21 人遭騙,損失 300 多萬。幾日過後,2月5日(五)又化身為台新銀行再騙一次,其中有單一受害者一晚上被轉走 40 萬。2月9日春節連假再度出現冒充富邦人壽與中國信託的釣魚簡訊。這波網銀詐騙的共通點是:都在周五或是長假之前銀行營運空窗期犯案。
簡訊詐騙愈來愈盛行,還有偏愛假冒宅配公司,超過 30 萬用戶受害的 Android 惡意程式家族:XLoader 和 FakeSpy,其中XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密!
正式進入文章前,先考驗大家的眼力
◾國泰世華正版與山寨網址關鍵字比一比,先猜哪一個是正版?
☐ cathaybk
☐ cathay-bk
◾台新銀行正版與山寨網址關鍵字比一比:
☐ taishinbank
☐ taishinz
( 跟官方網址簡直是雙胞胎。😥)
◾ 解答:
國泰世華
✅ cathaybk
❌ cathay-bk
台新銀行
✅taishinbank
❌ taishinz
這波大量的網銀釣魚簡訊,除了利用網址相似度極高的網銀釣魚網站,騙取受害者帳號與密碼外,還會抓緊時間騙取用戶輸入由銀行發出、綁定信任裝置所需的一次性密碼(one-time password,OTP)簡訊,藉此進行非約定轉帳。
根據臺灣金融資安資訊分享與分析中心(F-ISAC)公布的資訊,至少發現6個假冒國泰世華的釣魚網站、17個假冒台新銀行的釣魚網站、11個假冒中國信託銀行的釣魚網站。
繼國泰世華銀行後,詐騙集團化身為台新銀行,再度進行詐騙,台新銀行被害人帳戶遭盜用報案有7件,財產損失達55萬2000元,諮詢與檢舉共計10件,刑事局研判,詐騙集團故意利用金融機構週五下班後到隔週一恢復營業的空窗期,讓被害人無法立即向銀行查證。
以下為兩則假冒台新銀行詐騙內文(可能隨時出現其他版本):
詐騙訊息1:
【台新銀行】您的網路銀行更新失敗,請立即輸入您的驗證碼以更新資料,超時請重新輸入 www[.]taishinz[.]com
詐騙訊息2.
【台新銀行】您好,由於網路銀行版本更新,請於2月6日前登入進行驗證否則將停用您的使用權限,超時請至臨櫃辦理www[.]taishinz[.]com
有受害人在 FB 公開自己被害的經過:「大家小心不要一時疏忽 我被騙了凌晨才發現帳戶被盜領一空,很無奈希望不要有人受騙了」「台新網銀綁兩個帳號錢全部被領完,一個晚上轉這麼多錢很恐怖,將近40萬。」
提醒您:台新銀行的正確網址為:
https://www.taishinbank.com.tw/
在這篇追蹤報導中 ,發現詐騙集團在網路釣魚網頁,要求輸入簡訊認證碼確認身分。歹徒在作案的手機輸入後,就可執行非約定轉帳,順利轉走 40萬。
10分鐘內未輸入立即失效的OTP認證模式(透過簡訊或電郵傳送的一次性密碼),卻因受害者一時心慌,一步一步掉入陷阱,讓社交工程(social engineering )手法得逞。