[影片內容]
嗨!這是趨勢科技研究部門的Mark Nunnikhoven,我想跟你們談談橫向移動這概念。
我之所以想要討論這個話題,是因為我最近幾天進行了一些談話,去確實地讓人們真正了解網路犯罪分子是如何對企業進行犯罪行為。特別是他們是如何發動攻擊。
不要誤會,這並不是想要怪防禦方或是普羅大眾。這裡該怪的是好萊塢,因為我們不可避免地會看到好萊塢電影這樣演……駭客用黑帽掩蓋著自己的臉,待在黑漆漆的地方,或許是地下室,天知道他們到哪找到這些地方來進行攻擊,然後就直接進行攻擊。
繼續閱讀作者: 趨勢科技 TrendMicro
保障工業物聯網 (IIoT) 安全:防範醫療界 IIoT 風險
為了延長人類壽命、增進人類福祉,醫療科技隨時都在創新突破,提供最先進的醫療服務和治療方法。正如許多其他產業一樣,工業物聯網(IIoT) 正迅速帶動醫療及醫藥界網路與資訊基礎架構的轉型。隨著 IIoT 的導入,醫療資料及資訊的存取更加便利且隨手可得,隨時都能監控病患的最新狀態,即時分享最新的治療進展。
然而,IIoT 的快速普及,也並非全無風險。醫療相關單位首先必須了解 IIoT 若未建置妥當將帶來什麼樣的危險。在水、電、瓦斯等公共事業領域,IIoT 的威脅很可能造成連鎖效應,波及廣大民生用戶。
在醫療界,這類風險也許可以大幅降低,但後果卻同樣會危及生命安全。
繼續閱讀人道救援組織及其他非政府組織遭網路釣魚攻擊
駭客針對數個人道救援組織及非政府組織發動了網路釣魚攻擊,包括了聯合國兒童基金會(UNICEF)、聯合國世界糧食計劃署以及其他知名組織如紅十字會與紅新月會國際聯合會。Lookout的研究人員揭示了這波網路釣魚攻擊。
這波攻擊活動從2019年3月以來就一直在進行,用來託管惡意軟體的兩個網域與之前也託管過惡意軟體的IP區塊及ASN(自治系統編號)有所關聯。
駭客所用的釣魚網頁包含了偵測使用者是否使用行動裝置的程式碼,這樣就能夠顯示特定內容給行動裝置。密碼欄位也包含了鍵盤側錄功能,所以即便網站訪客沒有完成登入程序,駭客也能夠取得密碼。再將密碼和使用者的郵件地址一起傳送到命令和控制(C&C)伺服器。
繼續閱讀Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚
安全研究實驗室(SRL)的研究人員展示了應用程式(Amazon Alexa上的 Skills和Google Home上的 Actions)如何經由某些裝置功能來產生安全問題。
SRL的報告顯示可以利用下列方式來偷走帳號密碼或付款資訊等敏感資料:
- 製作一個正常的應用程式並通過Amazon或Google的審查
- 在審查通過後修改應用程式,將歡迎訊息偽裝成錯誤訊息(如「你所在的國家/地區目前不提供此功能」),並且加上長時間的暫停(如讓應用程式讀無法發音的字元)
- 透過在應用程式內設定訊息來欺騙使用者(像是「裝置有重要的安全更新可用。請先說開始更新,接著輸入密碼。」),這會讓使用者洩露敏感資料
- 將取得的資料作為槽值(slot value,使用者的語音輸入)傳送給攻擊者
假「雙子殺手」線上看,真騙 LINE 帳密!
總是在搜尋「免費線上看」、 「線上免費看電影」 等關鍵字嗎?詐騙集團聽到你的需求了,首波推出的是打著”李安與威爾史密斯聯手!「雙子殺手」(gemini man )線上看!”的假影音網站 。 該網址以短網址在 LINE 散播 hxxps://tinyurl.com/****3fr9,實際網址是 hxxps://linemestickershop.****ly.com/,請注意還用 「 https:// 」開頭,用戶應該多加留意這些神偽裝, APWG報告:近六成網路釣魚網站,使用 HTTPS 協定 ,目的就是魚目混珠,讓受害人降低戒心,開啟網站 。
線上看電影注意! 想免費看片,當心 LINE 帳號被騙
「 請於先登入 LINE 後完成連動,即可免費線上看高清影片 」 ?
為了讓受害人點入預先設定好的 假 LINE 登入頁面,網頁中除了跟播放相關的按鈕之外,無論是”喜歡看雙子殺手的人也喜歡看 ” 的推薦影片或是社群媒體分享按鈕,都沒有任何連結 。
該釣魚網站聲稱:「請於下方先登入 LINE 後完成連動,即可免費線上看高清影片 」 ,當你貢獻了你的 LINE 帳密,詐騙集團完成了任務,你什麼都沒看見,卻損失了個資。甚至你的 LINE 再也進不去了,詐騙集團開始冒用你的名字,招搖撞騙 。
