趨勢科技 TrendMicro | 資安趨勢部落格

【LINE惡作劇】「鈕承澤醜聞私密照曝光了」專家:人性,是最大的安全漏洞,別亂點!

2018 年 12 月 12 日2024 年 10 月 08 日趨勢科技 TrendMicro

「鈕承澤醜聞私密照曝光了~趕快看喔！不然隨時要被刪掉了」許多人的 LINE 收到這樣的訊息,你是不是因為好奇而點開了呢?

如果你點開該連結,會看到這個圖片:

雖然證實是惡作劇一場, 趨勢科技提醒:駭客攻擊的誘餌或標題都不脫主流大眾關心、或可以滿足人性偷窺欲望的本性,民眾需提高警覺。如果有親友在 LINE 群組裡散播該訊息,趨勢科技防詐達人會提醒用戶,別開啟該連結,最近許多熱門新聞事件,如果擔心不小心點選到惡意或詐騙連結,請馬上將防詐達人加入LINE 朋友,未雨綢繆,以免下次碰到真正的惡意連結,就得不償失了。

此類郵件或 LINE 訊息藉由勾起使用者的好奇心，一個郵件標題、一個附件檔名，就能讓使用者點擊滑鼠進行散播，我們稱之為社交工程陷阱( Social Engineering), 趨勢科技攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲，也沒有透過殭屍網路/傀儡網路 Botnet來散發垃圾郵件(SPAM)，而是由人為手動轉寄木馬植入程式。究其原因，原來該網址由電子郵件或 LINE 群組中的某位成員散發給許多該群組的郵件，再滾雪球般地逐漸散佈出去。

最可能被利用的素材包括政治人物、演員、企業家等知名人士的相關新聞等。名人八卦更是駭客的最愛, 「人性,是最大的安全漏洞」一點都不假,2012年政府單位以「李宗瑞影片，趕快下載呦！」測試信標題,導致 996 名員工好奇點閱「中招」，點閱員工需分十梯上2小時的資訊安全課程。繼續閱讀

虛擬修補：在漏洞遭受攻擊前加以修補

2018 年 12 月 12 日2018 年 12 月 04 日趨勢科技 TrendMicro

漏洞可能會對企業造成難以預料的影響。一但被攻擊也會危害到個人身份資料（PII）隱私，帶來嚴重的後果。它們不僅會損害公司信譽 – 還損害了儲存管理這些敏感資料基礎設施的完整性。

Equifax資料外洩事件就是個很好的例子。攻擊者藉由入侵其應用程式框架內的漏洞（CVE-2017-5638）來取得其網路和系統的控制能力。這次攻擊讓1.455億份美國公民及1520萬份英國客戶的PII被外洩，造成的財務損失估計達到4.39億美元。

是的，只需要一個有漏洞的端點、網路、伺服器或應用程式，就可能會造成百萬倍的影響。Shellshock、Heartbleed、Poodle和EternalBlue都是惡名昭彰的安全漏洞之一，為資料竊取病毒及其他攻擊打開大門。但還有其他更多更多 – 事實上，在2017年有1,522個被公開報告的漏洞。這些漏洞有929個透過趨勢科技的零時差計畫（ZDI）披露，嚴重程度被評為「嚴重」或「高」。

[年中資安綜合報告：2018年上半年所披露的202個資料採集與監控系統（SCADA）漏洞]

更新修補程式可以協助企業有效地降低這些威脅。但對許多組織來說，這仍然是個常見的問題。事實上，被訪談的組織平均需要197天來識別資料外洩。而監視物聯網（IoT）設備和工業物聯網（IIoT）系統的新增任務更加劇了防止資料外洩的難度。IT和安全團隊也可能會發現要在所有漏洞遭受攻擊前完成下載、測試和部署修補程式，同時還要保持系統、網路和伺服器正常運行幾乎是件不可能的任務。

零時差攻擊對企業造成的影響越來越大。但緊急/非常態更新以及虛擬化等緊急措施可能會造成運作停擺和額外的成本。此外還有法規遵循的問題，如歐盟一般資料保護法規（GDPR）所可能帶來的巨額罰款或支付卡產業（PCI）嚴格的修補要求。

繼續閱讀

購物季點擊”降價大促銷”前該注意的事

2018 年 12 月 10 日2019 年 11 月 27 日趨勢科技 TrendMicro

今年來到最後一季也代表了購物季節的來臨，有越來越多消費者因為網路購物的便利性而大量使用。在2017年，單單美國的網路購物銷售額就達到了2.3兆美元，預計全球網路銷售額到2021年會成長達到4.48兆美元。而今年預期可以在11月看到大規模的網路流量，而且消費支出將來到91.5億美元，黑色星期五 (Black Friday)和網路星期一（Cyber Monday）將會讓網路銷售額達到高峰。而不幸的，也可以預期駭客會趁此機會來好好利用這購物季節。

*編按:所謂的”黑色星期五或黑色星期五購物節 (Black Friday)”，指的是11月第四個星期四感恩節後的星期五, “網路星期一（Cyber Monday）”是每年感恩節後的第一個星期一，這兩個日子美國零售業者會推出各式降價大促銷活動。

「黑色星期五(Friday 13^th )」是每逢 13 號又碰到星期五的那一天,同時Friday 13^th黑色星期五也是電腦病毒的名稱。

購物季給予網路犯罪份子各種機會，從垃圾郵件到贈送給親友的電子設備，一個錯誤舉動就可能導致你的個人資訊落入壞人之手。以下是一些最常見的威脅及防禦它們的最佳作法。

把連網裝置當作禮物送出前,該遵循的三個原則

智慧型裝置成為禮物選項不再只是給兒童和青少年的娛樂用途，因為物聯網（IoT ,Internet of Thing ）裝置也是給大人相當實用的禮物。從手機到智慧家電，還是有些廠商並沒將安全功能放在心上，這可能會讓使用者面臨各種網路威脅。

在將它們當作禮物送出去前，最好先想一想並遵循下列三個指導原則：

計劃送智慧裝置給兒童和青少年時，請檢查它會向使用者要求的資料。這些資料是否跟功能有關，還有廠商如何儲存和保護這些資料。
給予並教導。除了贈送禮物給年輕使用者之外，還要提醒他們負責任地使用這些裝置，而且要安全地在網路上使用它們。
註冊智慧裝置帳號時，確保使用跟其他網路帳號不同的強帳密。安裝廠商提供的最新修補程式來更新韌體，並且要連接安全的網路。

相關文章:
保護智慧家庭：家庭使用者與裝置製造商的安全祕訣

可能攻擊物聯網 (IoT) 的駭客的五種嫌疑犯

不要讓你的新冰箱癱瘓網路

點開特價郵件訊息前,給自己三個提醒

消費者可能會在這購物季節收到廠商的購買確認郵件或警示訊息。駭客也可能製作看似合法的電子郵件，這些郵件可能會將你帶到詐騙網站，或利用特價訊息及緊急通知進行網路釣魚(Phishing)來取得資料。

開啟這些郵件、點擊連結或送出任何資訊前的三個提醒：

不要馬上點入郵件內的連結。將常去的網站加入書籤或直接輸入已知的代表網址或電子郵件地址。使用詐騙檢查程式來掃描可疑的電子郵件。
透過已知的聯絡號碼來打給企業或組織，確認是否有通過電子郵件來請求資訊或進行認證，或是否有郵件內提到的促銷活動。小心那些聲稱來自某公司要求你提供帳密的電話。銀行等正常企業絕不會透過電話或電子郵件來要求你的密碼。
限制你在網路上所分享的個人資訊量。

繼續閱讀

從中攔截：能源與水資源基礎架構漏洞

2018 年 12 月 06 日2018 年 11 月 27 日趨勢科技 TrendMicro

能源與水資源是我們生活當中最重要的兩大關鍵基礎架構 (Critical Infrastructure，簡稱 CI)。近年來，這兩大產業皆經歷了一些必要的變革以因應科技的最新發展，同時也改善天然資源開採及輸送的方式。目前，這些變革正朝著連網系統的方向發展，尤其開始整合了工業物聯網 Industrial Internet of Things (IIoT) 技術。能源與水資源產業的持續發展，已讓個人和企業獲得更有效率、也更穩定的資源供應。然而，卻也因為如此，想要妥善保護這些關鍵基礎架構背後的系統，也變得更加困難。隨著 CI系統的漏洞不斷增加，尤其是監控與資料擷取 (SCADA) 系統人機介面 (HMI) 的漏洞，我們有必要好好檢視一下這些關鍵產業所面臨的風險。

我們經由公開來源的情報 (OSINT) 即可一窺能源與水資源產業所面臨的一些問題。藉由網際網路搜尋引擎 (主要為 Shodan) 與實體定位技術，趨勢科技找出了許許多多暴露在外且容易遭到攻擊 HMI 系統，這些全都屬於中小企業所有。這顯示了網路資安對整體供應鏈的每一階層以及每一基礎架構產業有多麼重要。

完整的調查結果與相關影像，請參考趨勢科技的完整報告：「暴露在外而可能遭受攻擊的基礎架構：能源與水資源產業」。本文將列舉幾個我們在全球各地一些能源與水資源相關產業發現暴露在外的 HMI 系統，以及這些案例將對基礎架構供應鏈帶來什麼影響。

暴露在外而可能遭受攻擊的 HMI 系統

在水資源產業，我們在全球各地都發現一些暴露在外的 HMI系統。這些系統包括各種水資源系統的監控介面，例如：水加熱、地熱、抽水、水過濾、海水逆滲透及消毒等等。繼續閱讀

Google Play出現假語音應用程式，竊取姓名電話住址等個資

2018 年 12 月 05 日2018 年 12 月 04 日趨勢科技 TrendMicro

趨勢科技注意到Google Play上有好幾個偽裝成語音訊息平台的App(應用程式),會自動跳出假調查和進行欺詐性廣告點擊。這些惡意應用程式變種從10月開始陸續出現，未來可能發動殭屍網路等惡意攻擊。雖然目前感染數量仍不大嚴重，但因為其快速的發展及在行動生態系內的散播行為，仍須持續觀察相關應用程式上傳和使用者下載的狀況。