作者: 趨勢科技 TrendMicro

Android上的間諜軟體測試版會竊取簡訊

趨勢科技 TrendMicro

趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。

 

趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。
趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。
從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。
從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。

 

繼續閱讀

【圖表】LinkedIn被盜帳號的前30大常用密碼(F開頭髒話和 ILOVEOU 都不是好主意)

趨勢科技 TrendMicro

作者:趨勢科技雲端安全副總裁Dave Asprey

來自滲透測試軟體公司 – Rapid7所做的超棒資料圖表,證明了有些使用者是如何地忽略密碼安全。像我們這些內行的安全專家都了解強密碼的重要性,但你如果不做密碼強度檢查,你會發現使用者的行為其實很有趣。

而且有另外一個常見的問題是,現在足夠「安全」的密碼已經難記到需要寫下來,或是存在某處的檔案內。比較好的做法是用兩三個以上無關的單字加上間隔用的字母混合成一個長密碼。這也很難破解,而且比較容易記住,你就不用將它寫下來而造成另一個安全上的漏洞。

或者是用更好的方法,你可以用我們的密碼管理程式來徹底解決這問題!

六百四十六萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上

LINKEDIN密碼解譯

發生什麼事了?

646萬筆被盜的LINKEDIN密碼被貼到俄羅斯的駭客論壇上

16.5萬筆密碼雜湊值(Hash)已經被破解

學到的教訓

糟糕的密碼

我們看到網友漸漸都在使用過度簡單的密碼。事實上是許多人都直接用單字當密碼,而這早已證明是種糟糕的密碼。密碼破解演算法早已收錄了這些糟糕的密碼了

前卅大被破解的密碼 

前卅大被破解的密碼

* 部分是經過修改的單字,不過你可以猜出原本的單字

設定密碼常見的問題

設定密碼常見的錯誤

髒話密碼

使用髒話當密碼有加倍的壞處,不僅因為這是種弱密碼,而且當密碼外流時也會讓使用者丟臉。你不會想用罵老闆的話當成密碼的,這種密碼可能會讓你需要用LinkedIn去找另一份工作!而且罵人的話也通常都在暴力破解字典的前端

繼續閱讀

趨勢科技防止用戶遭到最新的 Internet Explorer 主動式內容漏洞攻擊

趨勢科技 TrendMicro

上週Microsoft 發表了定期的每月修補程式更新,修正了許多 Internet Explorer 的漏洞 (MS12-037 更新程式),除此之外,Microsoft 也公布了另一個目前仍無修補程式的 IE 漏洞。Microsoft 安全性摘要報告 (2719615) 明確指出 Microsoft XML (MSXML) Core Services 含有漏洞。MSXML 負責提供一組符合 W3C 標準的 XML API,讓使用者能使用 JScript、VBScript 及 Microsoft 開發工具來開發 XML 1.0 標準的應用程式。

Microsoft XML Core Services 當中有一個遠端程式碼執行漏洞,因為它可能會存取一個位於未初始化記憶體內的 COM 物件。當駭客攻擊此漏洞得逞時,就能以目前登入使用者的身分執行任何程式碼。 繼續閱讀

移動中的資料:雲端加密的另一面

趨勢科技 TrendMicro

作者:趨勢科技雲端安全副總裁Dave Asprey

 

移動中的資料:雲端加密的另一面

 

你可能已經從我的部落格文章裡了解到加密儲存在雲端服務或傳統資料中心伺服器上資料的重要性了,但我很少討論到關於加密移動中資料的問題,許多人會認為「只要我們有用SSL / TLS和IPSec,就可以解決這問題。」事實上這只解決了部分問題。在雲端環境下使用這些技術並不夠完整,因為這些技術通常只保護網路流量到雲端網路的邊界,而在雲端網路內部伺服器間的流量就未受保護了。

 利用通道(Tunnel)的作法在雲端網路上並無法真正發揮作用,由於這類技術是端點對端點的作法。而「端點」在雲端內的流動非常快,所以利用端點對端點的技術很可能會導致雲端網路內擴展、管理和性能上的問題。

 我對Certes Networks要如何解決這問題非常好奇。他們剛剛發表vCEP(Virtual Certes Enforcement Point)。根據他們所公布的資料「vCEP是一款虛擬設備,可以讓企業保護敏感的網路資料在虛擬伺服器間以及雲端間流動,而不需要使用通道技術。它可以加密網路流量,不管是從IaaS雲端基礎架構經由廣域網路到資料中心,還是在雲端網路內部伺服器間的流量。」

 什麼?加密網路流量而不需要用到通道技術?OSI模型是不是在發抖了。

 雖然他們並不是家喻戶曉的名字,Cetres Networks的確是網路加密方面的領導者,他們在幾年前就有了第一個群組加密解決方案。基於群組的加密就不需要用到點對點金鑰交換,所以也不需要通道技術,讓加密移動中資料構變得具備擴展性和通透性。既然雲端網路上的設定會一直變動,可通透的加密變得非常重要。 繼續閱讀

假身體年齡測驗真騙個資!! Pinterest網頁的好康陷阱,以問卷調查為餌

趨勢科技 TrendMicro

Pinterest網站日益爬升的訪客量也是它變成網路犯罪份子覬覦目標的原因。三月時,趨勢科技發現網路詐騙會利用知名網站假貼文來誘騙使用者連到問卷調查詐騙網站(星巴克、奢華名牌COACH免費送!新社群網站Pinterest真慷慨? )。而最近發現的問卷調查詐騙則是利用了「pinterest」。

 

最近發現的問卷調查詐騙利用「pinterest」
最近發現的問卷調查詐騙利用「pinterest」,曾經轉釘過上面這些相片的使用者,很可能也在無意間幫助散播了這貼文。

 

曾經轉釘過上面這些相片的使用者,很可能也在無意間幫助散播了這貼文。

 

另外,趨勢科技還發現貼文利用像是bit.ly和goo.gl.的縮網址服務。一旦點擊了這些短網址,就會被導到下列網址:

 

  • https://pinterest.co{BLOCKED}t.info/?419
  • https://pinterest.com-{BLOCKED}key.info/Thank-You/fb/
  • https://pinterest.co{BLOCKED}s.info
  • https://pinterest.{BLOCKED}one.info
  • https://pinterestgift.{BLOCKED}hing.info
  • https://pinterests.{BLOCKED}onus.info

 

一旦點選了連結,使用者會被導到一個偽Pinterest網頁,上面號稱提供獎品、優惠券、禮品卡和其他好處:

 

一旦點選了連結,使用者會被導到一個偽Pinterest網頁,上面號稱提供獎品、優惠券、禮品卡和其他好處
一旦點選了連結,使用者會被導到一個偽Pinterest網頁,上面號稱提供獎品、優惠券、禮品卡和其他好處

 

 

這假網頁作的就像是真的Pinterest網頁一樣,假網站上有搜尋欄位、Add+和About,不過還有些是純粹的圖檔,並無法點選。可供點選的連結會導向問卷調查詐騙網頁,像是身體年齡測驗

可供點選的連結會導向問卷調查詐騙網頁,像是身體年齡測驗。
可供點選的連結會導向問卷調查詐騙網頁,像是身體年齡測驗。

繼續閱讀