作者: 趨勢科技TrendMicro

本周資安新聞週報重點摘要，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
《資安趨勢部落格一周回顧》

熟人分享的 Google Docs 連結,一點就中新型態網路釣魚!

• 懶科技：網路報稅成主流，報稅季必知懶人包

• • • • 200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式
      • 最新勒索病毒: WinSec利用電子商務平台散布,贖金用 PayPal 支付
      • 比 Mirai 更狠, BrickerBot 要讓智慧型家電,監控攝影機… 等 IoT 裝置,永遠變磚塊!
      • 最新勒索病毒 Mole, 利用 Google Doc 散播!

    

  • 企業如何在報稅季,避免 BEC 變臉詐騙?
  • 人工智慧年度論壇研討會開幕 趨勢科技創辦人張明正籲加速人才養成 

• 後門敞開：物聯網的另一項挑戰

人工智慧年度論壇研討會開幕 趨勢科技創辦人張明正籲加速人才養成      電腦硬派月刊

有了AI，人生還有意義嗎？        遠見雜誌

惡意病毒BrickerBot直接把 智慧家電變磚 回復原廠設定是無法解決的     電腦王阿達

勒索病毒耍孤僻  不要贖金還逼打電玩    中央社即時新聞網

apple不是apple？「同形異義字」攻擊令你連上假網站        關鍵評論網

駭客假冒台灣廣達 穀歌、臉書被騙30億元    中時電子報網

酒店經紀組詐欺車手集團 假冒親友Line借款行騙 自由時報電子報

Google遭新式釣魚信攻擊 廣大用戶怨被駭      台灣蘋果日報網

駭客勒索Netflix！影集被盜，股價不跌反漲    匯流新聞網

遭控害希拉蕊落選 美FBI局長：噁心       中時電子報網

研究：逾8成組織今年第一季曾遭受過DDoS攻擊 iThome

未來，DDoS攻擊將如何演進並影響在線遊戲廠商？      每日頭條

軍方網絡遭駭20天 韓當局渾然不知        中時電子報網

抓到了！駭進南韓國防部 北韓網軍幹的  tvbs新聞網

北韓射彈3連敗  陸專家：並非美國搞鬼        中央社即時新聞網

CEO的資安惡夢 IT系統被中斷  今日新聞網

Intel 為企業用戶補上了一個存在十年之久的安全漏洞   Engadget中文版

微軟越來越慢了：花了6個月才修復Office嚴重漏洞    新浪網(臺灣)

研究：數百款Android程式潛藏開放埠漏洞，允駭客偷走手機內的資料、控制裝置 iThome

物聯網變身黑暗森林：殭屍網絡、守護者、毀滅者層出不窮        每日頭條

Watson認知物聯網是一張安全的網嗎？   iThome

八成民眾贊同政府應該立資安專法，但七成民眾沒聽過資安法    iThome

國銀業者重視資安與綠能 紛紛通過重要認證  聯合新聞網

比特幣採擴設備Antminer被爆有後門，恐使全球7成採礦能力停擺   iThome

BW專稿/ISACA調查：網路安全技能不足讓四分之一的機構出現6個月曝險期 中央日報網路報

 

 

 

 

 

人工智慧年度論壇研討會開幕 趨勢科技創辦人張明正籲加速人才養成      電腦硬派月刊

全球網路資安解決方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）創辦人暨董事長張明正，今日於暨南國際大學出席「人工智慧年度論壇研討會（AI Forum)」時再度強調，面對新一波全球科技浪潮-人工智慧（AI）之加速發展階段，台灣應積極強化AI領域人才培育工作，才能迅速與國際人才需求接軌，同時企業也必須調整步伐，在產業革新之關鍵時刻，主動打造科技菁英的未來進路。

<回到新聞條列重點>

有了AI，人生還有意義嗎？        遠見雜誌

「互聯網現在只是開胃菜，真正的主菜是AI（人工智能）！」今年4月1日在深圳IT領袖峰會上，大陸BAT（百度、阿里巴巴、騰訊）三大巨頭李彥宏、馬雲和馬化騰，正如火如荼地討論未來科技。

<回到新聞條列重點>

惡意病毒BrickerBot直接把 智慧家電變磚 回復原廠設定是無法解決的     電腦王阿達

講變「磚」應該不少人都聽得懂吧，在過去智慧型產品，只要韌體上出問題（大多都是因為改機或刷機而造成），就有可能發生「硬體可以通電開機，但是系統卻無法正常啟用」的狀況，這種狀況我們就俗稱「變磚」，現在就有病毒，是專門來讓你家裏面的智慧家電變磚的。

<回到新聞條列重點>

勒索病毒耍孤僻  不要贖金還逼打電玩    中央社即時新聞網

在勒索病毒把網友當搖錢樹的今天，幾乎每個犯罪分子都想盡辦法來分一杯羹，但有 3隻勒索病毒特別與眾不同，它要的不是贖金，而是要受害者玩指定遊戲得高分或讀完資安文章。

<回到新聞條列重點>

apple不是apple？「同形異義字」攻擊令你連上假網站        關鍵評論網

аррIе.com可以不是真「apple」？中國資安研究人員Zheng Xudong近日公開調查，指他在數月前發現三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞，令罪犯可以製作出「同形異義字」的假Apple釣魚網站，加上「安全」HTTPS認證，看起來更和真的「apple.com」一樣！

<回到新聞條列重點>

駭客假冒台灣廣達 穀歌、臉書被騙30億元    中時電子報網

網路詐騙當道，駭客也無所不在，但被騙的不只是市井小民甚至連網路大公司也深受其害，有美國媒體揭露，一名外籍駭客利用台灣廣達電腦(Quanta Computer)的名義騙過谷歌(google)和臉書(facebook)，得手近美金一億元(台幣約30億)。

<回到新聞條列重點>

酒店經紀組詐欺車手集團 假冒親友Line借款行騙 自由時報電子報

警方表示，刑事局統計去年國人遭詐騙案件，發現民眾最常遭受詐騙手法依序為「假冒親友名義」、「ATM解除分期付款設定」和「假網拍」等情形。其中，「假冒親友名義」排名第一，是詐騙集團慣用手法，歹徒盜用民眾LINE、臉書等帳號後，冒充本人向好友名單發送訊息，要求親友匯款救急；或以隨機打電話，要對方「猜猜我是誰？」等被害人說出親友名字後，就順勢假冒其人，再借錢。

<回到新聞條列重點>

Google遭新式釣魚信攻擊 廣大用戶怨被駭      台灣蘋果日報網

網路巨擘Google近日有眾多用戶遭新式釣魚手法攻擊，不少用戶收到朋友或同事寄來電郵，分享Google文件檔案，不疑有他點開文件，結果帳戶遭駭客控制。Google母公司Alphabet周三警告用戶，對這類電郵務必提高警覺。

<回到新聞條列重點>

駭客勒索Netflix！影集被盜，股價不跌反漲    匯流新聞網

Netflix在美國最熱門的影集之一《勁爆女子監獄》（Orange Is The New Black）預計在6月上架第5季，卻在上週透過Pastebin和GitHub平台被流出。駭客組織「黑暗霸主」（thedarkoverlord）同時在推特貼文，表示這就是他們所為，原因是Nexflix不願意付他們贖金，並且點名其他影視發行大咖，包括福斯（FOX）、國家地理、ABC電視網等，要他們等著瞧，這次玩真的、不是演習。

<回到新聞條列重點>

遭控害希拉蕊落選 美FBI局長：噁心       中時電子報網

美國聯邦調查局局長柯米（James Comey）3日出席參議院司法委員會監管聯邦調查局的聽證會時表示，他對希拉蕊指責「害」她落選，感到些微噁心，但他也表示不後悔當初的決定。

<回到新聞條列重點>

研究：逾8成組織今年第一季曾遭受過DDoS攻擊 iThome

Neustar的第一季全球DDoS攻擊報告指出受訪的1010個組織，84%表示曾受到DDoS攻擊，在這些攻擊中，45%的攻擊流量超過10Gbps，1成5超過50Gbps，比例為去年的兩倍。

<回到新聞條列重點>

未來，DDoS攻擊將如何演進並影響在線遊戲廠商？      每日頭條

Mirai殭屍網絡正是其中的典型案例。其在最近幾個月中曾涉及一系列DDoS攻擊活動，其中包括去年10月針對DNS服務供應商Dyn的大規模襲擊。該殭屍網絡規模龐大，據稱擁有高達30萬台遭受入侵的物聯網設備。如果黑客以栽種方式修改其原始碼以將目前尚未使用的眾多其它受感染設備納入網絡，其設備規模將進一步顯著擴大。

<回到新聞條列重點>

軍方網絡遭駭20天 韓當局渾然不知        中時電子報網

南韓軍方2日承認，關於去年9月發生的軍事機密網絡泄露事件（應對韓半島爆發全面戰爭的《作戰計劃5027》等），南韓國防部監察團表示，北韓駭客突破韓軍電腦網絡樞紐——國防綜合數據中心（國防網，DIDC）後，將資料偷走，在大約20天後韓軍當局發現時，情報一直在外泄。

<回到新聞條列重點>

抓到了！駭進南韓國防部 北韓網軍幹的  tvbs新聞網

經常對外嗆聲的北韓倒底有多少軍事實力？其實外界看法不一，但北韓駭客的實力大家都不敢輕忽，根據了解，北韓有一批訓練精良的駭客大軍隨時都能駭進全世界，南韓國防部去年被駭，經過近一年的調查，確定就是北韓駭客做的。

<回到新聞條列重點>

北韓射彈3連敗  陸專家：並非美國搞鬼        中央社即時新聞網

北韓4月3度試射飛彈失敗，有分析認為是美國透過網路攻擊在背後搞鬼。但中國大陸飛彈技術專家楊承軍表示，北韓飛彈資訊化水準不高，美國以駭客攻擊干擾是無根據的猜測。

<回到新聞條列重點>

CEO的資安惡夢 IT系統被中斷  今日新聞網

會計師事務所調查，面對駭客攻擊事件頻傳，不少企業領袖對資安問題相當關心，其中，各CEO最擔心的3種狀況，以IT系統遭中斷與干擾居冠、資安系統漏洞影響業務資訊居次、違反個資法居第3。

<回到新聞條列重點>

Intel 為企業用戶補上了一個存在十年之久的安全漏洞   Engadget中文版

早些時候，Intel 發佈了一項韌體更新，據稱其最主要的目的，是解決一個在商務 PC 上已經存在了約十年的安全漏洞。在更新說明中，官方提到這一漏洞在 Active Management Technology、Standard Manageability、Small Business Technology 裡都有，而三者恰恰都屬於 Intel 為企業系統而設的處理器功能套件。是說，它們本來的作用是讓 IT 部門更好地管理公司的電腦，而漏洞的存在讓心懷不軌的駭客也有了可乘之機。

<回到新聞條列重點>

微軟越來越慢了：花了6個月才修復Office嚴重漏洞    新浪網(臺灣)

該漏洞於2016年10月報告給微軟。利用這一漏洞，惡意軟體可以隱藏在.doc文件中，導致Windows和Office用戶面臨風險。當受害者打開.doc文件時，惡意軟體能自動連接伺服器，下載HTML應用，導致黑客獲得設備的全部控制權。這一漏洞存在於Office的每個版本。

微軟於4月11日發佈了這一漏洞的補丁，而這花了整整6個月時間。

<回到新聞條列重點>

研究：數百款Android程式潛藏開放埠漏洞，允駭客偷走手機內的資料、控制裝置 iThome

密西根大學研究團隊掃描Google Play上使用開放埠的行動程式，發現其中有410款沒有妥善保護開放埠安全，另以手動檢視確認有開放埠漏洞的則有57款，可能導致駭客遠端入侵裝置竊取資料。

<回到新聞條列重點>

物聯網變身黑暗森林：殭屍網絡、守護者、毀滅者層出不窮        每日頭條

針對物聯網設備編寫的蠕蟲越來越多，自2016年Dyn被DDoS斷網後，幾乎每月都能聽到新的變種。這些蠕蟲做的事情各種各樣，有構建殭屍網絡刷流量打DDoS的，有加固設備的，還有rm格盤式變磚攻擊的。下文是gizmodo.com對近期物聯網安全狀況的概覽介紹，值得關注。需要指出，文中作者很是崇拜變磚蠕蟲BrickerBot的作者，嘶吼對此持保留意見，或許加固的做法會更好一些。

<回到新聞條列重點>

Watson認知物聯網是一張安全的網嗎？   iThome

過不了多久，我們的世界就將遍布數以百億計的聯網設備。它們將無處不在，為眾人所有，並且通過開放的互聯網連接至企業的系統。

當如此之多的設備成為物聯網中的節點，我們該如何確保它們的安全呢？這一點單憑人類一己之力恐怕無法做到。物聯網時代將需要一種全新的認知安全，讓機器學會如何照顧彼此。

<回到新聞條列重點>

八成民眾贊同政府應該立資安專法，但七成民眾沒聽過資安法    iThome

從消基會和資策會資安所聯手進行的問卷調查顯示，八成民眾認同應該要制定資安專法，不過，資安保護相關條文中，有超過九成的民眾知道個資法，對其他資安保護法律所知有限。

<回到新聞條列重點>

國銀業者重視資安與綠能 紛紛通過重要認證  聯合新聞網

國銀業者重視資安與綠能，紛紛通過重要認證。元大人壽今年正式通過由英國標準協會（下稱BSI）認證的「ISO 27001 資訊安全管理系統(Information Security Management System, ISMS)」國際標準認證，玉山銀玉山世界卡榮獲減碳標籤、碳中和雙認證。

<回到新聞條列重點>

比特幣採擴設備Antminer被爆有後門，恐使全球7成採礦能力停擺   iThome

研究人員揭露比特幣採礦設備Antminer有一後門程式Antbleed，每隔1至11分鐘回傳Antminer使用資訊以確認採礦者的身份，若身份驗證錯誤就會從遠端關閉採礦功能，若遭到有心人士利用將影響市場上7成的採礦能力。

<回到新聞條列重點>

BW專稿/ISACA調查：網路安全技能不足讓四分之一的機構出現6個月曝險期 中央日報網路報

國際電腦稽核協會(ISACA) Cybersecurity Nexus (CSX)進行的網路安全勞動力最新調查顯示，僅有59%的受訪機構表示，每個網路安全職位至少收到五名應徵者的申請，收到20個以上應徵者申請的機構僅占13%。相對的，調查顯示大多數的公司職缺都有60至250名應徵者。ISACA 2017年網路安全現狀(State of Cyber Security 2017)報告顯示，37%的受訪者表示，不到四分之一的應徵者具有保障公司網路安全的相關資格，而這一事實也讓這一問題更加複雜。

<回到新聞條列重點>