如何確定你連上的是官方網路銀行應用程式?

2015 年 12 月 01 日2015 年 12 月 01 日趨勢科技 TrendMicro

每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」的假銀行應用程式

當你在Android手機上使用網路銀行時，你認為銀行自己的應用程式是安全連接你帳戶的最佳方法。這的確是 – 如果它真是銀行自己的應用程式。

但如果它不是呢？萬一它是假的？而且你要怎麼知道？

在2013和2014年，有超過4000名韓國行動銀行的使用者被誘騙觀賞電影「名嘴出任務（The Interview）」，不知不覺下載了假應用程式，從他們的帳戶中吸走了數百萬 – 這可以從趨勢科技行動威脅團隊的Simon Huang發表於2015年的白皮書「韓國假銀行應用程式騙局」中看到。

這些應用程式由來自中國吉林省延邊的惡意集團所製造。它們看起來和運作起來就跟真的一樣，但卻會偷走使用者資料，包括手機號碼、帳戶名稱和號碼以及登錄憑證，這些只是從使用者帳戶中竊取金錢的前奏。
【延伸閱讀】中國「延邊幫」以行動裝置惡意程式偷走南韓網銀用戶數百萬美元

這問題在發展中國家很嚴重，特別是無法訪問Google Play的地方，那裡的使用者必須從無法確保自己網站沒有假銀行應用程式的第三方商店來安裝應用程式。結果呢？根據趨勢科技的行動應用程式信譽評比服務（MARS）所收集的資料，每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」過的假銀行應用程式。繼續閱讀

《資安新聞週報》勒索軟體在臺猖獗，上半年13萬個裝置中標/銀行惡意程式持續肆虐台灣也成受駭國家之一

2015 年 11 月 30 日2015 年 12 月 17 日趨勢科技 TrendMicro

歡迎來到資安新聞週報，本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。 news2

趨勢：勒索軟體在臺猖獗，上半年13萬個裝置中標 iThome

最近有一則訊息在工程師中廣為流傳，那就是臺北市某公司的會計部門同仁，因為點擊一則iPhone得獎的詐騙郵件後，導致公司的ERP系統被勒索軟體加密，甚至於連員工付錢都無法順利解密，造成公司資料損失，硬碟必須格式化、系統必須重灌的慘劇。根據資安公司趨勢科技預測，勒索軟體對個人和企業的威脅，到2016年都不會減緩，也會出現更針對個人和企業商譽威脅的勒索軟體 Ransomware，贖金將遠遠超過現有勒索軟體勒索300元比特幣的金額。

駭客3大攻擊手法曝光綁架硬碟要脅付贖金雅虎奇摩(科技)

趨勢科技整理出駭客最愛的3大攻擊手法，其一就是「惡意網站」，以趨勢科技的資安數據資料顯示，台灣在全世界是點選惡意網址排行第3名的國家，雖然惡意網站、網址的攻擊已經相當「老派」，但仍會有許多網友「中招」。

LOL遭襲損失418萬駭客判罰6萬元自由時報電子報

24歲男子胡鈺祥去年以DDoS攻擊台灣競舞娛樂公司旗下的遊戲「英雄聯盟（LOL）」，造成該公司損失418萬9576元，基隆地院法官審理後，認為胡男犯後態度良好，因此依無故干擾他人電腦相關設備罪，判有期徒刑2月，得易科罰金6萬元。

胡男去年6月幫其他玩家代打LOL，被勁舞公司察覺而封鎖其帳號，引發不滿，利用購得的軟體對LOL發動DDoS攻擊，大量封包同一時間佔滿伺服器頻寬，導致斷線，造成許多玩家無法上線，勁舞公司自估損失418萬9576元。

銀行惡意程式持續肆虐感染美、英、日網銀使用者眾台灣也成受駭國家之一 C4IT News Channel

每年年底最重要的資訊消費展「台北資訊月」，即將在十一月二十八日至十二月六日於台北世貿展覽館盛大展出。全球網路安全領導品牌趨勢科技年度產品趨勢科技PC-cillin 2016雲端版，獨家雲端截毒技術提供領先業界平均50倍的防禦速度並擁有全球最高病毒攔截率99.8%，更率先支援微軟最新Windows 10作業系統，傲視全球。在資訊月期間為回饋消費者，趨勢科技團隊祭出誘人現購優惠，眾多超值獨家贈品只在台北資訊月攤位(攤位號碼：世貿一館D814、B826)，千萬別錯過！
【延伸閱讀】12 個惡名昭彰的網路銀行木馬與五個不讓存款人間蒸發的方法

《科技》銀行惡意程式，駭進台灣中時電子報(科技脈動)

從趨勢科技趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示，自2014年十月起DRIDEX此銀行惡意程式即透過惡意電子郵件開始危害網路銀行的使用者，在過去三個月內於美國、英國及日本受感染的使用者占全部感染數45%以上，台灣也列入受害國家之中。

超懶駭客！請假回信泡咖啡全靠程式自動處理自由時報電子報

如果超過晚上 9 點公司電腦還是維持登入狀態，系統就會自動發送訊息給他老婆，有三個理由可切換使用，包含「努力工作中」、「有個功能要提交」、「有人又弄壞系統了」。

一名自稱 Narkoz 的人最近在 GitHub 公開了一批程式腳本，這些程式腳本的用途讓人相當訝異：包含自動回覆客戶郵件、發送請假訊息、應付老婆來電、以及自動泡咖啡！

【延伸閱讀】帳戶被國家級駭客攻擊？現在 Facebook 會主動警告！

旅館業資料外洩連環爆 ! 希爾頓全球4500家飯店POS恐全遭殃 iThome

最近顯然是飯店業者資訊安全的多事之秋。不到一週前喜達屋集團才出面承認POS系統遭惡意程式攻擊竊取客戶信用卡資料，24日，希爾頓集團亦主動聲明：我們也中毒了！

【延伸閱讀】< IoE萬物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in

智慧錶易遭駭孩童陷綁架危機華視全球資訊網

智慧型手錶問世後，很多家長買來掌握孩子行蹤，一方面也能讓小孩、用手錶發出求救！但資安專家卻發現，一些智慧型手錶的軟體安全防護不夠，容易被駭客入侵，反而可以掌握學童的動向，輕易綁走小孩。

【延伸閱讀】< IoE 萬物聯網新趨勢 >關於智慧型手錶所要想到的事情

IS「暗黑網站」竟被駭客入侵改賣威而剛！中時電子報網

IS一個「暗黑網站」則遭駭客入侵，被銷售威而剛和百憂解的廣告取而代之，並要這群極端份子「冷靜下來」。而該網站上周才開始號召新成員，短短不到1個禮拜就被駭，據知這是第一次有「暗黑網站」遭駭客入侵。繼續閱讀

雲端防護：到底該不該修補…

2015 年 11 月 30 日2015 年 11 月 30 日趨勢科技 TrendMicro

讓我們再來談談 Gartner 研究報告中所提如何保障 Amazon Web Services 雲端工作負載安全的最佳實務原則。事實上在這方面，時機是最重要的關鍵。

讓我們回想一下 2014 年 4 月 1 日，也就是 Heartbleed心淌血漏洞漏洞揭露的那天。此漏洞可讓駭客利用 OpenSSL 程式庫當中的 SSL 協議 (handshake) 漏洞，直接從電腦記憶體中擷取敏感的資訊。而且全球有千千萬萬個應用程式都採用 OpenSSL 程式庫！

您該怎麼辦？

首先，您必須知道自己是否受到影響。不論網路式或主機式漏洞掃瞄都能協助您發掘受影響的工作負載。接下來呢？接下來我們與 Gartner 專家的看法一致，但卻會違背大多數企業現行的做法，那就是：別修補。沒錯！不要修補營運中的系統！

我們的意思並非不要修補漏洞、讓伺服器一直暴露在危險當中，而是：別在營運系統上套用可能造成營運中斷的修補程式。

您該做的是，將修補程式套用在測試環境當中，在部署前先完成徹底的測試。我們在上次的秘訣中提到資安防護應該是一開始就考慮到的問題，也談到您該如何利用動態或靜態方式打造新的伺服器。以這樣的作業流程為基礎，再加上測試能力，您就能盡量降低系統修補造成營運中斷的機率。同樣地，關鍵就在於自動化，因為這樣才能確保您有一套可快速建立及測試新應用程式環境的作業流程。

那漏洞該怎麼辦？時間正一分一秒流逝… 繼續閱讀

2015 年值得感恩的資安五件事

2015 年 11 月 26 日2015 年 11 月 27 日趨勢科技 TrendMicro

從各方面來看，2015 年都是網路安全產業相當有意思的一年。有許多事件登上新聞版面，讓資訊安全成為產業內外都在談論的議題，除此之外還有許多突破性的創新。儘管出現了一些不幸的消息，但在這個感恩的季節，還是有些發展趨勢值得我們感恩。

1.更安全的支付系統

隨著支付系統的改良，非現金支付方式將來應該可以有效減少詐騙數量。美國境內的所有商家都必須在十月之前改用更安全的 EMV 晶片信用卡，這將有助於大幅降低卡片遺失或失竊所造成的盜刷情況。

2013 年，美國Target資料外洩連鎖超市發生史上最大的資料外洩事件，而罪魁禍首就是 PoS 記憶體擷取程式。改用 EMV 信用卡能讓網路犯罪集團更難利用偷來的資料製作偽卡，而且，改良的驗證機制也有助於防範不肖人士使用偷來或拷貝的卡片。隨著歲末購物季即將來臨，消費者今年在刷卡購物時應該可以更放心。

[延伸閱讀：新一代支付交易處理技術：技術及原理 (Next-gen payment processing technologies: what they are, and how they work)]

2.打擊網路犯罪聯合行動

今年，我們已經多次看到執法機關、民間企業以及資安研究機構的聯合打擊行動。這些聯合行動使得多名網路犯罪份子遭到逮捕，並且建立了討論機制，讓三方面交流該如何制訂更好的法律來確保科技的合理使用與限制。

多年前，企業大多傾向於自己處理資訊安全的問題，此外，執法機關亦不具備所需的能力來對付網路犯罪集團。但現在，三方合作破獲重大威脅和網路犯罪集團的情況，已成了司空見慣。

[延伸閱讀：執法機關與民間企業如何合作破獲網路犯罪 (How collaboration between private orgs, law enforcement can take down cybercrime)]

3.Windows 10 讓網路瀏覽更安全

Internet Explorer (簡稱 IE) 的漏洞一直是歹徒最愛的攻擊目標之一。光是去年就有超過 200 個記憶體毀損漏洞被發現及修補。隨著最新版作業系統的發表，使用者終於可以揮別 IE，因為 Microsoft 推出了全新的 Microsoft Edge 瀏覽器，大大改進了之前的缺失。最值得注意的其中一項改進就是所謂的 MemGC 功能，此功能採用「標記之後再清除」的記憶體回收機制，能有效防止記憶體「釋放後再利用」(use-after-free，簡稱 UAF) 的漏洞，而這正是 IE 不斷發生的問題。

未來，瀏覽器開發廠商將花費更多心思來防止使用者遭到網站威脅。

[延伸閱讀：Windows 10 推出 Microsoft Edge 來強化瀏覽器安全性 (Windows 10 sharpens browser security with Microsoft Edge)]

4. 歐盟同意全面翻修資料保護法

今年，我們看到政府部門通過並實施了一些更能有效保障企業及客戶一般福祉的法律。其中之一就是「歐盟資料保護法」(EU Data Protection Law)，該法已於今年稍早在 28 個歐盟會員國開始實施。最重要的是，該法當中包含了有關個人資料的定義、資料外洩的罰則以及「被遺忘權」(the right to be forgotten) 等等。歐盟資料保護法當中一項重要的規定就是：當企業發生資料外洩時，必須在事發的 24 小時內告知社會大眾。這有助於客戶採取更主動的資料防護措施，並且更快做出因應，而非當資料被偷、被賣了之後還被蒙在鼓裡。

[延伸閱讀：法規遵循之路：一次看懂歐盟資料保護法 (The Road to Compliance: A Visual Guide to the EU Data Protection Law)]

5.MR.ROBOT《駭客軍團》讓大家更了解網路安全的重要性

MR.ROBOT《駭客軍團》無疑是今年秋季最熱門的美國電視影集之一。這是目前為止對網路犯罪集團及其作為刻劃最真實的影集。有別於大多數的好萊塢駭客電影或影片，這一系列的影集清楚描繪了網路犯罪集團如何運作，以及他們所帶來的不良後果。此外，也點出在資訊安全領域當中，「人」才是最脆弱的環節。繼續閱讀

Siri 漏洞：Apple 個人助理會洩漏個人資料

2015 年 11 月 26 日2015 年 11 月 24 日趨勢科技 TrendMicro

iOS上的Siri讓日常工作變得更加容易；無論是詢問到最近加油站的路線或是保持與不斷成長社交媒體網路的聯繫。iOS使用者只要講出聯絡人姓名，手機就會將電話號碼和電子郵件地址帶出來。然而，便利是有代價的：個人資料。

如果我告訴你，只要30秒，就可以讓任何人從朋友開啟Siri功能的iOS設備上拿到你的姓名、電子郵件地址、電話號碼甚至是你的照片，不管手機有沒有上鎖呢？會擔心嗎？

iOS行動設備上的Siri可能被濫用的情境是會讓任何人使用語音辨識來取得設備上的資料，即便有設定密碼。在理想狀態下，密碼鎖定應該會防止任何對行動設備上所儲存資料的未經授權存取，就跟電腦上的密碼一樣。鎖定的設備不該洩漏所有者的身份和聯絡方式，以及所有者的朋友、家人和聯絡人。Siri可以繞過這些而在鎖定的行動設備上提供詳細資料及其他功能。

自從Siri出現之後，就已經有多個相關討論串出現在Apple支援論壇上。然而，我們想要強調安全性和隱私方面的風險，並讓我們的讀者能夠注意到。

Siri可以做什麼？

一旦任何人可以實際上拿到你的行動設備，就可以用語音辨識呼叫多種命令，包括可以存取名字、電話號碼、行事曆及其他更多功能。這裡是鎖定而有啟用Siri的iOS行動設備上可以使用的命令列表：