雙重驗證是什麼?對於網路安全的重要性為何?

雙重驗證是什麼?對於網路安全的重要性為何?

我們在網路上購物、管理銀行帳戶、從事社交、工作與娛樂活動。但隨著我們日漸倚賴網路,相關的風險也與日俱增。駭客四處潛伏,伺機竊取我們的身分、掏空銀行帳戶,或是綁架電腦。因此,我們必須格外審慎,妥善保障自己的數位安全。

您或許聽過雙重驗證 (2FA),並好奇它究竟是什麼;其實 2FA 在網路安全的領域,已成為一項日漸重要的工具,若能搭配個人電腦/行動裝置安全軟體以及密碼管理程式,即可構成捍衛數位安全的「鐵三角」。以下是您必須瞭解的重點:

首先,2FA 為何如此重要?

資料外洩已成為新的常態。2017 上半年遭竊資料就超過 2016 全年總和。這些攻擊曾經重創全球最大的零售供應鏈 (Target、Home Depot、TJX)、飯店 (Hyatt、Hilton)、網際網路公司 (Yahoo、eBay、LinkedIn) 及其他眾多企業,從而大量竊取這些公司的客戶用來存取帳戶的帳密資訊。一旦取得憑證,罪犯便能劫持這些帳號 (以及其他共用密碼的服務) 來掏空財產、竊取更機密的個資,並以您的名義購買商品與服務。

目前已有數十億筆登入憑證資料在暗網 (dark web) 流通。去年,單是 Yahoo 一家業者,就承認有 30 億筆使用者記錄遭駭。2017 年 12 月,一處地下網站經發現設有 14 億筆遭竊帳密的資料庫供駭客使用,這是迄今已知規模最大的案件。

這些事件的教訓是什麼?採用良好的密碼安全機制,方為上策但是日益猖獗的入侵接踵而至,不但持續威脅登入憑證的機密性,也使得網路帳戶的安全管理更加棘手。而這就是雙重驗證派上用場的時刻。

這項機制如何運作? Continue reading “雙重驗證是什麼?對於網路安全的重要性為何?”

《資安漫畫 》折扣季,別被「限時優惠」沖昏頭:七個線上購物小提醒

 

《資安漫畫 》折扣季,別被「限時優惠」沖昏頭:七個線上購物小提醒

《資安漫畫 》折扣季,別被「限時優惠」沖昏頭:七個線上購物小提醒

《資安漫畫 》折扣季,別被「限時優惠」沖昏頭:七個線上購物小提醒

《資安漫畫 》折扣季,別被「限時優惠」沖昏頭:七個線上購物小提醒

 

七個線上購物小提醒

每當到了折扣季,您的荷包是不是也來跟著大失血呢?

此時要特別留意偽裝成網購網站或是信用卡公司的網路釣魚(Phishing)詐騙信件。何謂網路釣魚詐騙,通常是透過信箱或是即時通訊來進行。它會誘導用戶至外觀和真正網站幾無二致的山寨網站進而要求輸入帳號/密碼或是個人資訊或是信用卡資料,以達到詐騙目的。

實際上,您極有可能會收到偽裝成大型購物網站「您當下必須立即變更支付方式」等的網路釣魚詐騙信件。以下的例子就是,收到「如7天內不立即更新的話帳號將遭刪除」等的信件進而帶給收件者壓力,誘使收件者開啟本文中的鏈結。其他的手段還包含,傳送訂購確認信件,內容還故意註記著「如果沒有印象的話請勿理會」。

另外也有偽裝成宅配業者所寄出的不在府通知, 民眾要特別提高警戒。

在按下購買前特別注意以下的七件事,讓上網購物無後顧之憂 :

Continue reading “《資安漫畫 》折扣季,別被「限時優惠」沖昏頭:七個線上購物小提醒”

如何乾淨地安裝macOS High Sierra? – 包括從USB安裝macOS

隨著Mac OS X的升級,系統代號也變成了High Sierra。因為Apple的限制,有些舊Mac無法升級到最新的macOS High Sierra。你可能會想安裝全新的macOS。本文會介紹如何乾淨地安裝macOS High Sierra。首先我們要先做一些準備,然後才能安裝新的作業系統。

在第一步中,我會介紹如何製作用來安裝Mac OS X的可開機USB隨身碟。製作這個隨身碟後,你就可以輕鬆地從隨身碟安裝Mac OS X。

如何乾淨地安裝macOS High Sierra? – 包括從USB安裝macOS

如何製作可開機USB隨身碟?

有兩種方法可以製作可開機USB隨身碟:

  1. 使用終端機

我比較喜歡使用終端機命令列的方式。好處是無需在兼容性和安全性方面折衷,而且新手也很容易執行。

  1. 首先,使用容量為8GB或以上的USB隨身碟。(要先備份隨身碟內的舊資料,因為在過程中會格式化隨身碟)。
  2. 下載官方的macOS High Sierra安裝檔。建議從App Store下載。直接將關鍵字“High Sierra”輸入App Store的搜尋框。

整個安裝檔約5GB,因此可能需要下載一段時間。它將會出現在“應用程式”資料夾中,如下所示。

如何乾淨地安裝macOS High Sierra? – 包括從USB安裝macOS

  1. 打開“應用程式→工具程式→磁碟工具程式”,然後將USB隨身碟“清除”(格式化)為“Mac OS擴充(日誌式)”格式。將隨身碟重新命名為“Sierra”。

(注意:隨身碟名稱會用在之後的命令中,如果你命名為其他的名稱,注意命令要使用對應的名稱。) Continue reading “如何乾淨地安裝macOS High Sierra? – 包括從USB安裝macOS”

Mozilla主控密碼沒有看起來那樣安全

雖然Mozilla Firefox瀏覽器一直是最受歡迎的瀏覽器之一(其他還包括Google Chrome及好幾代的微軟瀏覽器),但它頗受好評的一項安全功能似乎並沒有看起來那麼有效。根據AdBlock Plus擴充套件作者Wladimir Palant的說法,Mozilla Firefox和Thunderbird的“主控密碼”所用加密機制很容易受到暴力破解。

Mozilla主控密碼沒有看起來那樣安全

主控密碼主要是作為儲存在瀏覽器或郵件客戶端內密碼字串的加密金鑰。它的主要問題出現在其SHA-1函式中,這函式的疊代次數設為1次,而業界標準至少是10,000次。因為GPU技術的長足進步,較少的疊代次數讓攻擊者可以利用暴力破解來取得主控密碼,使得一分鐘內就可以解密儲存在Mozilla資料庫內的加密密碼。

這並非主控密碼第一次出現問題 – 約十年前就有一份臭蟲報告指出了系統缺陷。

Mozilla目前正在測試代號為Lockbox的新密碼管理器,這密碼管理器將提供改進的密碼管理和線上安全。Lockbox目前可以以擴充套件型式取得,正在進行alpha測試。

強密碼的重要性

雖然Mozilla提供主控密碼等功能值得讚賞,但依然存在了缺陷。因此,使用者不應該僅僅依靠內建的密碼管理器來保護網路帳號,而是要確保自己的密碼盡可能地強大。 Continue reading “Mozilla主控密碼沒有看起來那樣安全”

VPN 新手入門 (上篇):如何安全上網並確保自己的隱私?

網際網路確實是個美好的發明,但眾所周知,網路上也可能隨處暗藏著風險。我們必須小心防範,避免遇到惡意程式或身分遭人盜用,也要避免被人追蹤以防廣告業者竊取我們的隱私資訊,同時還要確保兒童上網安全。因此,所謂的「虛擬私人網路」(VPN) 正是避免上述問題的其中一種不錯方法。

VPN 可提供相當程度的私密性與安全性,但是不同的 VPN 產品在功能上卻可能天差地遠。

例如,iOS 版趨勢科技行動安全防護當中「內容即時防護」(Content Shield) 功能隨附的本地端 VPN,主要是用來防範網站威脅和網站內容過濾。

以下是有關 VPN 的一些基本觀念。

VPN 新手入門 (上篇):如何安全上網並確保自己的隱私?

何謂 VPN?

絕大多數的 VPN 都提供匿名、安全的上網瀏覽。其作法是在你的電腦或行動裝置與 VPN 供應商的伺服器 (另一台電腦) 之間建立安全的連線通道。事實上,你是經由這台第三方電腦連上網際網路。換句話說,你所瀏覽的網站無法追蹤到你的 IP 位址,因為它們看到的是 VPN 伺服器的位址。

這對確保隱私方面是一大福音。但安全性呢?其實 VPN 原本就提供了安全加密的連線通道。因此,歹徒無法竊聽你與網路銀行或其他敏感網站的連線。這類攻擊尤其容易發生在公共的 Wi-Fi 熱點,駭客經常躲在這類場所等待不知情的 Wi-Fi 使用者登入自己的 Gmail 或網路銀行帳號。這就如同躲在你的背後偷看你輸入密碼一樣,你的帳號很可能因此被盜用。

有了 VPN,這所有的資訊都會受到加密通道的保護。某些 VPN 甚至宣稱還能防止你意外下載到惡意程式,例如:垃圾郵件附檔或手機應用程式。還有一些所謂的本地端 VPN (例如趨勢科技 iOS 版趨勢科技行動安全防護「內容即時防護」功能內建的 VPN) 則可以避免你連上網路釣魚網站或其他惡意網站。

哪些是 VPN「做不到」的事?

你必須記住,並非所有 VPN 產品都一樣,因此很重要的一點就是先做點功課來仔細挑選,因為不同產品所提供的服務內容和品質可能差異很大,功能也不盡相同。例如,各家產品所支援的作業系統和手機平台、每一訂閱可提供的同時連線數量,甚至有些還提支援智慧型裝置。 Continue reading “VPN 新手入門 (上篇):如何安全上網並確保自己的隱私?”

《 資安漫畫 》念舊不是好事 讓過時的系統遠離你的電腦和智慧型手機

《 資安漫畫 》念舊不是好事 讓過時的系統遠離你的電腦和智慧型手機 《 資安漫畫 》念舊不是好事 讓過時的系統遠離你的電腦和智慧型手機

《 資安漫畫 》念舊不是好事 讓過時的系統遠離你的電腦和智慧型手機

《 資安漫畫 》念舊不是好事 讓過時的系統遠離你的電腦和智慧型手機

您知道過於老舊的電腦容易遭受病毒的威脅嗎?今天趨勢科技 3C好麻吉要來告知您這令人難以想像的情境~

通常電腦內所搭載的 Windows等作業系統是有支援期限的,在支援期限內萬一遭遇任何問題時都可利用製造商所提供的對策來解決,但是過了支援期限,作業系統的支援會終止,連同軟體的支援也會被迫結束。資安軟體也不例外,作業系統的支援終止一段時間後,對抗最新威脅的更新程式的配送也將會被迫中斷。也就是說,一旦支援期限過期的話,即便在作業系統上發現漏洞也束手無策,感染上病毒也只能束手無策了。

根據上述理由,老舊的電腦在網路上對抗危險的防禦力大大降低。還在使用搭載著已經終止作業系統支援的Windows XP或是Windows Vista的過舊電腦的用戶的您,建議您將軟體版本更新或是更換搭載著最新作業系統的電腦。加上,如果收到作業系統或是軟體開發公司所提供的更新程式的話請立即安裝且請將自動更新設定為有效!

手機方面,安卓版或iPhone版的智慧型手機也曾發現過終端被惡意操控、下載的官方軟體在不知情的情況下被換成惡意軟體等的案件。因此從現在開始您的智慧型手機一但收到了軟體更新通知時,當下請立即進行更新安裝吧!

看完這篇文章,還不趕緊去查看一下您的作業系統是否能在支援期限內!!!

Android 用戶趕緊安裝 i3C app,趨勢科技專業線上客服團隊,協助您解決在手機或電腦上遇到的問題。

》 看更多  3C 好麻吉提供的小撇步

「 您哪位?」認不出麻吉 LINE 暱稱,好尷尬! 輕鬆更改好友名稱設定

参考:該讓您的 XP走了但為何難以分手?

十二年了時代終結:如果你還在用它怎麼辦?

 

 

“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

瀏覽網頁時,電腦變得卡卡的, CPU 使用率突然飆高?當心是挖礦程式正利用你的電腦資源挖礦!全球每天新增 300個挖礦網站,挖礦綁架無所不在,繼星巴克之後,連 Youtube 也遭殃。若您覺得電腦 CPU飆高或者發燙跑很慢,出現疑似被植入挖礦程式的跡象,您可以怎麼做? 新型的挖礦程式關閉瀏覽器後也會繼續挖礦,該怎麼辦?先來看看最近的幾則電腦被偷偷用來挖礦案例:

"你的字型需要更新" "關閉網頁後,竟還繼續挖礦?" 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

 

案例一:星巴克 Wi-Fi 遭加料,顧客手機筆電竟成挖礦機

去年底跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過,透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣,連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。

挖礦腳本也會被嵌入在使用者可能會停留大量時間的地方,比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。相關報導:挖礦劫持(Cryptojacking)幫星巴克加料,顧客上網筆電竟成挖礦機

案例二:Youtube 看影片電腦變好慢?原來是駭客正在挖礦賺外快!

"你的字型需要更新" "關閉網頁後,竟還繼續挖礦?" 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

有用戶反應在看 Youtube 的時候,電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時,你的電腦或手機也默默的成為了不法駭客的「礦工」,幫他挖礦賺外快!… 《看完整報導 》

案例三:惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN),遭受數位加密貨幣採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客,使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出,這些惡意廣告所在網站皆名列全球 15,000 大網站,意味著這些惡意網站不乏使用者造訪。… 《看完整報導 》

案例四:無法正確顯示字型? 中毒了? 假微軟技術支援網頁 真挖礦!

去年趨勢科技發現惡名昭彰的EITest 攻擊活動利用技術支援詐騙手法來散播虛擬貨幣採礦程式。在一個月的時間內,有990個受駭網站被注入惡意腳本,將潛在受害者轉向到技術支援詐騙網站。

網路釣魚腳本被設計成通知使用者下載 Hoefler Text 字型以正確顯示頁面,但實際上它會下載一個惡意執行檔。

使用者被重新導到技術支援詐騙網站
使用者被重新導到技術支援詐騙網站

技術支援詐騙網頁偽裝成正常的微軟Windows通知,提醒受害者系統中毒了,要求使用者打電話給他們的“技術部門”來解決問題。但在背後,網頁會從Coinhive的伺服器載入腳本並啟動JS數位貨幣採礦程式。除了造成系統延遲和效能問題外,使用者不會注意到自己的系統受到影響。看完整報導 … 《看完整報導 》

關閉瀏覽器後也會繼續挖礦?

挖礦通常都會需要非常高的效能,駭客將挖礦程式偷偷植入到網站上,當使用者瀏覽網站時網頁會自動開啟挖礦程式,藉由眾多瀏覽網站使用者的電腦CPU資源來挖礦,以賺取虛擬貨幣,而這也會導致使用者的CPU使用率大幅上升,電腦運行緩慢,嚴重影響使用者的使用品質及效能。所幸只要使用者關閉瀏覽器離開頁面,就不會繼續替他們挖礦了。

但現在有另一種狀況是即使關閉瀏覽器後也會繼續幫他們挖礦,這其實是當使用者瀏覽網站時,電腦會跳出一個彈出式視窗,這視窗只有Windows 工具列的高度且隱藏在工具列後,致使使用者看不到此視窗,在使用者在沒有警覺下,這個隱藏視窗持續默默的為駭客挖礦,若使用者要關閉這視窗則要將工具列往上提,再調整這個視窗的大小,才能把它關掉,為了避免瀏覽到這些網頁,趨勢科技的雲端技術中有著網頁威脅防護,這可是獲得網友們認證的超棒技術唷,因此安裝信譽卓著的防毒軟體也很重要!

不當免費礦工

但是該怎麼樣才會發現自己的電腦正在執行挖礦程式默默的為駭客賺錢呢?當您的電腦中招時, CPU 效能會被這些挖礦頁面偷走一半以上的效能,若您發現電腦處理速度變慢或是有點Lag的時候,可以查一下電腦的CPU使用率,當發現打開網站後CPU使用率突然飆高,極有可能是中招囉!此時可以把瀏覽器關掉或是看一下是否有隱藏的小視窗並關閉它來觀察是否回歸正常。

一般使用者對於自己的電腦替駭客挖礦是很難察覺的,建議大家在使用電腦時,發現運行速度和平常不大一樣時要趕緊查看處理,才不會不小心當了駭客的免費“礦工”囉!

🔴延伸閱讀:
趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
"你的字型需要更新" "關閉網頁後,竟還繼續挖礦?" 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

 

《資安漫畫 》上網輸入個資前,你有先檢查網址列是否有這個嗎?

七個線上購物小提醒 七個線上購物小提醒 七個線上購物小提醒 七個線上購物小提醒

七個線上購物小提醒

在家穿著拖鞋,窩在沙發上,配上一杯黑咖啡,用著閃亮亮的信用卡輕鬆的購物,加上有很棒的線上折扣,誰能拒絕這些誘惑呢?)但是,作為一個謹慎的網上購物者,在按下購買前特別注意以下的七件事,讓上網購物無後顧之憂 :

  1. 檢查你的無線網路駭客可以很輕易的從不安全的無線網路擷取信用卡或其他個人資訊。建議只在有加密的無線網路上做信用卡交易。
  2. 手動輸入你想用來購物的網站網址這將確保你連到的是com(而不是Toysplus.com)。網路犯罪者對於做出跟官方網站一模一樣的假網站是相當在行的。
  3. 尋找http 後的“s”任何需要輸入資訊的安全網址,都會有一個“s”在http 後面 (代表正在使用SSL 加密傳輸你的資料)。
  4. SSL 安全證書SSL是Secure Socket Layer 的縮寫。這些證書會加密您的機密資料。SSL證書被用在網站的信用卡交易,登入等等。這些證書通常會出現在輸入信用卡資訊的網頁上。標明類似“SSL認證”這樣的訊息。
  5. 檢查SSL 證書的有效性 如果你點擊了SSL圖標(這邊需要允許彈出式視窗),你應該會連到一個網頁提供最近的驗證測試日期。測試日期應該永遠都是今天。
  6. 尋找鎖頭符號這是SSL 的另一個特徵,通常出現瀏覽器視窗的右下角角落。鎖頭應該呈現關閉狀。不過也不要完全依賴這個標示,最近也有些報導提出對其可信度的顧慮。
  7. 使用防毒軟體:最重要的秘訣是,除了要用信譽評等好的防毒軟體(如趨勢科技 PC-cillin 雲端版還需要有良好的判斷力。如果網站看起來很詭異,而且不符合上述需求的,那就到別處買。

 

年關將至,小心六種 NG 行為,幫網路釣客拼年終

現在網友已經越來越能分辨垃圾郵件,但網路犯罪集團也不是省油的燈,它們的社交工程(social engineering )技巧越來越細膩。許多社交工程誘餌看起來幾可亂真,甚至會精心仿冒一些使用者平常不加思索就會點進去的電子郵件或訊息。

年關將至,小心六種 NG 行為,幫網路釣客拼年終

四種最容易上鉤的誘人點擊標題

最近趨勢科技經常看到歹徒利用下列四種標題來引誘使用者上當:

  1. 網購訂單或包裹相關的標題
  2. 帳單或發票
  3. 旅遊好康或優惠
  4. 虛構的促銷或假日特賣

以下教大家如何避開幾個 NG網路習慣,讓這些外表難以辨的網路詐騙份子,尤其是網路釣魚,離你愈遠愈好。

  • 年關將至,小心六種 NG 行為,幫網路釣客拼年終NG行為1:打字太快,不小心按到其他的鍵
  • 年關將至,小心六種 NG 行為,幫網路釣客拼年終NG行為 2:以為 Google ,Yahoo 等搜尋引擎找到的都是真的
  • 年關將至,小心六種 NG 行為,幫網路釣客拼年終NG行為 3:收到知名機構或是執法集團的警告信瞬間驚呆了!
  • 年關將至,小心六種 NG 行為,幫網路釣客拼年終NG行為 4:只要收到好康通知,滑鼠就失去理智了!
  • 年關將至,小心六種 NG 行為,幫網路釣客拼年終NG行為 5:管不住好奇心,滑鼠總愛追根究底除了以上五個 NG 網路行為外,追加提醒一個大家容易忽略的習慣:
  • 年關將至,小心六種 NG 行為,幫網路釣客拼年終NG行為 6:網購包裝丟棄前,請先把個資部分另行處理

不同於網路購買行為,第六個 NG 行為容易被忽略,有一則新聞報導說一位26歲的劉姓女性經常把留有自己電話、地址的網購物品外包裝,隨手扔進居家附近的垃圾桶,因此被歹徒盯上,冒充快遞循址進屋搶劫並殺人犯案。提醒大家信用卡帳單、網購包裝紙可千萬別亂丟,以免變成歹徒眼中的肥羊而惹來殺身之禍!

「您不在府上,包裹已暫存本公司,煩請即刻來電確認」「請確認下單明細」…假網購詐騙!

年關將至,小心六種 NG 行為,幫網路釣客拼年終

郵局寄來的信件,要求下載一份 Word 格式的發票,可以點嗎?

有一則案例是偽裝成貨運公司的郵件,佯稱「由於您不在府上,包裹已暫存本公司,煩請即刻來電確認」。只要您一大意不小心點開了信件內的網站鏈結或是附檔的話,那麼就會被誘導至惡意網站進一步被騙取金錢、資訊,或是感染上軟體病毒。另外「請確認下單明細」等看似網購業者傳送的信件也要多加留意。

還有一個案例是,一封典型的垃圾郵件看起來很像一封郵局寄來的信件,裡面隨附了一個看似平常的連結,但該連結卻是指向專門散布惡意程式的網站。消費者看到這樣的連結可能很自然地就點了進去。當點選該連結之後,使用者會被要求下載一份 Word 格式的發票。當發票開啟時,會要求使用者啟用某些功能來檢視其內容,但這樣就會從網路下載惡意程式。 Continue reading “年關將至,小心六種 NG 行為,幫網路釣客拼年終”