Twitter(推特)公告他們系統內的一個臭蟲可能會讓使用者密碼曝光,並呼籲所有的使用者變更帳號密碼。他們還沒有透露受到影響的使用者數量,但該公司表示已經調查並且修復了此一漏洞。不過內部人士聲稱這個問題影響了大量的使用者,並且讓密碼暴露了“好幾個月”。
Twitter在聲明裡說明自己使用了 bcrypt 進行雜湊處理,這是種較強的雜湊演算法,可以在不洩露密碼的情況下驗證使用者帳號。但該公司沒有透露為什麼密碼會在雜湊處理之前先儲存在內部日誌。他們的調查結果表示並沒有遭受入侵或帳號受到濫用的跡象。不過聲明仍建議使用者要考慮變更帳號密碼以及所有使用相同密碼的服務密碼。
使用者在打開應用程式時也會跳出視窗來告知此問題。根據報導,Twitter到二月為止已經達到3.3億名使用者,且稱他們“正在進行計劃來以防止這漏洞再次發生。”
[延伸閱讀:如何防護你的社群網站帳號]
為了你的隱私和安全著想,以下是三個保護社群網站帳號的建議: 繼續閱讀
“才剛交易完三天,就接到詐騙集團假冒發卡銀行人員打來的電話!”,報案者抱怨連連指稱接獲詐騙集團電話說手機交易時銀行人員將刷卡付費金額多了一個零,要受害人趕緊到ATM操作更正。根據165反詐騙專線統計資料,在最近一年 ATM詐騙案單月最高超過一千五百件被害人報案,其中該拍賣網站的客戶占六成之多。提醒網友們遇到類似要你操作 ATM 的電話,請提高警覺,並撥打 165 反詐騙專線諮詢。
以下提供幾個網拍防詐騙小秘訣:
1.不要幫”好友”撥打0809開頭新門號
另外也要提醒大家幫「好友」撥打新門號,小心成為網拍人頭賣家,刑事局指出,這類詐騙歹徒鎖定特定對象在網拍平台上冒用其手機門號申請新帳號,再假冒為「好友」請求受害民眾幫忙撥打新辦的手機門號0809031088(某拍賣的帳號申請認證門號),撥打後即成功為歹徒申請新的網拍帳號,歹徒藉此進行交易,收取貨款後即人間蒸發,而受害者即成為網拍人頭帳號,直到警察找上門,或買家打電話催貨才知道被「好友」騙了。
2.網拍購物,勿用臉書當萬用帳號
網拍衍伸的另一個安全問題是,很多網拍帳號直接連動臉書, 一個萬用帳號通行無阻,但也有一旦遭入侵時所有資料全都露的危險
✓ 建議使用不同帳號及不同密碼登錄
✓【PC-cillin雲端版】防止個人資訊外洩 免費下載,免費下載
3.遠離危險密碼:寵物名字,紀念日,生日,123456,password,英文菜市場名….
網路購物要無後顧之憂,帳號密碼設定是第一步!!
1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?(含12個保護密碼實用的祕訣)怎麼知道這些大人物用過這些密碼呢?當然是被駭客入侵後公布的。那改用中文諧音的521314(我愛你一生一世)總可以了吧?在大陸駭客的密碼破解字典中,除了甜滋滋的「5201314」還列入以下必備弱密碼,中國人最愛的「666666」和「888888」,請看密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案
根據「時代雜誌」(Time)網站報導,Google 訪問2000名民眾選擇帳號密碼的方式。發現”寵物名字”是最爛的密碼。
“大部分民眾依據手邊的資訊選擇密碼”研究結果凸顯了這項令人憂心的事實,駭客只要動動手指頭,使用搜尋引擎,查一下 facebook 個人資料,就能輕易找到寵物名字,紀念日,就讀學校等資料,進而能入侵多數帳號。
根據Google 分析,做常見的密碼如下:
1、寵物名字
2、大日子,如結婚紀念日
3、家人生日
4、孩子的名字
5、家庭成員名字
6、出生地
7、最愛的節日
8、最愛的運動團隊
9、重要人士的名字
10、直接用「password」當密碼
報告也顯示,48%民眾會讓別人知道自己的密碼,3%的人還會將密碼記在便利貼上。
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知和新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
以下我們分享更多駭客破解密碼統計:
106個黑莓機列入不得使用的蠢密碼(含 19 個男女英文名字)
(如果太多密碼總是記不住,不妨來考慮使用PC-cillin 雲端版密碼管理e 指通功能)
《以上英文名字如有雷同,純屬巧合:D》延伸閱讀:駭客菜市場名入圍者: Robert
一向以安全性聞名的黑莓機,宣佈了 106 個無法在新一代黑莓機上設置的密碼,包含 19 個男女英文名字.
RIM (Research In Motion)黑莓手機母公司宣佈的 106 種密碼,其中包括了【Yahoo 遇駭,10大最駭密碼】和【LinkedIn被盜帳號的前30大常用密碼】都很受歡迎的「123456」之類的密碼,現在就來檢查一下,哪些是你以為天衣無縫,但是卻被黑莓機列為拒絕往來戶的傻瓜/危險密碼呢?請盡快更新吧.
國家等級的駭客,如伊朗已經對美國軍方官員進行了長達一年的活動。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
社交工程(social engineering )手法會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。比方說,eBay外洩事件, 數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。
如果Target是2013年最知名的入侵外洩受害者 – 出現網路安全事件而讓數以百萬購物者資料被侵害 – 那2014年也出現了一名領先者,eBay在年初遭受到網路攻擊,攻擊者取走某些服務內1.28億註冊用戶的敏感資料。被入侵的資料庫可能包含這些人的電子郵件地址和住家地址、加密過密碼、出生日期和電話號碼。
根據事件的時間點,有可能是因為OpenSSL加密程式庫的Heartbleed漏洞 – 公開但尚未被發現時 – 被用來躲過eBay的防禦。無論如何,eBay公司PayPal的資產,包括支付卡和銀行帳戶的大量資料躲過這一劫,因為它們被放在獨立的網路。
社交工程在eBay入侵外洩事件中扮演重要角色
如果不知道是否有任何密碼漏洞,攻擊者會更加需要利用社交工程(social engineering ),這已經成為網路犯罪戰略的一部分:
在eBay案例中,社交工程(social engineering )做了一般會用複雜網路攻擊和進階惡意軟體來進行的工作。eBay在一份關於外洩事件的報告裡提到,「少數員工的登錄資料外洩。」有多達100個帳戶可能被劫持,eBay相信其安全團隊大約90天就發現異常的網路活動,遠比2014年Mandiant報告中的224天平均值要低。
攻擊者如何獲得eBay員工的認證資料?BH顧問公司執行長Brian Honan對Help Net Security說道,認為他們是用魚叉式網路釣魚來騙過eBay員工。如果這是真的,這種戰術可以成功似乎表示eBay的安全措施缺乏足夠的存取控制和雙因子認證機制,任何一個都可以阻止網路犯罪份子只用一個使用者名稱和密碼就闖過大門。
eBay外洩事件的長期影響:更多社交工程
社交工程(social engineering )會自我延續。如果攻擊成功,不僅會讓受害者出糗,讓客戶陷入風險,同時也提供了下一次攻擊的養分。網路釣魚(Phishing)會成功,通常就是因為目標無法從正常的郵件中區分出詐騙的信件。
的確有大量的日常電子郵件和社交媒體文章是使用者可以立刻發現有問題的。拼寫錯誤、超長網址和致富計劃都是常見而容易發現的警訊。網路犯罪會使用這些作法是因為還不夠瞭解特定目標,所以將網做的越大越好,希望可以網到一些東西。
但社交工程(social engineering )會收集敏感資料 – 地址、生日等,讓他們可以用來精心製作攻擊。
「你看,比方說,eBay外洩事件,」Tripwire技術長Dwayne Melancon告訴PC World。「數以百萬的使用者個人資料被外洩 – 不單單只是電子郵件地址和使用者名稱。那些擁有eBay資料的人現在手上握著出生日期、地址甚至是電話號碼,利用這些資料可以讓他們製作非常具有說服力的釣魚網站。從你的所在地區,加上根據你的年齡會吸引你的事物等等作法,網路犯罪分子可以大大地增加你會回應網路釣魚郵件的機率。」
魚叉式網路釣魚會在eBay和Target攻擊後變得更加複雜。企業需要用現代化網路安全措施和雙因子認證來加以防範,以避免代價高昂的資料外洩事件。
企業可以做些什麼來避免像eBay這樣的事件?
eBay處理這起外洩事件很有啟發性。它有幾件事情做的不錯(如早期發現網路入侵)和一些比較不理想的地方,最顯著的是延遲給公眾的報告。這裡有一些重點給想要更好應對此類事件的企業:
開放的無線網路和公共熱點話題又再次地出現在新聞上,這有幾個原因。電子前線基金會(Electronic Frontier Foundation)發起了OpenWireless.org,一個開發路由器韌體的專案,提供開放無線網路給任何路由器範圍內的使用者。
名義上,這除了可以提供網路給需要的人,也讓每個人更有網路隱私。因為任何人都可能使用開放無線網路上網,也就移除了個人身份和IP地址間的關聯。這將使得基於IP地址的監視和追蹤變得不可靠。
出發點可能是好的,但實際執行可能並不是個好主意。讓我們假設這它可以分開你的私人網路流量和開放無線網路流量。讓你自己的網路流量不會向外暴露,但這並不是唯一的風險。
讓什麼流向你的網路供應商是你的責任。你最後可能會陷入法律困境,如果有違法行為透過你的IP地址進行。被濫用的可能性非常高。「訪客」所造成的高頻寬使用率也可能吃掉你的傳輸量上限,導致月底被限速或造成高額連網費用
類似舉動也在其他國家嘗試過,像是RedLibre和Guifi專案(都在西班牙)。但採用者都相當有限。這些專案的實施方式可能有所不同,但最終,可能的風險都會讓使用者裹足不前,無論原本用意多麼良善。
另一個讓公共無線網路出現在新聞的故事是Comcast調整50,000名用戶的數據機成為住宅無線熱點。這熱點會獨立於任何使用者所建立的無線網路,提供給所有Comcast的用戶。在登入這公共熱點前,他們必須輸入他們的Comcast用戶名稱和密碼。
其他ISP也打算推出類似的公共無線熱點。這讓我的腦海浮現兩個問題。如果我是用戶,我應該選擇退出這個網路嗎?登入這些公共熱點安全嗎?讓我們先處理第一個問題。
理論上,這種情況帶給使用者的風險會遠小於純粹開放的無線網路。透過這熱點所消耗的資料量不會算在用戶的傳輸量上限。熱點被濫用將會是ISP的責任,而不是你。那就沒有危險了,對嗎?
並不盡然。從技術角度來看,最大的問題是分隔熱點和你自己的流量。不幸的是,當跟軟體漏洞有關時,無線路由器並沒有辦法很好的追蹤記錄。出現會向外暴露你網路的漏洞還是有可能的。
真正的風險是想使用這些熱點的人。上述有漏洞的韌體也會帶給潛在使用者風險:訪客的網路流量暴露給執行惡意路由器韌體的攻擊者是完全有可能的。這本來就是當你連到無法完全信任的網路時的風險。 繼續閱讀
利用Windows PowerShell感染 Word和 Excel檔案
惡意軟體已經針對 Word和 Excel檔案有好一段日子了,但趨勢科技最近看到一個新的惡意軟體家族 – CRIGENT(也被稱為「Power Worm」)帶來了一些新的技術。(趨勢科技將這些檔案偵測為W97M_CRIGENT.JER和X97M_CRIGENT.A。)
最引人注意的並不是建立或包含可執行程式碼,而是 CRIGENT 利用Windows PowerShell來執行其程序。PowerShell是一個功能強大的互動式 shell/腳本工具,可用在Windows的所有現行版本上(而且從Windows 7開始內建);該惡意軟體會透過PowerShell腳本來進行所有行為。因為IT管理員通常會找的是惡意二進位檔而可能會忽略掉它,因為使用這種技術的惡意軟體並不常見。
到達及其他組件
這種威脅會透過一個受感染的Word或Excel文件到達,可能是由其他惡意軟體所植入,或是經由使用者下載/存取。一旦打開,它會馬上從兩個著名的網路匿名專案下載另外兩個組件:Tor 網路以及Polipo,一個個人網頁快取/代理伺服器。
攻擊者會去掩飾這兩個檔案(經由變更它們的檔名),並且隱藏DNS記錄來掩蓋這些檔案的來源。這些檔案放在正常的雲端檔案儲存服務上(在此案例中是Dropbox和OneDrive)。這些檔案的網址被隱藏在DNS記錄中。這是如何做到的?
他會存取兩個不同網域的DNS記錄,並且在每個網域內建立一個子網域。不過他沒有將子網域對應到任何特定的IP地址。相反地,他儲存文字在DNS記錄中,再特別去查詢TXT記錄。(為了逃避本地端的DNS攔截,他會直接查詢Google的公共DNS伺服器),Windows內執行的命令是:
每兩個查詢都會帶回字串,包含了指向正常雲端儲存供應商的網址。其中一個連結指向Dropbox,另外一個指向微軟OneDrive。對於檢查網路流量而沒有查看實際檔案的人來說,只會看到一對連向Google公共DNS伺服器的DNS查詢,並從兩個著名的雲端服務下載檔案。兩者都沒有什麼可疑之處。
命令與控制
利用已安裝的Tor和Polipo軟體,它會存取其命令和控制伺服器。它所用的網址包含兩個GUID,如下所示:
奇怪的是,如果用缺少或不正確的GUID連上上述網站,C&C伺服器會出現下面這用德文所寫的輕微髒話:
圖一、C&C伺服器
