從遠親姨媽到表哥的兩歲孩子,甚至是鄰居的狗都有社群帳號,這對網路犯罪者意味著什麼?

如果你是網路世代的孩子,你會相信自己已經探索過或至少知道可能在網路上出現的一切事物。但是網際網路也隨著時間的不斷改變。雖然你還是能從中得到許多東西,但它也會以各種方式從新使用者或不知情者身上取得些什麼。年輕網友和年長使用者在隱私和安全意識間的差距可能需要有個橋樑連結。

你是否有過以下的經驗:

☑ 一次意外的點擊,從此卻接二連三跑出充滿性和暴力的網站?

☑  喜歡發文打卡,在家要發,搭公車要發,外出用餐要發,出遠門旅遊更要發?

☑ 「不要理他就好了 。」孩子遇到網路霸凌(bully) 時,你也講過這句話嗎?

風險和解決方法:維護家庭和兒童的線上隱私

網際網路在本質上是公開的,但這並不代表你該放棄自己在隱私和安全方面的權利。孩子們在五歲就已經知道如何下載和玩遊戲,而且今日你可以在社群網路上找到幾乎每個人,從你的姨媽到你表哥的兩歲孩子(甚至是你鄰居的狗)。而他們大多數仍然認為網際網路是個遊樂場,可以自由取用資訊、娛樂和其他類型的內容而不會有任何後果。事實是,當我們不去思考的享受網際網路時,網路犯罪分子也在不斷地尋找新受害者,特別是那些容易被巧妙偽裝騙局所誘騙的對象。

無論我們是否喜歡,每個網路使用者都經常會在網路上遇到危險。只要能了解這些威脅,要保持安全在線並非難事。年輕的孩子、新使用者和不知情的成年人都需要關於這些威脅的教育。這裡有個簡短的列表:

一次意外的點擊就可能導致成千上萬充滿性和暴力的網站跑出來

 

惡意和不當內容 – 雖然網際網路為孩子們提供了一個有趣和學習的世界,但它也充斥著含有性、暴力和不當內容的網站。一次意外的點擊就可能導致成千上萬這樣的網站跑出來。

解決方法:為避免意外暴露於這些網站,家長應制定電腦及網際網路的使用規則。家長還可以通過瀏覽器內建的內容過濾器及提供家長監護功能的安全軟體來防止連到成人或不當的網站。

要「牛奶」,給「腥羶」最平凡的字彙,竟有另人臉紅的搜尋結果

在網路上搜尋最平凡的詞彙卻產生令人不堪入目的結果,其中不僅充斥各類色情網頁,更有夾帶惡意程式的色情圖片在其中。趨勢科技發現不僅造訪賭博網站或成人網站會受到網頁威脅攻擊,輸入一般性查尋的詞彙,所出現的連結更有出現令人傻眼的內容,例如輸入「 milk(牛奶)」這個字眼,竟出現「 Sex(性)」、Porn(色情)」等兒童不宜字眼。一旦好奇點選,更有被潛藏其中的惡意程式入侵之危險。》看更多

每天8則發文,就可以知道發文者的工作地點甚至住家

據《每日郵報》報導,專家指出,美國麻省理工學院和英國牛津大學專家指出,每天8則的發文,即便是沒有任何技術和相關知識,也可以精確的指出發文者的工作地點甚至住家。研究報告指出, 65%測試者可以大致知道使用者住家位置,而70%能推算出工作位置,甚至能有85%的能夠精準掌握其公司所在地。

Continue reading “從遠親姨媽到表哥的兩歲孩子,甚至是鄰居的狗都有社群帳號,這對網路犯罪者意味著什麼?”

《資安漫畫》還用公司 email 註冊社群網站?上班族四個使用社群網路 NG行為

 

kv
tm_logo
在臉書或推特這類的社群網路上發文時, 你會不經意談到與公司或工作有關的內容嗎?雖然使用社群網路有種好像跟朋友正在面對面坐著聊天的感覺,而且也相當容易就會聊到日常生活的瑣事或私密內容。但一個不小心,PO 文可能會洩漏了公司或客戶的資料,對發文者和公司都不是件值得按讚的事。下面就是幾個NG的例子。
NG1:使用公司的電子郵件帳號註冊社群網站
使用在 Facebook 帳號的電子郵件,在網路犯罪地下市場販售的個資中,黑市價碼較高,因為攻擊者可使用許多策略來攻破信任的圈子進入攻擊目標的社交圈名單。因為攻擊者可使用許多策略來攻破信任的圈子進入攻擊目標的社交圈名單。將一個不認識或裝熟的人加入你的社群網站小團體中,等於就是將朋友們的資料向不能受信任的第三者公開,即使對方是名人也是一樣。許多人使用公司電子郵件地址註冊 LinkedIn, Facebook 和 Adobe 等網站,小心被竊的憑證可能讓攻擊者進入公司內部網路。
NG2:將工作上的情報資訊公開
將公司或客戶開發中商品、規格、價錢、開賣日提前曝光,有可能不慎讓競爭對手得到資訊,恐怕會影響到公司或客戶的利益。發文前檢查三遍,任何與公司業務相關的機密資料,不要PO 上網路。以免像當年的微軟員工一樣,在LinkedIn 個人資料檔說了不能說的秘密。或是像十三名維珍航空公司艙員因為在臉書上公開討論工作上的事情而被解僱,他們分享飛機引擎更換的時間,還有某些機艙內有蟑螂出沒。他們還連帶侮辱了乘客-那些支付他們薪水的衣食父母。
網路上有一個知名的故事:一位 Cisco 的準員工面試了一份顯然不太情願的工作。這位年輕人在 Twitter 上抱怨自己「必須為了這份豐厚的報酬而每天通勤到 San Jose 上班,而且恨透了這份工作。」不幸的是,一位 Cisco 的員工看到了這則訊息,然後將這則訊息傳遍了整個公司和網際網路,因而引起宣然大波。
NG3:在社群網路上批評往來客戶或競爭對手
萬一你的社群網站隱私設定百密一疏,你自認為天衣無縫的抱怨文,不小心被客戶看到了,你個人單方面所發表的意見,客戶可能會曲解公司的立場。不單會傷害到公司好不容易與客戶間建立的良好關係,更有可能會因此失去這個客戶。
客戶看到你的 Facebook 貼文的原因,可能是:

  • Facebook 隱私設定不周全
  • 忘了曾經加客戶為朋友
  • 你和客戶有共同的朋友,其中有人對你的留言按讚叫好
NG4:未經允許擅自公開與客戶開會內容或照片
不管你有沒有 “偶像包袱”,大多數的人都不喜歡突然看到自己的照片被公開在社群網路上,更何況也有可能會被看到工作場合上不適合公開的事實。前陣子阿帕契風波成為新聞焦點,其實早在 2012 年英國也有相關網路事件,當時威廉王子在英國皇家空軍基地擔任救難直升機駕駛,為展現親民作風,也常常將他的軍旅照片刊登在網站上。其中有張照片是威廉王子與他的救難小隊組員,在看來像是指揮中心辦公室的地方氣氛和樂地聊天,這張照片發佈沒隔到一天,就被網友發現了問題。原來會把登入密碼也大方的貼在牆壁上的不只是尋常百姓!隨後,皇家空軍也發表官方聲明表示,已經全面更換了共同登入的使用者名稱以及密碼,也強制要求基地中的幕僚人員全面重設自己的使用者名稱以及密碼,以確保基地的資訊安全。
*小提醒:公眾場合上無法正正當當公開的事,在社群網路上就不要輕易的公開出來。
為了防止自己被朋友發布的相片或貼文所標示,且該發文無預期的在自己的臉書上被公開,請將自己臉書帳號內的"標籤審查"功能開啟.

  • 在主畫面右上角點選「▼」,選擇「設定」
  • 請點選左側「動態時報與標籤」
  • 請點選「在朋友將你標註在內的貼文,顯示在你的動態時報之前,先加以審查」右側的「編輯」,從選單中選擇「啟用」功能
  • 當有人標記你時,在審查頁面就會出現該內容,你可自行決定是否加到自己的動態時報上與否

 

當年英國威廉王子這張照片發佈不到一天,就被迫全面下架,不過內容早就被有心人備份了….你看到問題了嗎?

Posted by 趨勢科技 Trend Micro

7個使用社群網站安全提醒

  • 發出訊息前先檢查三遍,務必確認沒有任何後顧之憂後再按下發送鍵。
  • 如果發佈的這個訊息只能用悄悄話或私密訊息發送,那就不要張貼。發出訊息前,要有無法確實刪除的心理準備。
  • 千萬別公開個人或公司內部其他同仁的個人資訊 (電子郵件地址、電話號碼、住址等等)。
  • 設立複雜而不易破解的安全強度高的密碼。
  • 若使用不同的社交網路不可使用一模一樣的密碼。
  • 任何與公司業務相關的機密資料,不要PO 上網路。
  • 不要在社交網路提到公司組織成員、內部進行中的專案等等,可能導致企業資料外洩的訊息。
【延伸閱讀】
什麼是 Facebook Fired?下班後,不能在臉書說的話(多則先烈案例)
他在社群網路的推文,為何讓他登機遭拒?
六個常在 Facebook上犯下的錯誤與案例(詳盡案例說明)
“裸胸照的讚不是我按的!”從一張影響選情的 Facebook 照片談社群隱私
找上你的是獵人頭公司,還是….如何看穿商務社群網站上的詐騙?
愛發文打卡者請注意!一天8篇發文,就能推測出你住家和辦公室位置
Copyright © 2016 Trend Micro Incorporated. All rights reserved.

 

盤點 2016 十大資安數字-一般用戶篇

2016 年發生了資安事件? 讓我們用一些資安數字來回顧相關新聞:
本系列另一篇:盤點2016 十大資安數字-企業機構篇

1.雅虎 5 億用戶資料外洩

今年九月底Yahoo發生了大規模資料外洩事件。這家網路先驅最近承認5億筆帳號相關資料是兩年前竊自它的網路,只是最近才發現。這可能給了壞人很長一段時間來侵害你的資料,如果你是Yahoo使用者的話。
這是一連串網路巨擘出現資料外洩事件的其中一起,其他還包括了LinkedIn、tumblr、MySpace、成人交友網站 FriendFinder Networks 等等。但它是目前以來的最大咖,可能也是外洩最嚴重的一次。

其中 11 月成人交友網站 FriendFinder Networks逾4億成人網站帳號曝光外洩的用戶資料中,有高達99%的密碼是清晰可見的明文。前五名最常用密碼依序是123456、12345、123456789、12345678、1234567890。相關報導

信件 網路釣魚Mail

 

⊙延伸閱讀:

Yahoo驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題

Dropbox 超過 6,000 萬帳戶資料被盜 /刷卡機加裝側錄機 過卡2次個資恐外洩

 

2.一天8篇文就能推測出你住家位置

據英國《每日郵報》報導,美國麻省理工學院和英國牛津大學專家指出,每天8則發文,即便是沒有任何技術和相關知識,也可以精確的指出發文者的工作地點甚至住家位置。研究報告指出, 65%測試者可以大致知道使用者住家位置,而70%能推算出工作位置,甚至能有85%的能夠精準掌握其公司所在地。

延伸閱讀:愛發文打卡者請注意! 一天8篇發文,就能推測出你住家和辦公室位置

周末愉快~小提醒:打卡不要將別人拖下水▼請看:安全打卡 8 要點▼blog.trendmicro.com.tw/?p=2950

Posted by 趨勢科技 Trend Micro

 

3.全台每8秒一個裝置受到勒索病毒攻擊!

趨勢科技針對台灣勒索病毒最新現況提出警訊:全台平均每8秒就有一個裝置受到攻擊!其中有高達4成是針對一般消費者的電腦裝置進行攻擊。在日漸頻繁的勒索病毒攻擊下,網路大數據顯示消費者最心痛的遭勒索經歷前三名依序為:舊時照片找不到、拯救電腦要花錢以及重要文件打不開,再再都造成消費者難以計算的精神與金錢損失。 Continue reading “盤點 2016 十大資安數字-一般用戶篇”

假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  

 

假面攻擊(Masque Attack)在2014年被首度報導,駭客只要使用相同Bundle ID的變造企業簽章應用程式就能替換掉App Store上的真正程式。Apple隨後就修補了這個漏洞(CVE-2015-3772CVE-2015-3725),不過當它關上了一扇門,詐騙分子也隨及打開了另一扇窗。Haima重新封裝過的廣告軟體和其原生Helper應用程式證明App Store詐騙仍然存在。

⊙ 延伸閱讀:iOS再曝高危險漏洞,會置換你合法下載的應用程式

趨勢科技在App Store上發現大量使用企業憑證及跟合法應用程式使用相同Bound ID的有問題iOS應用程式。經過深入研究後,我們發現Haima和其他第三方應用程式商店利用iOS程式碼簽章程序內的功能來達成資料繼承,從而完成其惡意行為。我們與Apple進行合作,並在iOS 10解決了這些問題,現在可以防止合法應用程式被造假版本蓋過。但是使用iOS 9.3.5或之前版本的設備仍可能受到影響,因此建議使用者要更新到iOS的最新版本。

 

潛在風險

不僅僅用來製造山寨版,這些漏洞也造成嚴重的風險,惡意分子可以針對合法應用程式來散布惡意軟體。詐騙者只需要建立跟正版應用程式具備相同Bundle ID的惡意程式,接著利用其熱門程度來誘騙使用者安裝他們的惡意軟體。企業所用的內部應用程式也一樣能夠透過相同Bundle ID來偽造、重新簽章和重新封裝。

對合法應用程式所造成的影響可能有很多種,取決應用程式如何控制自己的資料或如何實作其功能。許多合法應用程式用JavaScript來實作服務,其程式碼會自伺服器取回。利用這漏洞可以讓攻擊者用自己的伺服器連結替換掉原本的連結。讓他們能夠變更應用程式邏輯,接著控制應用程式的行為。

他們還可以修改資料來偽造網址,讓合法應用程式連到惡意服務來騙取個人身份資料,甚至直接竊取使用者的網路銀行帳號。還可以修改應用程式功能,例如替換應用程式開啟的網址來下載惡意軟體(在使用者「信任」憑證後執行)。也可以修改合法應用程式的廣告識別碼,將產生的廣告獲利轉給詐騙者。

 

假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)
圖1、假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)

Continue reading “假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  “

< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題

 

Raimund Genes (CTO)

 

 

作者:趨勢科技技術長CTO Raimund Genes

 

 

報導指出2012年的LinkedIn資料外洩事件和原本的認知有很大的差距:並非如當時所說的是650萬筆紀錄遭竊,事實上,有1.67億使用者受到影響。其中有1.17億筆的資料包含使用者的電子郵件地址和密碼。

linkedin

直到這些大量的外洩資料在黑暗網路社群上進行販賣,才讓所有人意識到這變得更加嚴重的問題。LinkedIn發表一篇文章確認了此外洩資料的真實性,並且要求受影響的使用者重設密碼。

我也是受影響的人之一,所以我研究了一下。如果我選擇Raimund_Genes作為密碼,系統會出現綠色並且說是可行的密碼。當我嘗試使用Linkedin_Raimund,它也會被標示為強密碼。但這些都不是我所認為的強密碼。你發生了受人注目的資料外洩事件,應該要利用這個機會來重新教育使用者來使用強密碼。

顯示或取得我的瀏覽器、作業系統和位置資訊可能也並非是個好主意:

 

除了「可笑」的密碼等級外,還有一些其他值得關注的地方。目前還不清楚為何會誤判資料外洩的規模大小,是什麼導致大家認為這起2012年的事件比真正的規模要小的多。LinkedIn的使用者有權知道發生了什麼事 – LinkedIn知道什麼,他們什麼時候知道的?到底有多少使用者受到影響,有哪些資料處在危險中? Continue reading “< CTO 觀點 >從LinkedIn 逾一億資料外洩事件,看密碼設定等更多未解的問題”

愛發文打卡者請注意! 一天8篇發文,就能推測出你住家和辦公室位置

現代人喜歡發文打卡,在家要發,搭公車要發,外出用餐要發,旅遊更要發,但你知道這樣的舉動會暴露行蹤嗎?據英國《每日郵報》報導,美國麻省理工學院和英國牛津大學專家指出,每天8則發文,即便是沒有任何技術和相關知識,也可以精確的指出發文者的工作地點甚至住家位置。研究報告指出, 65%測試者可以大致知道使用者住家位置,而70%能推算出工作位置,甚至能有85%的能夠精準掌握其公司所在地。

周末愉快~小提醒:打卡不要將別人拖下水▼請看:安全打卡 8 要點▼blog.trendmicro.com.tw/?p=2950

Posted by 趨勢科技 Trend Micro

 

網友發表一篇要跟愛打卡的老婆離婚了引起很多迴響,作者說:” 我工作請假是說家裡有事情,也沒告訴同事說要出國,連爸媽我都沒說…”一周後回國卻發現 “我的電視、音響,家裡所有值錢的東西都被搬光了, 我心裡有碎掉的聲音…..”,這是個血淋淋的真實案例.

以下兩則跟打卡有關的新聞報導,不禁讓小編要再度提醒大家安全「打卡」重要性了。

【案例一】:臉書打卡慶生 女通緝犯躲16年破功,一名判刑遭通緝的沈姓女子,逃匿十六年,追訴時效再過十四天將消滅,但她月初過生日時在臉書上打卡,台南市玉井警方因此掌握到她行蹤,將她逮捕到案。

【案例二】:這則新聞 小開臉書打卡洩蹤,綁匪按表擬擄人計畫報導說男子得知某小開常使用臉書紀錄個人資料,整理其臉書訊息以了解其作息及擬定擄人計畫,將他擄走後勒贖500萬元。

“打卡”時不要再將朋友拖下水-安全「打卡」8 要點

 Check in打卡

早上起來發現天氣很好,不想上班時你會麼辦呢?打電話跟老闆說”今天生病,不能去上班,要請病假”,可是萬一你像文中這位老兄,請病假去狂歡,卻因為一張 facebook 上的照片被開除了,可就麻煩大了。網路上有數十種地理社交 App 程式,如:Foursquare、Twitter、Instagram、Yelp!、Trip Advisor、Facebook 等等,都能讓您搜尋當地商店相關的祕訣和評論,並且到這些地方打卡。但我們要呼籲審慎挑選你分享個人位置的對象和方式非常重要,尤其對單身女性。 Continue reading “愛發文打卡者請注意! 一天8篇發文,就能推測出你住家和辦公室位置”

“誰在看你的社群網站個人檔案? “詐騙應用程式變身再出擊,再次成為熱門app

 InstaAgent換名為InstaCare,再次成為熱門下載應用程式

在去年年底,一個名為InstaAgent的應用程式愚弄了數千名iOS和Android使用著,給出它們Instagram的帳號憑證好來知道誰在看自己的個人檔案。但其實這應用程式所真正做的是將這些登錄憑證發送到一個未知伺服器,劫持使用者帳號來任意發表圖片。InstaAgent經過了精心的設計(至少在社交工程(social engineering )的角度上),在Apple App Store下架前達到近五十萬的下載次數。

iphone_new

現在看起來,它的開發者進行了第二次的嘗試,有著一切相同的元素,只是用了不同的名稱:InstaCare。這個應用程式做跟InstaAgent一樣的事情,它會竊取使用者資料並劫持帳號 – 而且再一次地,它達到一樣的成功。據導,InstaCare甚至在某些國家進入Apple App Store下載排名榜的最高點。在本文撰寫時,該應用程式似乎已經被下架,但想想其可下載期間所達到的使用者數量,它的確成功了。

InstaAgent,InstaCare以及類似的騙人應用程式證明社群媒體本身仍是有效的社交工程(social engineering )誘餌。並不能完全怪罪使用者希望知道誰看了自己的個人檔案,到Apple App Store和Google Play上搜尋類似的關鍵字就會發現這是個歹徒聚寶盆,有許多其他應用程式也宣稱有類似功能。

應該要再重申一次,到目前為止,沒有合法而安全的應用程式可以讓社群媒體使用者知道誰看了其社群媒體帳號。除了LinkedIn的個人檔案檢視通知外,社群媒體網站和應用程式既不提供也不支援這種服務。

Continue reading ““誰在看你的社群網站個人檔案? “詐騙應用程式變身再出擊,再次成為熱門app”