報告數據 - 資安趨勢部落格

FBI 報告：2018 年全球變臉詐騙 (BEC) 損失金額已超過 120 億美元

2018 年 07 月 31 日2018 年 09 月 14 日趨勢科技 TrendMicro

2018 年 7 月 12 日，美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center，簡稱 IC3) 發布一份公告指出，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)/電子郵件帳號入侵 (EAC) 的問題持續升高，尤其在房地產業。FBI 彙整了來自包括國際執法機構在內的各方數據之後發現，從 2016 年 12 月至 2018 年 5 月，全球已曝光的變臉詐騙損失金額成長了 136%。其大幅成長的結果，也導致美國境內及國際合併總損失金額增加到 125 億美元左右，此數字甚至比趨勢科技 2018 年資安預測所預期的金額高出 30 億美元。

近幾年來，變臉詐騙集團持續鎖定房地產業發動攻擊，IC3 在 2017 年網路網路犯罪報告當中已明確指出這點。根據官方資料，從 2015 至 2017 年，房地產交易案件的受害人數暴增了 1,100% 以上。產權公司、法律事務所、房地產仲介業者以及買家/賣家的受害模式大多是在房地產交易過程當中收到假冒電子郵件，受害者依據歹徒的指示將款項匯到假冒的國內帳戶，其實這些帳戶大多是位於中國及香港的亞洲銀行帳戶。

IC3 最新報告當中還有一點值得注意的是受害者的身分，也就是該報告中所指的境內「錢騾」(money mule)。這些錢騾經常是詐騙集團利用金光黨或婚姻詐騙手法所騙來的受害者。詐騙集團會利用這些受害者，幫他們開設一些臨時的銀行帳戶。繼續閱讀

真危險！台灣單月造訪惡意連結次數高排行全球第三

2018 年 06 月 21 日2018 年 06 月 20 日趨勢科技 TrendMicro

趨勢科技呼籲企業應把關資安脆弱環節 確保達成 GDPR 所需的防禦

全球網路使用環境的威脅越來越惡劣，那些誘導使用者點擊瀏覽惡意網頁，進而下載惡意程式至上網裝置進行如盜取個人資訊等不法行為更是每天發生在你我的身邊。根據全球網路資安解決方案領導品牌趨勢科技 TREND LABS全球技術支援與研發中心研究指出，今年四月份台灣用戶造訪惡意連結的次數累計超過800萬次，躍上全球第三的排名，僅次於日本及美國。研究報告也同步指出，全球四月份所監測到惡意程式最多的國家分別是美國、日本、澳洲、巴西和台灣，其中台灣單月也有超過500萬個惡意程式到處肆虐，駭客攻擊方興未艾仍然為資安隱憂！

上述的研究數據顯示台灣在資訊安全的管理上仍是『高危險群』，今年四月份台灣上網族群造訪惡意連結的次數，相較於一月份成長1.5倍之多。事實上，隨著越來越多人會透過各種行動裝置在辦公室以外的環境工作，如：咖啡廳、機場、飯店或家中等，當駭客透過惡意連結進而駭入使用者的裝置時，遭受感染的裝置恐成為不法之徒入侵企業內部網路的跳板，進而對企業內部網路安全造成威脅。

近年來新興科技如物聯網的廣泛應用，數據及資料的流動與安全儼然已是一個複雜且日趨重要的課題，趨勢科技呼籲，台灣企業必須更積極重視網路安全的管理及資料保護，特別是上月25日歐盟通用資料保護法 (GDPR-General Data Protection Regulation)正式上路之後，全球經營者皆應重新檢視企業內部對於資料保護的對應做法，除了提高員工的資安意識及加強組織內部對資安與資料隱私的要求。趨勢科技建議企業可採用具備進階能力、完善偵測引擎的資安產品來協助企業集中控管並防禦最新威脅。像是趨勢科技XGen™防護能提供跨世代融合的威脅防禦技巧，保護資料中心、雲端環境、網路及端點，協助企業在高風險的網路使用環境下，能夠獲得最佳的保護。

建構更妥善的資料保護，避免違反 GDPR 歐盟資料保護法規範(含資料圖表)

2018 年 06 月 12 日2018 年 06 月 12 日趨勢科技 TrendMicro

一般資料保護規則 (GDPR) 經過四年審議之後於 2016 年 4 月通過，目前已經實施。這項規範成為全球各地的熱門話題，其中採用更嚴格的資料保護標準，並訂定高額罰款，而最令人注意的是涵蓋範圍相當廣大。GDPR 對持有歐盟公民個人資料的任何組織造成影響，不論其規模或地點為何。位於亞洲地區的公司，以及分公司遍佈歐洲的跨國企業，只要收集及處理歐盟公民資料，就要負責遵循法規。

這項規範也描述受影響組織的資料保護義務，其中包括採用最先進的安全措施，乃至於讓使用者對自己的資料享有更多的存取及控制權利。由於需要全面變革才能遵循法規，歐盟主管機關提供兩年的時間，讓各會員國及組織有時間做好準備。現在過渡期已經結束，GDPR 正式實施。

現在會發生什麼事情？

實施法規代表組織應已依據 GDPR 處理個人資料，包括當事人權利條款在內。歐盟會員國的資料保護主管機關 (DPA) 也已能夠針對未遵循法規的組織開罰。視會員國而定，主管機關可採取立即行動因應任何未遵循法規事件。不過部分規範組織計畫以更溫和的態度，處理已經開始但尚未完成法規遵循工作的企業及組織。

最糟情況是什麼？組織要為未遵循法規造成的損害負責，並遭受對應的行政罰款。罰款最重高達 2 千萬歐元或 4% 年度營業額，以較高者為準。

最理想情況是什麼？若組織完全遵循 GDPR，或使用規範作為起始點超越最低標準，將享有重大優勢。其中部分效益包括：安全無虞的寶貴資訊、以適當的封存及資料管理提升營運效率，以及加強客戶及使用者的信任度。

雖然 GDPR 適用於歐盟公民的個人資料，但也引發全球各地變革隱私權規範。2018 年實施 GDPR 之後，有多個國家也加強本身國內法規，例如英國及澳洲在內的多個地區，也更新了本身的資料保護法。這代表 GDPR 法規遵循提供一項大好機會，不論是跨國企業還是小型組織，都能趁此跟上全球在資料隱私及先進安全技術方面的進展。

組織應如何應對？

在理想情況下，組織現在應已完成法規遵循的所有基礎工作，也應已完成法規遵循核對清單的所有項目。組織應能提供各項產品或服務，因應 GDPR 概述的客戶權利。使用第三方應用程式或供應商的組織應留意「被遺忘權」及更嚴格的使用者同意標準等議題的最新內容，確保能夠適當運作。多項法律及軟體變更也預期自即日起或未來幾個月內生效，組織應做好準備面對任何必要變更。繼續閱讀

網路攻擊和資料盜竊列組織前五大風險,資安長(CISO)該怎麼辦?

2018 年 05 月 18 日2018 年 04 月 30 日趨勢科技 TrendMicro

企業風險管理 (ERM) 日益困難。世界經濟論壇 2018 年《全球風險認知調查》(Global Risks Perception Survey) 顯示，組織今年最可能遭遇的前 5 大風險之中，網路攻擊和資料盜竊分別是第 3 名和第 4 名。這種情況並非出乎預料。2017 年，全球各地的資安長- chief information security officer (CISO)面臨了破壞性的勒索攻擊、大規模的漏洞威脅、削弱企業的商業電子郵件入侵變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱 BEC）詐騙、遽增的加密貨幣風險、不斷演進的物聯網（IoT ,Internet of Thing）威脅，資料外洩事件更是源源不絕。面對諸多危險，公司應如何自處？而組織在 2018 年，又該如何管理企業風險？

從WannaCry(想哭)勒索蠕蟲到 Petya，勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊導致許多生產線中斷，受害廠商包括 Honda、Nissan、Renault，甚至 Cadbury。強大的勒索病毒結合 EternalBlue(永恆之藍)漏洞的蠕蟲功能，使得這類攻擊的發生率和影響力增加 10 倍。光是這些攻擊就突顯出，資安長必須重新審視評估營運的風險。我們不能再將這類威脅視為單純的 IT 風險，其影響範圍遍及 IT 和營運技術 (OT) 的領域，可能造成全球數十億美元的損失。

[請參閱：深入瞭解 2017 年的資安威脅如何侵擾企業]

2018 年，組織亟需採用風險導向漏洞管理，因為即使只有少數漏洞曝露，就表示已經成為刺探攻擊的武器，而且還會持續造成後患。特定類型的威脅，如 2017 年發生的 Dirty COW 攻擊，仍對企業帶來嚴重影響。繼續閱讀