本周資安新聞週報重點摘要
- 什麼原因銀行要求員工社交網站上「謹言慎行」,且別在電子郵件傳送「不在辦公室」的回覆?
- 連續假期出國玩,退役空姐建議您登機證別亂丟;沒搭過 UBER 竟被討3千車資 !
- 年關將至基隆傳出局提款機遭人暗藏側錄器
- 兩則網路釣魚(Phishing)主旨,分別針對清大副校長和娛樂體育名人:
-「警告:我們相信國家支持的駭客可能企圖侵入您的帳號或電腦。請立即自我防護。」
-「大型有線電視台即將播出的熱門劇集最新一季」
本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
駭客入侵 凱悅飯店電腦發現惡意軟體 中央廣播電臺
凱悅酒店集團(Hyatt Hotels)23日發表簡短聲明指出,近來在用來處理客戶付費的電腦上,發現惡意的電腦代碼。
凱悅在這項聲明中,並未透露駭客攻擊造成的影響─如果有影響的話。聲明中只說,公司已立即啟動一項調查,並找來著名的第三方網路安全專家。
【延伸閱讀】< IoE萬物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in
駭客入侵銀行從員工下手 中時電子報
華爾街日報周一報導,美國銀行業斥資數十億美元加強資訊安全,但是員工在無意間泄漏公司重要資訊,或是留下數位線索讓駭客發現可趁之機,這些不經意的行為恐讓銀行的防駭努力破功。
不少銀行為了強化資安防禦,禁止員工使用USB等可攜式裝置,要求他們社交網站上「謹言慎行」,或是別在電子郵件傳送「不在辦公室」的回覆。
【延伸閱讀】休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!
登機證別亂扔! 訂位碼+姓名可查「詳細個資」 TVBS新聞網
接下來元旦3天連假跟農曆年假又是出國旺季,報到完拿到的登機證抵達目的地後你都怎麼處理?有人隨便就扔在機場垃圾桶,國外專家提醒登機證上有很多「個人資料」,有心人士只要有訂位代碼跟名字就能查詢你訂的行程,退役空姐也說要是透過訂位系統更能把詳細個資都查到,特別是不少航空公司官網設計,只要有訂位代碼跟名字就能網路報到,甚至選位、訂餐資料外洩輕則「變更訂位」,嚴重就是個資通通外洩。
基隆郵局提款機遭裝側錄器 聯合新聞網
基隆市仁二路郵局提款機遭人暗藏側錄器,警方從針孔攝影機中,發現少數民眾個人資料,側錄器送交刑事局清查,幸好即時阻止,目前員警掌握線索追查嫌犯,另清查全市提款機是否被動手腳。
陳姓男子前天到仁二路郵局ATM領錢,發現提款機與其他機器不一樣,察覺有異狀,似乎被安裝不明物品,通知郵局人員轉報警方協助處理。警一分局獲報後,派員勘查。
【延伸閱讀】使用網路銀行也要小心! 鍵盤側錄程式,攔截中小企業交易資料
利用螢幕擷取和鍵盤側錄功能等 12 個網路銀行木馬
沒搭過UBER 竟被討3千車資 會員未出國 卻有洛杉磯帳款 台灣蘋果日報
沒去過美國,卻被UBER收取愛荷華州搭車車資!新北市一名UBER會員從未使用過叫車服務、且從未去過美國,卻收到電郵檢附美國愛荷華州搭乘UBER的收據資料,要向她收取換算新台幣約三千四百多元車資,讓她超傻眼,質疑UBER資安不安全。UBER表示,無證據顯示使用者資訊遭竊取,但會配合調查。消基會指出,UBER系統明顯有漏洞,消費者應審慎考慮是否使用。
Google測試以手機取代密碼登入帳號 電子時報
Google目前正開放部份用戶測試利用智慧型手機來登入帳號,取代目前輸入密碼做法。日前Google為了打擊網路釣魚行為,也曾推出擴充程式,提醒用戶正在使用釣魚網站。
一般常見把姓名、身分證字號隱碼的做法,其實並不等於將個人資料「去識別化」關鍵評論網
來看兩個數據,台灣都在全球名列前茅:開放資料(open data),台灣2015年從11名躍升為第一名,也是非歐洲國家首度得到開放資料排名前三名;資訊安全威脅,台灣網路遭惡意入侵數量居全球前四名。
2015年15件科技業大事 福斯排氣醜聞 新創泡沫在列 Match 生活網
《CNNMoney》記者幫讀者整理 2015 年 15 件科技大事。
- 懸浮滑板 (Hoverboard)
在眾多新創科技產品當中, 2015 年懸浮滑板的話題不斷。由於僅需使用身體平衡,就可帶動滑板前後移動,使得懸浮滑板廣受青少年熱愛。
然而,不只因為安全顧慮問題,在飛機上禁止使用懸浮滑板以外,亞馬遜 (Amazon) ((US-AMZN)) 與網路賣場Overstock 都將懸浮滑板下架、停止販售。此外,美國部分地方政府認為懸浮滑板是交通工具,因此不能在人行道上使用。但同時又缺少防護裝置,所以也不能在道路上使用。使得懸浮滑板的定位不明。因而在某些城市當中,懸浮滑板暫時禁止在道路上使用。
2015年科技發生什麼事? 我們回頭看… 聯合新聞網
- 虛擬實境依舊火熱,但還是未能成為主流
- 行動支付越來越為火熱,但實際上…
- 仿生機器人的聲浪越來越大,但進入一般市場還太早
- 越來越多新創透過集資網站發展
- 共享經濟似乎有可能改變傳統商業模式
- 網路創業已經不流行,App商機越來愈龐大
- 智慧型手機持續飽和,智慧穿戴成下一波戰場
- 物聯網聲浪越來越大,但還停留在起步階段
- 帶來重大改變的5G網路,暫時還沒有具體規範
- 雲端平台依然是重要發展項目,人工智慧越來越重要
【延伸閱讀】
印度 IS駭客入侵企業電郵 盜走90萬美元 經濟日報(臺灣)
警方表示,近日疑似伊斯蘭國(IS)駭客入侵德里一家公司的員工郵件,盜走倫敦客戶支付給該公司的款項,並存入恐怖組織在土耳其的帳戶,總額約5,000萬至6,000萬盧比(約90萬美元),是今年來最大駭客入侵案。
拒絕提供疑犯通信記錄 巴西法院下令禁用WhatsApp 關鍵評論網
WhatsApp免費的傳送訊息、語音通話功能,使民眾不再需要過去手機的傳訊與通話功能,數百萬人放棄高價的電信合約,大大影響電信商收入。過去幾個月,巴西的電信商試圖聯合對抗WhatsApp,控告其損害電信公司發展,並遊說政府其免費語音通話服務不受監管,屬不法營運,希望政府加以監督。
Hello Kitty公司被駭 330萬用戶資料恐外洩 台灣蘋果日報網
經營Hello Kitty品牌的日本三麗鷗公司(Sanrio),近日被發現其資料庫遭駭客入侵,330萬用戶資料可能因此外洩。
陸網攻「沒少過」 從共用資訊系統下手 聯合新聞網
行政院國家資通安全會報今開委員會議,行政院副院長張善政會後指出,來自中國大陸的網路攻擊沒少過,「已不是新聞」;他並指出,資安等級部分,過去3年共發生19件須通報行政院長層級的「三級資安事件」,今年至今只發生3件「三級資安事件」,是歷年來最少一次。
Steam 目前是 PC 遊戲最主要的數位平台,不過資安問題嚴重,經營公司 Valve 在 2015 年 12 月「自曝其短」,公開透露每個月有高達 7.7 萬帳號遭盜,無數虛擬道具、寶物遭到盜賣,Valve 自爆資安問題,是希望玩家能有更高的資安意識。
Steam 平台打從推出的第一天起就有駭客嘗試入侵,不過真正資安問題大爆發,是在 2011 年 8 月,推出 Steam Trading 虛擬物件交易平台以後,在盜賣的誘因下,入侵盜用帳號事件暴增 20 倍,Valve 表示:「帳號被盜、物件被賣走,是個糟透了的經驗,而我們痛恨消費者帳號越來越常遭盜用。」
遭中國網軍攻擊 司徒文:因常評論兩岸議題 台灣蘋果日報網
《彭博新聞》今報導,中國駭客對台發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊),現任清華大學副校長的美國在台協會前處長司徒文也是中國網軍的攻擊對象之一。司徒文今指,駭客試圖入侵他的Gmail,也透過清華大學的系統傳送給他大量釣魚訊息,雖然並未成功,他仍對此高度關切。
司徒文(William Stanton)以電子郵件回覆《蘋果》詢問。他說,數周前他的Gmail 帳號出現這樣的訊息「警告:我們相信國家支持的駭客可能企圖侵入您的帳號或電腦。請立即自我防護。」訊息並未指明是那個國家的駭客。
上百名人郵箱被黑劇本和隱私失竊 新浪網(臺灣)
美國檢方22日說,一名巴哈馬人涉嫌非法侵入超過100名娛樂和體育名人的電子郵箱,竊取大量電影、電視劇劇本和私人信息並出售牟利。
嫌疑人名為阿隆索·諾爾斯,21日從巴哈馬飛到美國銷贓時被逮捕。檢方說,本月早些時候,一名「當紅電台主持人」收到推銷信息,對方兜售劇本,內容是「大型有線電視台即將播出的熱門劇集最新一季」。這名電台主持人隨後與劇集的製片人聯繫,後者向司法部門報案,諾爾斯繼而進入調查人員的視野。
趨勢科技PC-cillin雲端版防毒軟體,先進的網路釣魚(Phishing)防範技術能協助避免掉入詐騙陷阱。並增加對勒索軟體 Ransomware加密行為的防護機制!》即刻免費下載
終於捨棄 Flash!Facebook 網站預設以 HTML5 播放影片 數位時代
HTML5 逐漸成為網路影片的標準格式,網路瀏覽器均已支援;然而 Flash 屢次出現漏洞,也導致部分瀏覽器開始暫停支援 Flash。追隨 YouTube、twitch 等網站的腳步,Facebook 網站預設以 HTML5 播放影片。
蘋果正式反對英國的調查權力法案 iThome
蘋果在本周向英國政府提交正式聲明以反對正處於審議階段的調查權力法案(Investigatory Powers Bill),該法案的目的在於保護政府的監控權力,蘋果則抗議該法案將會削弱蘋果產品的保護機制並危害用戶。
此一調查權力法案要求業者必須保存使用者的網路連結紀錄長達12個月以供政府需要時調用,也規定業者必須要保留可移除加密機制的能力,另亦賦予政府監聽權力。
《科技》IoT時代,資策會4議題聚焦 中時電子報網
物聯網的強大力量將造就一個全新的經濟典範,資策會產業情報研究所(MIC)表示2016年在物聯網各環節技術漸趨成熟下,預期資訊應用將在明年進入IoT時代,對於資訊軟體應用,資策會(MIC)提出四個關鍵議題。
資策會MIC產業顧問周維忠表示,IT為「資訊」和「技術」的結合,過去的發展焦點經常被放在「技術」發展上,較忽視「資訊」的重要性。然而在IoT時代,巨量資料是貫穿各種應用服務的核心,思考在技術上應搭配什麼資料,是實現創新應用的關鍵,再搭配提供資料目的、提供的對象,資料分析加值,呈現資料價值等發展概念,才能產生實質的效益。
批向IS購油 匿名者向土耳其政府宣戰 Match 生活網
國際駭客組織匿名者(Anonymous)週二(22日)宣告,鑒於土耳其政府支持伊斯蘭國(IS)的行為,該組織將對土耳其政府展開大規模的網路攻擊,聲明並直接點名,「我們不會再接受土耳其總統艾爾段(Recep TayyipErdogan)繼續幫助IS」。
國際知名駭客組織匿名者22日再度發出攻擊宣言,威脅將對土耳其政府,包含機場、銀行、軍事單位以及政府組織等機構的網站,發動大規模的網路攻擊。
Yahoo開始告知遭國家級駭客鎖定的用戶 iThome
繼Google、Facebook之後,Yahoo也開始告知遭到國家級駭客鎖定的用戶:你被盯上了。
Google早在2012年便開始提供類似服務,一般認為與Google當時主動宣稱遭到明顯是來自中國的目標式攻擊有關。Facebook則是在今年10月宣佈為保護其用戶,將主動警告遭到政府或國家級駭客攻擊鎖定的用戶,Twitter也在上周開始跟進。
專家:美國國安局對Juniper漏洞負有間接責任 iThome
上周網路設備製造商Juniper Networks緊急修補旗下網通裝置平台ScreenOS的兩個安全漏洞,資安及密碼專家認為,美國國安局(NSA)對Juniper的安全漏洞負有間接責任。
Juniper在ScreenOS平台上發現了未經授權的程式,這些陌生程式允許駭客遠端存取裝置及解密VPN流量,Juniper並未說明陌生程式的來源,媒體報導美國聯邦調查局FBI已介入調查。
舊Java很危險 甲骨文不能再裝傻 世界新聞網
根據科技公司甲骨文與美國「聯邦貿易委員會」(FTC)達成的協議,甲骨文必須警告電腦用戶:他們的電腦裡如果有舊版Java軟體,容易被駭。
根據FTC掌握的甲骨文內部文件,甲骨文欺騙消費者好幾年,說他們只要將電腦裡的Java軟體升級,惡意軟體與駭客就不得其門而入。FTC說,事實是,直到去年,甲骨文提供的升級工具都沒有拿掉舊版Java,亦即PC用戶仍有受害之虞。
26歲駭客僅花一個月開發出自駕系統 電子時報
26歲的美國駭客George Hotz只花了1個月時間就開發出便宜的自動駕駛車系統,雖然離真正上路還需一段時間,但已經開創出無限可能。
彭博(Bloomberg)報導,Hotz在17歲時已geohot名號活躍於駭客社群,他是第一個駭進蘋果(Apple)iPhone的人,讓iPhone可以使用AT&T以外的電信網路;之後他還破解Sony PS3遊戲機的系統,讓他聲名大噪。
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。