《資安新聞週報》封關民調,點擊恐被植木馬/安全重災區?iOS、Mac OS X 漏洞比 Adobe Flash 還多!

 

年關將近當心詐騙集團界詐騙簡訊拚年終, “年收入低於160萬補助健保費是假的” 、“封關民調,點擊恐被植木馬”
有網友在朋友圈和微博爆料,稱對着iPhone或iPad使用語音控制的SIRI功能说“發張照片”時,系統竟然自動顯示6張不雅圖片
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

news2

 

別再傳了! 年收入低於160萬補助健保費是假的  自由時報電子報
近期不少社群媒體,例如LINE瘋傳「年收入160萬元以下趕快去健保局申請菸品健康捐補助健保費」的訊息,造成健保署電話接不完,信箱中也有一堆相關的詢問信件,健保署正式澄清並無此事,強調訊息完全是錯的,希望民眾不要再分享造成誤解,並且應該慎防個資外流遭詐騙。健保署承保組科長盧麗玉表示,依照《社會救助法》相關規定,符合中低收入戶資格者,可由菸品健康福利捐補助自付健保費的2分之1,每年約20萬人受惠,但補助方案只適合中低收入戶,而非傳播訊息所提年收入160萬元以下者,且各地縣市政府會主動提供中低收入戶名單傳送健保署,以利補助作業,不須民眾額外向健保署提出申請。

〈中部〉封關民調,點擊恐被植木馬   自由時報電子報
總統大選民調今起不能公布,但近來中部地區不斷有民眾收到「民調超連結」簡訊,點進去一看,卻不是民調資料,警方表示,這很有可能是駭客入侵,把木馬程式植入受害人手機竊取個資。鄭姓民眾說,這一個禮拜以來,他手機連續接收到不明來源的簡訊,分別透過「中華電信」、「臉書」、「line」傳送,內容提到「總統大選逼近,民調封關,想看各機構最新民調結果請連結http://…」、「○○你好:期待與妳建立Lindedin關係。接受或取消訂閱請按http://…」。

延伸閱讀LINE/簡訊詐騙總整理:http://blog.trendmicro.com.tw/?p=6279

【公民提問一】中低收入戶網路免費 三位候選人都支持  台灣蘋果日報網

2016總統大選最終場總統辯論,公民提問第一題是要求三位總統候選人回應是否同意推廣免費上網,扶植產業行銷台灣,並縮短數位落差?

第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電 資安趨勢部落格

在2015年進入尾聲時出現一起特別的事件,烏克蘭的伊萬諾-弗蘭科夫斯克地區有數十萬戶住家,相當於當地一半的住宅,籠罩在無電力供應的黑暗之下。這起事件跟11月時烏克蘭民族主義分子在克里米亞半島進行破壞造成停電並沒有關係。根據研究人員表示,這次事件是由系統內的惡意軟體造成,導致12月23日出現6小時的電力中斷。

安全重災區?iOS、Mac OS X 漏洞比 Adobe Flash 還多!  自由時報電子報

國外研究調查機構 CVE Details 出具報告指出,2015 年安全性漏洞最多的軟體名單中,蘋果 Mac OS X、iOS 竟然高掛冠亞軍,緊接在後的則是為多人詬病的 Adobe Flash。

國外科技媒體 VentureBeat 報導,CVE Details 公布 2015 年安全漏洞排行榜,Mac OS X 漏洞多達 384 個,iOS 漏洞為 375 個,「勇奪」第一與第二。第三名則是常常因安全漏洞而招致撻伐的 Adobe Flash,而且其漏洞才 134 個,遠遠低於蘋果的系統。

 

清潔隊員代兄查詢女友個資 涉洩密遭訴  中時電子報網

台北市環保局陳姓女清潔隊員,利用告發民眾亂貼小廣告,可查詢民眾個資機會,受胞兄委託查詢前林姓女友的戶籍資料,事後再偽造林女遭檢舉的舉發通知書,掩飾洩密犯行,林女因發現個資外洩,跑到清潔隊質問陳女,陳女見紙包不住火,遂赴廉政署自首。台北地檢署因陳女沒有前科,且自首犯罪,給予緩起訴,期限1年,命她支付2萬元處分金給國庫。

 

微軟將打包停止支持舊版本IE   新浪網(臺灣)

新浪科技訊日期:1月7日早間消息,微軟將於1月12日停止對IE8、IE9和IE10的技術支持。微軟將發佈最後一個升級包,呼籲用戶轉向微軟的新版瀏覽器。

微軟停止技術支持意味著這些舊版IE將不會再獲得安全更新,因此更容易受到黑客的攻擊。近期公佈的一個升級包將最後一次解決漏洞,並向用戶宣布這些舊版IE的「生命周期終止」,呼籲用戶升級至IE11或Edge瀏覽器。

 

微軟公布Win 10使用數據 意外凸顯蒐集用戶資料問題   電子時報

微軟(Microsoft)雖一再堅持並未利用Windows 10窺探用戶,但尚未採取具體行動說服廣大用戶。微軟雖已更新隱私政策,更對外說明Win 10在何時會利用用戶資料,但微軟Windows和裝置事業群副總裁Yusuf Mehdi發表的部落格文章,卻意外暴露該公司所蒐集的用戶資料,比一般人想像中的還要多。

 

Siri彈出不雅照片!蘋果回應:Bug   電腦百事網

“發張照片看看”這句話在微博上火了,只要你對Siri說出這句話,隨後不久Siri就會以“發張”為關鍵詞搜索照片,彈出的前幾張圖片均為不雅照。

重慶日報記者分別通過4台iPhone 6手機對Siri系統發出“發張照片”的語音指令。伴隨著語音提示“我在網上找到了一些’發張照片’的相關圖片”,iPhone螢幕上自動彈出6張圖片,且都是不雅圖片。

記者多次嘗試後發現,向S​​iri說出指令“發張”、“發張圖片”、“發張圖片看看”,手機螢幕自動彈出的均為上述6張不雅照。對Siri說出語音指令“再發張圖片”,則會出現另外6張圖片,其中也含有不雅內容。

升win10了嗎?繼續用win7超危險「中毒機會大」!  中時電子報網

目前Windows7依然佔據全球市場55%​​的份額,但這對微軟來說,顯然不是什麼好消息。Win7用戶多一個,也就意味著升級新系統的用戶少一個。所以微軟一定會利用一切可以使用的機會,引導用戶升級到Windows 10。

據福布斯(Forbes)報導,在最新的Windows Weekly節目中,微軟營銷負責人Chris Capossela就宣稱,「繼續使用Windows7的用戶將面臨很大風險。而未來的軟體、硬體兼容性,微軟也很擔憂!」

【延伸閱讀】Windows 10 的新瀏覽器Microsoft Edge:有改進但也有新風險

 

看完這駭客四部曲,保證你以後再也不敢連到公共Wi-Fi了  科技新報

我和一名駭客朋友來到了一家咖啡館中。然而,就在不到 20 分鐘的時間裡,他就知道了咖啡廳裡這些使用公共 Wi-Fi 上網用戶的出生地、就讀過的學校,甚至是剛剛用 Google 搜尋過的 5 個關鍵詞。

這名駭客今年 34 歲,名字叫做沃特·史勞勃(Wouter Slotboom)。在正式開始當天的「咖啡廳之旅」之前,他將一個只比香菸盒略大一點、帶天線的黑色裝置放在雙肩包裡。我是有一次在阿姆斯特丹的一家咖啡館裡偶遇到他,那是一個陽光十分燦爛的一天,咖啡館裡幾乎所有的座位上都坐滿了人。一些顧客三三兩兩的坐在那裡聊著天,還有一些顧客蹭著 Wi-Fi 拿著智慧手機聽著歌,還有一些顧客在用筆電工作著。

【延伸閱讀】借用一下別人的 Wi-Fi 無線網路上網沒關係嗎?

 


 

勒索軟體 

PCC2016_1Y3U_TW box

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)最大宗的攻擊方式是透過網路釣魚信件,只要開啟陌生人寄來的信件即可能中標!

趨勢科技PC-cillin雲端版防毒軟體,先進的網路釣魚(Phishing)防範技術能協助您避免掉入詐騙陷阱。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密)!即刻免費下載試用



 

 

 

資安周報第4期:免費連網服務,已經是臺灣的基本人權了嗎?  iThome

由臉書創辦人馬克祖克柏(Mark Zuckerberg)藉由創辦Internet.org所推動的免不僅臉書推動Free Basics的免費上網服務,臺北市也早就在2011年開始推動免費無線上網,確認民眾享受政府提供的免費上網服務,已經是一種天賦人權

隨著2016年的到來,未來一年將會有更多的資安風險和威脅新手法陸續出現,當免費上網已經成為人民的基本權利時,資安的問題就應該是雙胞胎,無法忽略

 

 

當前消費電子產品已夠用 消費者對科技新品無感   電子時報

根據最新的調查顯示,全球消費者普遍對當前使用的電子產品感到心滿意足,短期內沒有想要更換產品的計畫。

據The Register網站,日前調研公司埃森哲(Accenture)針對28國2.8萬名消費者進行調查,發現他們對當前熱門的消費電子產品興味索然。調查顯示,48%的消費者計畫在未來1年購買1支智慧型手機,這比率與2015年相比下滑20%;30%消費者計畫在未來1年購買1台新的電視、平板電腦或NB,比2015年同年下滑10%。

 

日本強推「個人編號」制 隱私無處藏個資外洩風險高   新聞雲

日媒報導,日本從2016年1月起正式啟用「個人編號」制度,以統一對每一名國民的記錄和管理。 所謂「個人編號」,是指一張類似於身份證的卡片,上面印有個人號碼、證件照、以及性別、出生年月等資訊。

跟身份證不同的是,這張卡片還會記錄個人的稅務、收入、存款、社會福利等資訊。也就是說,這一張卡片上整合了持有者所有的個人資訊。 報導指出,事實上,日本政府為推行此一措施已經準備了很多年。早在2013年即通過了相關法律,並且努力不懈的給國民「洗腦」。

 

去年北美智慧家庭新增用戶600萬戶  整體市場正式進入戰國時代   電子時報

在2106年CES展場中,相較於物聯網強打未來願景式的商機,智慧家庭系列解決方案卻已進入實質商品化銷售的階段。根據美國市場研究調查機構的統計,2015年有600萬戶新增用戶導入智慧家庭解決方案,成長力道確實顯著。

但也有業者認為,雖然以北美市場來看,大部分消費者對於智慧家庭產品線都有一定的概念,然市面上既有智慧家庭產品線差異性不大,也缺乏更具有特色的應用服務,讓消費者在思考購買智慧家庭產品線具有一定的難度,這也讓智慧家庭產品線的銷售量因此受到影響。

 

 

神鬼交鋒!FBI首位頭號通緝駭客   中時電子報網

凱文·米特尼克(Kevin David Mitnick),有評論稱他為「世界頭號駭客」、「最黑的駭客」。他是歷史上首位被FBI通緝的電腦駭客,以全美十大通緝犯的身份,登上了《時代》(Time)雜誌封面。他15歲時,就入侵了北美空中防務指揮系統,在被關進監獄之後,美國政府還認定,他只需要一根電話線,就能引爆核子戰爭。

 

國際/報復空軍基地被襲 印度駭客攻擊巴網站   中央日報網路報

為報復親巴基斯坦恐怖份子攻擊印度空軍基地,多個印度駭客團體6日向巴基斯坦關鍵網站發動大規模網路攻擊,包括巴國政府網站。

「今日印度」(India Today)報導,印度網路犯罪專家透露,已有多個駭客團體一起合作對巴基斯坦關鍵重要網站發動大規模網路攻擊,計畫摧毀癱瘓這些網站。

網路犯罪專家還指出,這些駭客團體還封鎖可能由巴國激進組織達瓦慈善會(Jamaat-ud-Dawa)、虔誠軍(Lashkar-a-Taiba)及印度回教學生運動(Students’Islamic Movement of India)、新印度聖戰士(Indian Mujahideen)
等經營的網站和社交媒體帳號。

 

物聯網裝置遇駭事件層出不窮 嚴重將威脅人身安全  電子時報

2015年在物聯網(IoT)領域發生多起重大駭客事件,讓物聯網的安全性議題浮出檯面。被駭客入侵的物聯網裝置包括連網車、醫療設備、芭比娃娃、智慧冰箱、嬰兒監視器,甚至連狙擊槍也難逃駭客魔掌。

根據WIRED報導,自從安全研究員Charlie Miller和Chris Valasek在2015年7月從遠端入侵某輛Jeep Cherolee,並且關閉車上的變速箱和煞車後,已永遠改變汽車產業對汽車安全的概念。

延伸閱讀
陌生人遠端接管你的車子,但你仍在駕駛座上 !!
汽車聯網安全嗎?

 

趨勢大資料平臺架構大公開  Pchome 新聞

趨勢科技資深軟體工程師葉祐欣分享趨勢大資料平臺架構(Big Data Stack)與建置經驗,並揭露趨勢為了自行建置Hadoop平臺所用的自動化更新和部署工具Bigtop

不少新興大資料技術接連竄起,3、5年前被視為企業頭號救星的Hadoop,也已經形成更完整的生態系,不再是當年只能做批次資料分析的技術而已,趨勢科技是國內最早採用Hadoop技術的企業之一,其資深軟體工程師葉祐欣在Big Data Conference 2015大會上,分享了趨勢大資料平臺架構(Big Data Stack)與建置經驗,並揭露趨勢為了自行建置Hadoop平臺所用的自動化更新和部署工具Bigtop。

 

驗證駭客破解PPTP手法 驚見VPN帳密全都露  網管人

PPTP通訊協定因為簡單好用,所以很多企業至今仍在使用,其實只須配合適當的工具,要破解PPTP的帳號密碼,真的是輕而易舉。為了讓大家深刻體認事情的嚴重性,本文將實地攔截及監聽PPTP封包,並示範如何加以破解。

可能很多人都說過PPTP已經是一個過時而不安全的協定,但知道為什麼它不安全嗎?究竟PPTP有多麼危險呢?能夠輕易破解嗎?在本文中,將實際進行PPTP封包的攔截、監聽,並進行破解的示範。

 

Hello Barbie:你準備好讓孩子與芭比娃娃對話了嗎?  數位時代

什麼?問世超過 50 年以上的芭比娃娃居然開口說話了? Hello Barbie 是全世界第一個能跟你互動的芭比娃娃,她利用Wifi連結網路,使用類似 Apple Siri、Google Now、Microsoft Cortana 的技術辨認對話內容,能跟你說笑話,玩遊戲。小孩子現在玩芭比娃娃,不需再自言自語,她能夠變成你家小孩最特別的朋友,也能當你的英文老師。

Hello Barbie 和過去芭比娃娃一樣,身材纖細苗條,最發亮的秀髮讓人羨慕!芭比的頭、手、腳能轉動,輕易擺出不同姿勢。另外,你有俏麗的金髮芭比、成熟的棕髮芭比,還有膚色偏黑的深棕髮色芭比能選擇。

 

數說2015:互聯網界值得回憶的瞬間    新浪網(臺灣)

015年,一系列的數字是互聯網界風雲變幻的風向標,雙十一的成交額、4G用戶的增長量、P2P平台的交易量……在這些數字的背後,是一個個行業的跌宕起伏。從萌芽到成長、再到井噴,在市場無形之手和政府有形之手的翻覆之間,互聯網的各個行業經歷了喧囂。

這些數字,讓你記住2015年值得回憶的瞬間。

14.3億 智能手機從爆發回落至平穩

近日,市場研究機構IDC公佈了《全球手機季度跟蹤報告》預測,2015年全球智能手機出貨量達到14.3億。遺憾的是,出貨量的同比增幅將首次滑落至個位數——9.8%,而且,增速減緩的趨勢在未來4年內將小幅加劇。

 

 

趨勢科技獲CSA亞太總部頒發2015年資安創新獎  電子時報(企業)

趨勢科技榮獲雲端安全聯盟(Cloud Security Alliance;CSA)亞太總部頒發「2015 年資安創新獎」(Security Innovation of Year 2015),此獎項專門表揚在雲端領域擁有卓越創新及貢獻的企業機構,而趨勢科技憑著真正創新的雲端資安防護獲得最高評價。

趨勢科技台灣暨香港區總經理洪偉淦表示,身為資安創新技術及服務的先驅,始終堅持「創新」這項核心優勢,而這同時也是持續創造成功的主要動力。在數位轉型劇烈的今日,因為網路資安情勢正快速演變,創新尤其重要;每當人們透過網路溝通及商業經營模式的方式有所改變,就會出現新的資安挑戰。

 

企業級伺服器安全防護登上公有雲環境,趨勢打頭陣  iThome

由趨勢科技所開發的Deep Security,原本是針對VMware vSphere虛擬化環境的VM提供惡意程式防護功能,這套軟體可搭配VMware vShield機制應用,後來隨著VMware開始主推網路虛擬化平臺NSX,Deep Security也亦步亦趨跟著支援。

近幾年來,Deep Security也開始支援其他的Hypervisor,像是微軟Hyper-V、開放原始碼軟體KVM,並將本身可保護的環境擴大到公有雲上,從2013年起,趨勢陸續宣布在Amazon Web Services (AWS)、微軟Azure、VMware vCloud Air的雲環境當中,提供Deep Security軟體服務,這類型的代管方案,稱之為Deep Security as a Service(DSaaS)。

 

2016年十大科技趨勢 它要紅了嗎?  中時電子報網

邁入2016年,不只每一個人都期待許新年心願,有個全新的好開始;科技大廠們也打算抓緊新趨勢,乘勢再起。研究調查公司Juniper Research日前針對全球科技市場在2016年的發展進行了預測,當中則由可能在2016年走入消費市場的虛擬實境(VR)技術領銜!以下就是Juniper Research預測的2016十大科技趨勢。

  1. 虛擬實境走向主流

當前,虛擬實境技術仍舊是一項嶄新技術,吸引科技愛好者關注。然而,在2016年包含Sony、HTC以及Facebook Oculus都預計向消費市場推出虛擬實境頭戴式裝置,且透過技術的進展,進一步壓低價格售價。經歷先前的醞釀期後,VR的相關應用也盼從遊戲面向跨入其他領域。

 

手機小額付款 網購成詐騙漏洞  太平洋日報

要如何防範智慧型手機詐欺?警方建議民眾,除了別輕易點擊不明連結網址,也要養成習慣不安裝來路不明的APP,並安裝防毒軟體定期偵測有無惡意程式;另外,關閉手機內「允許安裝來源不明的應用程式」設定,也是避免被詐騙集團入侵的好方法。

 

陸社科院:6成假新聞首發微博  旺報

大陸新聞無奇不有,看得人眼花撩亂,不知真假。中國社科院就曾在一分調查報告中指出,近6成的假新聞首發於微博,每周二是一周當中微信「謠言」傳播的最高峰。

中國社科院副院長李培林表示,網路資訊安全、新舊媒體融合、網路輿論導向等都需要進一步監管,但因來源太多且數量龐大,困難重重。

 

北韓電腦作業系統 搞全民監控 內建加密檔案控制程式碼,防止遭外國情治單位破解  工商時報

德國2名電腦專家研究北韓自行研發的作業系統發現,該軟體高度監控使用者,凸顯北韓開始接受電腦和網路帶來的好處,同時又打算嚴格控管人民的思想。

德國IT安全公司ERNW GmbH的研究員格魯諾(Florian Grunow)和希斯(Niklaus Schiess),在漢堡舉行的駭客年會「混沌通訊大會」(Chaos Communication Congress)公布研究發現。

 

非故意 反IS駭客自稱犯下BBC網攻  中央廣播電臺

根據一封傳給英國廣播公司(BBC)記者的訊息,一群打算鎖定伊斯蘭國(IS)的電腦駭客坦承,先前BBC所受到的網路攻擊是他們所為,目的在測試自已的駭客能力。

BBC科技記者賽倫瓊斯(Rory Cellan-Jones)將這個自稱「新世界駭客」(New World Hackers)寄給他的訊息貼在推特上,上面寫著:「那只是為了測試,我們並沒有打算真的要癱瘓BBC好幾個小時。」

 

雲端服務包羅萬象 連線速度與資安問題有待克服  電子時報

一切事物即服務(Everything-as-a-Service;EaaS)是雲端服務的趨勢,除可為大眾生活帶來更多便利,更將改變企業的營運模式。但舉凡網絡安全、隱私、聯機帶寬及穩定性都是在發展雲端服務時必須考量的重點。

具Semiconductor Engineering報導,EaaS又稱XaaS(X-as-a-a-Service,亦可作Anything-as-a-Service),算是新興雲端運算服務的統稱,代表雲端的無遠弗屆,也是用來區分透過網際網路提供服務與企業內部服務之間的差別。

 

駭客成功破解 PlayStation 4,可以在上面執行 Linux  T客邦

自 Sony PlayStation 4 開賣兩年以來,駭客一直希望享受到破解該主機帶來的樂趣。前兩天,一位駭客 Fai0verflow 示範了他在 PS4 中安裝 Linux 系統,並在上面執行一個 GBA 模擬器,並且玩了遊戲《口袋怪物》(神奇寶貝),也就是說,他用 PS 4 玩了任天堂的遊戲。

儘管漏洞細節並沒有說明,但看起來 Fai0verflow 是利用了最近 GitHub 上的使用者“CTurt” 記錄的 WebKit 漏洞。PS4 的作業系統 Orbis OS 主要是採用類 Unix 軟體 FreeBSD,瀏覽器則是採用 WebKit 核心,因此之前已經有人發現 FreeBSD 的漏洞和 webkit 漏洞可以用來破解該主機。

 

PS4破解後的更多應用:除安裝Linux外,還能變身Steam Machine  T客邦

一如駭客Wololo先前所言,聖誕假期往往是駭客比較活躍的時候,Fail0verflow就發表了將Linux作業系統安裝於Sony PlayStation 4的成果,這代表PlayStation 4可能將可以安裝Steam OS。雖然目前開發團隊還沒有搞定繪圖核心的驅動程式,但這並不需太多時間來解決,反而是團隊因為不希望成果被用於盜版,所以不打算提供相關漏洞,所以一般玩家可能還需等待。

 

為了讓少年駭客守法,英國警察「到府服務」讓他們知道老大哥在看著他們  T客邦

由於網路的普及,只要找到門路,學習駭客技能並不困難,因此駭客的年齡層也漸漸的下降。在英國,開始重視少年駭客的問題。這些少年駭客,利用網路上學習到 的電腦技能,從事一些網路犯罪的行為,輕的可能是下載盜版軟體、破解一些朋友的密碼,嚴重的可能就去破壞特定網站、造成社會問題。

如果是在現實生活中,少年犯罪可以依靠成年人的出面而達到部分的嚇阻作用,但是在網路上,沒有人知道與你對話的是一個成年人還是少年,因此少年犯罪在網路上也就變得更加變本加厲。事實上在網路上的少年犯罪成因與實體世界可能差不多,有些可能是缺乏家人的關心、朋友之間的壓力,或是對於自身行為的嚴重性並沒有意識到。

 

 


PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數