《資安新聞週報》相同帳密惹禍! 淘寶2059萬筆帳號遭測試攻擊/詐騙手法花招百出 ATM解除分期付款設定排第一

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

 

news2

相同帳密惹禍! 淘寶2059萬筆帳號遭測試攻擊  iThome

使用同一組帳號密碼在不同的網路服務通行到底有多危險?或許中國近期發生的案例能給大家借鏡參考。
中國有大陸駭客團體透過從他處取得的9900萬筆帳密資料,對淘寶網進行比對測試,竟發現有多達2059萬個帳戶真實存在,並成功取得部分帳號進行詐騙之用。

編按:小編提醒大家網拍購物,勿用臉書當萬用帳號

歐盟:1/4歐洲人曾有網路安全問題  中央通訊社商情網

現代人生活幾乎離不開網路,但網路安全疑慮仍難以避免。根據歐盟統計,去年有1/4的歐洲民眾在使用網路時,曾經發生電腦病毒等安全問題。

根據歐盟統計局(Eurostat)今天公布的網路安全報告指出,去年1年,25%的歐盟民眾曾經出現電腦病毒感染、個人資料遭駭、財務損失或兒童登錄不當網站等網路安全問題。

詐騙手法花招百出 ATM解除分期付款設定排第一  新聞雲

詐騙集團橫行,根據刑事警察局統計去年國人最常遭詐騙手法依序為以「ATM解除分期付款設定」、「假網拍」及「假冒名義」分居前3名,這三項詐騙手法導致民眾財損金額高達6億6979萬5890元。

刑事局表示,「ATM解除分期付款設定」是詐騙慣用手法,民眾利用網路進行各項活動,包括拍賣、購物或是訂房、訂機票、訂演唱會門票,抑或是代購等,網路的便利性卻容易為詐騙集團所利用,部分網站因防護措施不足,屢遭駭客入侵竊取交易資料詐騙消費者。

蘋果:因 Touch ID 出狀況而發生的 iPhone 變磚問題是「資安考量」  Engadget中文版

隨著 iOS 9 的釋出,網路上突然爆出不少人回報遇到錯誤代碼 53 / Error 53 的死機變磚問題 — 這其實並非巧合,因為根據 The Guardian 向 Apple 所獲得的說法,證實了這樣的狀況的確是該公司因應資安考量而加入的錯誤偵測機能。主要是要確保具備指紋辨識的 iPhone,不會被有心人士置換 Touch ID 並取得手機的權限 — 可別忘了,iOS 的指紋辨識可是許多付費功能如 Apple Pay、iTunes 有關的,所以的確並不能輕視。

駭客公布9千名國土安全部及2萬名FBI員工資料  iThome

以「解放巴勒斯坦」(FreePalestine)為號召的駭客集團接連在本周日(1/7)及本周二(1/9)於Twitter上公布了9000名美國國土安全部(Department of Homeland Security,DHS)員工,以及2萬名美國聯邦調查局(Federal Bureau of Investigation,FBI)員工的資料。

公布相關資料的駭客集團在Twitter上的代號為@GotGovs,訴求是希望美國政府切斷與以色列的關係,明顯與以色列及巴基斯坦之間的衝突有關。

白帽駭客?黑帽駭客?都叫做駭客,到底他們有什麼不一樣?  MSN台灣

這些日子,資訊新聞媒體或多或少會將駭客(Hacker)或網路犯罪份子(Cybercriminal)這兩個詞交替使用。雖然它們的含義有重疊的地方,但是還是會對讀者產生誤導。因為它們在不同的文章裡代表的意思並不完全一樣。

網路犯罪份子(Cybercriminal)顧名思義就是利用電腦技術來犯罪的人,他所做的事情是會被起訴的。這通常都牽扯到非法存取一個或多個電腦系統去竊取資訊或讓它們無法運作,或是兩者都有,出發點可能是因為惡意企圖或是為了錢。侵入電腦系統跟駭客有關,所以網路犯罪份子也被視為是駭客的一種。

但也有駭客在合法的情況下做類似的事情,所以你不能直接將駭客跟犯罪活動畫上等號。

不純砍頭!Google七月起推動100% HTML 5政策,禁止上傳Flash展示廣告  iThome

Flash末日再近一步。Google宣佈自7月後,將不再接受Flash展示廣告,所有廣告必須100%使用HTML 5格式。

Google兩年來分階段推動限縮政策。去年初該公司推動將Flash廣告格式自動轉為HTML5,年中時又預設Chrome瀏覽器暫停非於網頁中央的Flash廣告。Google 表示,為了持續改善行動用戶的上網體驗,現在旗下AdWords的Display Network及DoubleClick Digital Marketing兩個廣告通路將推動100% HTML5政策。

蘋果員工登入帳密值多少?2萬歐元  中央社即時新聞網

蘋果公司(Apple)員工的登入帳號值多少錢?據Busniess insider報導,有駭客向蘋果位在愛爾蘭(Ireland)辦公室工作的員工出價,希望以2萬歐元(約2.26萬美元)的價格獲取該名員工的公司登入帳號與密碼。

報導指出,駭客的下手對象並非是長期在蘋果工作的員工,而是尋找在蘋果公司內跳到初級管理職位的人。

庫克拒絕破解兇嫌iPhone Google、臉書聲援 蘋果護隱私 矽谷挺到底  經濟日報(臺灣)

蘋果公司執行長庫克槓上美國政府,強硬抗拒法院要求蘋果破解加州槍擊案兇嫌iPhone手機的命令,Google、臉書在內的科技同業同聲表態力挺。

庫克形容這項要求「前所未見,將危及本公司客戶的資訊安全」,並要求公開辯論。分析師指出,此次蘋果的案例相當棘手,因為這不僅關係一個恐怖攻擊嫌犯,而且是手法凶殘、罪無可逭的兇手,要支持蘋果真的不容易。

保護隱私與國家安全,你選哪個?  電子工程專輯

如果政府有關當局以國家安全為由,要求你把你家的產品中某個安全功能關掉,好讓他們能取得某個被鎖定恐怖份子的資料,你會同意嗎?

這是個很難回答的問題,但蘋果(Apple)執行長庫克(Tim Cook)已經明確拒絕──近日美國《華盛頓郵報(Washington Post)》的一篇報導指出,美國聯邦調查局(FBI)要求Apple關閉一支iPhone的安全功能,那支iPhone的主人是去年12月底在美國加州南部發生的San Bernardino槍擊案槍手之一。

比起掉錢包… 英國人更怕掉手機  聯合晚報(臺灣)

根據美國市場研究機構波耐蒙研究所與Lookout行動安全公司共同公布的一項最新民調,多數的英國人寧可錢包被偷,不希望智慧手機失竊。

這不是因為手機的品質、價值或價格所致,而是因為它們的內容。許多英國人以他們的智慧手機取讀公司的電子郵件與相關數據,而且知道這些資訊不只對他們個人與公司很有價值,對駭客亦然。

叫車App爆洩密 共軍設7類手機禁入區  中時電子報網

手機App功能越來越強大,但常發生個資外洩事件,軍事單位對此特別頭痛。大陸解放軍士兵利用電召計程車App來預約用車,結果導致營區精準定位及士兵的個人資料外洩。為防範洩密,大陸軍方嚴格規範官兵使用電召計程車App的地點、場所、時間,也列明辦公室、會議室、車炮場等七類場所為手機「禁入區」,並為單位內每部手機和電話卡號進行實名登記。

日籌備奧運 交通工具拚防駭  聯合新聞網

為因應2020年東京奧運的到來,日本正竭力保護日益受電腦控制的汽車、火車和飛機,以免這些交通工具遭受網路攻擊。

日本主管汽車、火車和飛機資訊安全的官員必須和隱形的敵人鬥智,這些官員已經將車禍、服務受干擾等最壞的情境納入考慮。網路攻擊已成為日本愈趨嚴重的問題,先前早有駭客對日本的特定企業和機構進行攻擊。

估計每天有一百萬次乘客透過Uber叫車,隨著應用程式涵蓋範圍增加及快速的成長,類似資料隱私等問題也開始成為重大的問題。。。#Uber #個資 #隱私 #資安

Posted by 趨勢科技 Trend Micro on 2016年2月17日

 

駭客鎖美醫院資料 要求贖金數百萬美元  中央廣播電臺

探索新聞網(Discovery News)17日報導,美國洛杉磯好萊塢長老教會醫療中心(Hollywood Presbyterian Medical Center)因受到嚴重網路攻擊,醫院電腦系統已經停擺超過一個星期。

報導指出,駭客是用勒索軟體(ransomware),將醫院IT系統上包括電子郵件,數位掃描檔、某些醫療紀錄等所有資料鎖住。當地媒體也報導,駭客藉此勒索9,000比特幣(bitcoin,超過300萬美元)的贖金。

Instagram 終於加入兩步認證來保護用戶資料了  Engadget中文版

Instagram 由原來的一個相片分享平台,變成今天擁有 4 億用戶的大型社交平台,名人帳號的追隨者數目更以動輒千萬計,是極具影響力的市場工具。今天 Instagram 也終於為這重要的服務加入更安全的兩步認證功能。但他們將跟其母公司 Facebook 般,把這新功能「慢慢」地推送給使用者。所以大家可以要多等一下才能確保自己的帳戶安全性有所提升。

開春好消息,讚聲鼓勵鼓勵…#趨勢科技 #Gartner

Posted by 趨勢科技 Trend Micro on 2016年2月17日

Linux函式庫Glibc再現重大安全漏洞  iThome

Google與紅帽的安全研究人員近日不約而同地發現了Linux的GNU C library(Glibc)專案中藏匿一重大的安全漏洞,可能造成堆積緩衝區溢位並導致遠端程式攻擊,估計將影響眾多的Linux軟體與裝置。該漏洞的修補程式已於2/16釋出。

Glibc為一用來定義Linux系統上的系統呼叫與其他基本功能的C語言函式庫,是一個重要且基本的Linux核心功能,去年出現的鬼(GHOST)漏洞亦是源自於Glibc。

以色列網路安全產業在沙漠城市貝爾謝巴蓬勃發展  電子時報

以色列沙漠中人口僅20萬的貝爾謝巴(Beersheba),已搖身一變成為全球反駭客攻擊和網路犯罪的前線。貝爾謝巴歷來為貧窮工人階級和塞法迪(Sephardic)猶太人的棲身之所。但近10年來經歷高速發展、中產階級大增的貝爾謝巴,企圖成為以色列的網路首都,再CynerSpark工業園區成立以來,當地更出現房地產熱潮。

美網攻伊朗秘密計劃曝光  新浪網(臺灣)

美國《紐約時報》16日披露,美國曾制訂計劃,準備在外交途徑無法解決伊朗核問題時對伊朗核以及軍用和民用設施發動網路攻擊。

美國軍方和情報部門分別擬訂了打擊計劃,其中軍方行動的代號名為「宙斯一觸即發」,目的是使伊朗防空、通訊系統和關鍵電網陷入癱瘓。

 

 

【午間毒賣新聞 】勒索軟體挾病例勒索逾1億台幣醫院電腦系統已經停擺超過1周,掛號及病歷都只能用紙筆處理同場加映:「猴平安」推薦:1分鐘認識勒索軟體,平安一整年  http://t.rend.tw/?i=NDE2OA#勒索軟體 #ransomware

Posted by 趨勢科技 Trend Micro on 2016年2月16日

駭客組織匿名者入侵土耳其 公開安全總局資料  台灣蘋果日報網

駭客組織匿名者稱,已將土耳其安全總局(EGM)的巨大資料庫上傳至網上公開,以證明土耳其政府最近幾個月濫用職權。

據報導,土耳其安全總局主要目標為預防犯罪,維護和平,保證公民人身及財產安全。駭客組織稱,這些資料來自一個在過去兩年能夠對土耳其政府下各局處進行持續訪問的駭客,公開的文件能夠證明土耳其政府在過去的幾個月中濫用職權,所以決定採取行動打擊腐敗。

北韓官媒網站遭攻擊 一度癱瘓  中時電子報網

據韓聯社報導,一名北韓消息靈通人士16日表示,北韓勞動黨機關報《勞動新聞》、朝中社官網當天一度無法正常瀏覽,可能是受到網路攻擊所致。

當地時間16日早晨至下午5時,《勞動新聞》和朝中社官網網頁無法打開,但同樣使用北韓官方域名「.kp」的金日成綜合大學和「民族大團結」等網站並未出現類似問題,而未使用該域名、伺服器設在中國大陸的對韓宣傳網站「我們民族之間」則可正常瀏覽。

Google教你4招,常保Android裝置安全  MSN台灣

一般我們對於Android以及iOS的印象,就是Android因為系統比較開放,因次安全性比較低,而iOS則因為較為封閉的關係,所以比較不會受到 惡意程式的侵害。不過別因為這樣就杞人憂天,Google在Android官方部落格提到,只要注意到4個使用重點,就能有效避開資安風險,提高 Android裝置的安全性。

大學遇”駭” 6萬社安號碼失竊  世界新聞網

中佛羅里達大學證實,學校電腦資料庫上月初遭駭,6萬3000個在校生、畢業生和教職員的社安號失竊。校方在察覺到攻擊後立刻向執法部門報告,該校5日開始向受害人提供身分保護和信用免費查詢服務,聯邦調查局(FBI)也已通報全國各大學提防。

校方認為,受損的個人資料比估計的更多,FBI已介入調查,追查哪些人擅闖學校的電腦資料庫系統。

email若被駭 微軟將通知  世界新聞網

未來電子郵件若被國家級駭客入侵,微軟(Microsoft)將會發送明確通知。

日前微軟離職員工爆料,早在2011年公司就知道有中國駭客入侵異議人士的信箱中。對此,微軟承諾未來若發生駭客事件,會通知客戶電子郵件已被攻擊。

微軟修補41項漏洞,包括多項重大安全漏洞  iThome

微軟發佈二月份安全更新,釋出13項安全公告以修補41項漏洞,包括6項重大安全漏洞,其中一項更影響所有版本Windows。微軟並呼籲用戶應儘速安裝安全更新以確保系統及資料安全。

本月13項安全公告有6項屬於「重大」。其中編號MS16-013 的安全更新修補了 Windows 筆記本應用中的記憶體損毁漏洞CVE-2016-0038。如果使用者開啟駭客特別改造的筆記本檔案,這項漏洞可能使駭客得以遠端執行任意程式碼。受影響程式涵括所有Windows版本,包括Windows Vista、Windows 7、8.1、10及Windows Server 2008、2012,甚至Windows Server 2016技術預覽版4。不過微軟表示迄今尚未接獲攻擊通報。

無痕視窗都是騙人的? Chrome、微軟瀏覽都被記錄下啦  新聞雲

你也是Chrome或者Microsoft Edge無痕視窗(瀏覽)的愛用者嗎?原先以為自己的瀏覽記錄很安全,但現在有人發現,其實都有嚴重漏洞!也就是說,如果你看了色情網站,記錄也會被保存下來,對此Google回應,「不會處理這個問題。」 Microsoft則是說,「會調查相關狀況。」

【TOMO雙語爆】聯合國裁定阿桑奇被「強制拘留」  台灣蘋果日報

聯合國單位5日裁定「維基解密」創辦人朱利安•阿桑奇(Julian Assange)是被「強制拘留」(arbitrarily detained)於厄瓜多駐英大使館內。

「強制拘留」一般是指:在缺乏適當法律程序下,剝奪某人的自由。

被控性侵罪的阿桑奇此前曾宣布,若聯合國任意拘留問題工作小組(UNWGAD)裁定他敗訴,他將任英國當局逮捕。

搶紅包引來騙徒 植木馬盜個資 不法之徒利用相關軟體犯案 民眾勿點選來歷不明的連結  旺報

農曆新年期間,大陸各電商推出的各式搶紅包大戰,吸引不少民眾加入,但也因為搶紅包熱烈,有香港騙徒看準手機即時通訊軟體中的「搶紅包」功能,將木馬程式或釣魚網站的連結偽裝成電子紅包四處發放,甚至製作出同樣附有病毒的「搶紅包」外掛程式供網民下載,以騙取「中獎」人士手機個人資料。

俄國多軸無人機 可射火箭打坦克  台灣醒報

六軸的小型無人機也可成為致命武器。俄羅斯媒體《史普尼克》報導,俄國國營科技的子公司聯合儀器製造公司在10日發表配備火箭發射的6軸無人機,並公開展示在100公尺外發射擊毀一台汽車,成為全球第一台小型可發射火箭的多軸無人機。

聯合儀器製造公司10日於莫斯科的近郊舉行「俄羅斯聯邦自動化軍事機器」軍事科技研討會,由於是該公司第一次舉行無人武器研討會,因此吸引了俄羅斯500位軍事工業公司代表參與,該公司發展出研發成功的攻擊性多軸無人機,遙控半徑約4.83公里,可飛行20分鐘以上。

NCC:防範歹徒電信詐騙 民眾過好年  自由時報電子報

電信小額付費詐騙案件於前幾年開始大肆橫行,詐騙集團假藉各種名義大量寄送夾帶惡意程式連結之簡訊,部分民眾於不知情下點觸連結、下載並安裝惡意程式,致使手機中毒遭歹徒操控、冒名進行小額付費交易。更有甚者,歹徒持續利用民眾手機發送惡意連結簡訊,造成更多詐騙受害者。

全球威脅報告:中國料猛駭美個人數據  聯合新聞網

美國網路安全公司CrowdStrike發布年度網路威脅報告,指中國可能會繼續攻擊美國政府和私營部門的數據庫,作為其主要情報蒐集行動的一部分;今年會出現新的攻勢。

美國之音引述新公布的「2015全球威脅報告」指出,在2015年,中國駭客竊取約8000萬美國人的衛生保健數據,還攻擊聯邦人事管理局的網路,2200萬聯邦政府工作人員的信息可能遭洩露。中美兩國間同意不進行商業網路盜竊的協議,卻對中國的網路駭客行動影響甚微。報告強調:「在網路方面,中國似乎並沒有打算改變其意圖」。

抗議海豚被殺 日本三金融機構網站被駭  中國廣播公司全球資訊網

日本三個金融機構的網站今天被駭停擺,駭客表示,這是要抗議日本南部一座小村殺害海豚的習俗。

日本「國稅廳」網站今天早上當機,另外,日本「外貿組織」及「證券金融公司」的網站也停止運作。有報導指出,這些網站因為負荷過大而當機。不過,一個自稱是「無名氏」的推特網友提到最近獲獎的一部記錄片,這部影片是敘述南部「和歌山縣」小鎮「太地町」漁民,每年九月到隔年三月,在海灣獵殺海豚的習俗。這名「無名氏」網友說,停止殺海豚吧!

國際/英16歲少年涉嫌入侵美情報部門高官電郵被捕  中央日報網路報

英國一名16歲少年涉嫌非法入侵美國情報安全部門高官的個人電子郵箱,隨後被警方逮捕。

中新社14日報導,據悉,這名少年涉嫌入侵美國中央情報局、聯邦調查局、國土安全部、白宮和其他聯邦機構的員工郵箱。

英國警方發言人說,當局在英格蘭中部逮捕該少年,但他沒有將他與入侵事件聯繫起來。

不過,美國部分媒體都稱這名少年是名為“Cracka”的駭客,犯下一連串入侵美國官員郵箱的事件,並稱少年是名為“激進駭客”(Hacktivist)組織的成員。

FOCUS/美媒揭:令完成攜2700份機密交CIA和FBI  tvbs新聞網

美國《華盛頓自由燈塔報》最新一篇報導,引述美國情報官員指出,逃亡到美國尋求庇護的令完成,帶有令計劃從中央辦公廳獲得超過2700份內部機密文件,包括核武管控系統和中南海內部細節,根據美國媒體的報導,這些最高機密已經交給了美國情報部門,有軍事專家表示,如果報導屬實,今年新成立的火箭軍將面臨被駭客攻擊,甚至癱瘓系統的危機。

反制社群網站恐怖主義歪風 推特刪除逾12萬個「伊斯蘭國」帳號  風傳媒

在全球每個月擁有超過3億名活躍用戶的社交平台推特(Twitter)5日在一份聲明中,闡明自己打擊恐怖主義的努力。推特等科技公司監管伊斯蘭極端主義言論的行為已行之有年,但這是它首度公布確實數字。自2015年中以來,推特已經刪除了超過12萬5000個與恐怖活動相關的帳號,並進一步擴大反恐團隊,加速移除這些帳號。

美將增設高階官員 負責網路安全  中央廣播電臺

美聯社報導,美國歐巴馬政府將增設1名新的高階聯邦官員,以協調各文職局處的網路安全,並與軍事和情報部門合作,這是今天(9日)宣布的2017年預算案的部分內容。

預算案中列出190億美元的「網路安全全國行動計畫(Cybersecurity National Action Plan)」,以資助各政府單位的網路安全,這比2016年增加了35%。

整頓網路安全 歐巴馬要淘汰老古董電腦系統  中時電子報網

有鑑於美國聯邦政府電腦系統屢屢遭到駭客入侵,美國總統歐巴馬今天下達行政命令,要大力整頓網路安全系統。除了成立專責機構負責為網路安全把關,還要全面汰換聯邦政府的老舊電腦系統。

歐巴馬在美國當地時間周二簽署行政命令,將成立一個聯邦隱私委員會,確保行政體系部門在保護聯邦雇員資訊以及政府資訊方面,全都要使用最好、最安全的方法。

 

 


 

勒索軟體

PCC2016_1Y3U_TW box

加密勒索軟體 Ransomware (勒索病毒/綁架病毒)最大宗的攻擊方式是透過網路釣魚信件,只要開啟陌生人寄來的信件即可能中標!

趨勢科技PC-cillin雲端版防毒軟體,先進的網路釣魚(Phishing)防範技術能協助您避免掉入詐騙陷阱。

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密)!即刻免費下載試用



PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載


 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 


▼ 歡迎加入趨勢科技社群網站▼

好友人數