<資安新聞週報>LINE將新增「取消傳送」功能 /傳裸照給自己?FB防範用戶私密照外流出奇招!


本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安新聞精選:

LINE將新增「取消傳送」功能 錯頻不再尷尬 蘋果日報

US-CERT與FBI警告:小心四處流竄的北韓駭客工具Fallchill        iThome

俄羅斯把駭客武器化 多次攻擊英媒及能源業  台灣蘋果日報網

空白Word暗藏木馬,俄國駭客組織用微軟DDE協定攻擊散佈惡意程式    iThome

中製監視器入侵 美國被看光      自由時報

美國國土安全部經理自己披露,波音757也能駭,川普私人飛機剛好就是這款        iThome

「雙11」驚人銷售額背後 有多少是黑灰產業的貢獻? 鉅亨網

世界上最強駭客是女的!年薪超過500萬,Google砸重金聘「資安公主」保護10億用戶!駭客都怕死她了!        heasay

綁架挖礦災情越演越烈,Coinhive 已成地下產業    科技新報網

擔心私密照被散布,Facebook 要大家自傳裸照       科技新報網

瑞典電台被駭 大放IS招募歌30分鐘       自由時報電子報

Google 公布常見帳號竊取手法, 網路釣魚 比駭客入侵更嚴重   電腦王阿達

Google研究 網路釣魚一年偷1200萬筆個資    台灣蘋果日報網

下載App要當心 蘋果與Google商店架上不乏冒牌貨    電子時報

20分遭盜刷13筆 蘇霈疑臉書綁信用卡所致   tvbs新聞網

該為了隱私遮住筆電鏡頭嗎?前 FBI 主管這麼說…       自由時報電子報

美:北韓駭客潛伏網路 受害者仍須當心  中央社即時新聞網

防駭客 星、台9國簽資安聯防  工商時報

荷蘭捍衛金融資安出奇招設立駭客小組突擊檢查    經濟日報(臺灣)

英首相梅伊警告俄羅斯:我們知道你們在幹嘛        台灣蘋果日報網

惡意文件威脅升高,微軟對DDE攻擊威脅釋出安全通報       iThome

開發不慎,1.8億用戶受害!近700個用Twilio API的通訊App外洩通訊內容    iThome

維基解密再爆更多Vault 8駭客工具,CIA專用木馬控制後臺Hive的原始碼曝光       iThome

蘋果3D感測技術的最強應用接下來,手機得看你「臉色」辦事  財訊雜誌網

反制俄勢力 北約新增2司令部  自由時報

雅虎洩10億人個資 前CEO赴國會作證   世界新聞網

AI 大會中研院盛大舉行,來看三大熱門現象   科技新報網

雙因子認證 避免被駭的防守牆  聯合報

關貿攜調查局 組防駭國家隊      工商時報

立委直呼離譜 斥國安不設防      自由時報

趨勢科技在最小的機身尺寸當中提供業界最快的網路流量檢查    iThome

集集戲劇周好玩的幸福魔法書    台灣新生報

「資安新聞周報」的圖片搜尋結果

US-CERT與FBI警告:小心四處流竄的北韓駭客工具Fallchill        iThome

US-CERT與FBI指出北韓政府支持的Hidden Cobra駭客行動自2009年起進行攻擊,其中包括散布RAT遠端控制工具Fallchill,該惡意程式鎖定航太、電信、金融產業攻擊,蒐集被害系統相關資訊,或執行檔案、變更檔案目錄等惡意行為。

<回到新聞條列重點>

俄羅斯把駭客武器化 多次攻擊英媒及能源業  台灣蘋果日報網

英國國家網路安全中心(NCSC)局長馬丁(Ciaran Martin)表示:「按照我們掌握的情報,可以確定俄羅斯有對英國發動干擾,媒體、通訊和能源業的機關,都有受到影響。」馬丁拒絕透露更多詳情,但他強調,NCSC正和國際夥伴、企業及民間團體聯繫,商討應對方法。

<回到新聞條列重點>

空白Word暗藏木馬,俄國駭客組織用微軟DDE協定攻擊散佈惡意程式    iThome

用戶如果在誘使下打開這份Word檔案會發現內文是空的。但檔案一經開啟,Office產品中的DDE功能即呼叫PowerShell執行指令,連上外部C&C伺服器,載入名為Seduploader的惡意程式。

<回到新聞條列重點>

中製監視器入侵 美國被看光      自由時報

遍布全美的「中國製」監視器已引發美國華府安全顧慮。「華爾街日報」報導,從美國田納西州曼菲斯街道、美軍密蘇里州基地、到美國駐阿富汗喀布爾大使館、美國家庭和企業常見的民用監視器,都由中國政府持股四十二%的海康威視(Hikvision)生產;美國國土安全部對其產品已發出網路安全漏洞警報,美國國會也示警恐影響國家安全。

<回到新聞條列重點>

美國國土安全部經理自己披露,波音757也能駭,川普私人飛機剛好就是這款        iThome

Hickey表示,他們在今年3月與7名機長進行技術交流時曾告訴他們這件事,當時這些機長聽到下巴都快掉下來了。但Hickey並未公布被列為機密的攻擊手法或細節,僅說該團隊是利用大多數飛機都採用的無線電通訊配置來存取飛機系統,駭進了停放在紐澤西州大西洋城機場的一架波音757,且沒有人實際接觸到飛機。

<回到新聞條列重點>

「雙11」驚人銷售額背後 有多少是黑灰產業的貢獻? 鉅亨網

據一本財經分析,在這條產業鏈中,卡商新註冊數百萬個電商平台帳號,提供了彈藥;駭客開發「搶貨軟體」秒殺優惠,提供了武器。業內人士表示,今年黑灰產動靜之大,涉及人之多,遠超前幾年,而這些「返利」、「促銷」全被黑產業分食殆盡。

<回到新聞條列重點>

世界上最強駭客是女的!年薪超過500萬,Google砸重金聘「資安公主」保護10億用戶!駭客都怕死她了!        heasay

Google的秘密武器就是有「資安公主」和「瀏覽器霸主」之稱的派瑞莎 (Parisa Tabriz) 。每天派瑞莎都會和她團隊裡約30個資安專家,在美國和歐洲負責對付想要侵入Google的駭客,而根據美國人力資訊網站 Glassdoor 調查,整理出 Google 主要職務年薪排名,像派瑞莎這樣的資深軟體工程師,年薪就超過500萬台幣!

<回到新聞條列重點>

綁架挖礦災情越演越烈,Coinhive 已成地下產業    科技新報網

據海盜灣事件之後,Coinhive 等瀏覽器挖礦程式被濫用,綁架用戶電腦挖礦的非法行為日發嚴重,甚至已成為一種新興地下產業,且不只個人電腦,連智慧型手機也將受到威脅。

<回到新聞條列重點>

擔心私密照被散布,Facebook 要大家自傳裸照       科技新報網

對此,擔心自己的裸照被上傳到 Facebook 的使用者,可以先利用 Facebook 的訊息工具 Messenger 把裸照傳給自己,隨後這些裸照會被 Facebook「標註」(hash)起來。

在這個過程中 Facebook 會將裸照轉換成一串獨特的數位代碼,也就是所謂的「數位指紋」,藉此防止這張裸照的副本被駭客或恐怖情人上傳到 Facebook 或 Instagram 上。

<回到新聞條列重點>

瑞典電台被駭 大放IS招募歌30分鐘       自由時報電子報

綜合外電報導,這起駭客攻擊事件的受害者,是瑞典南方位於馬爾摩城(Malmö)的廣播電台「美嘉寶」,該店台以播放熱門歌曲和老歌為主,約在昨日早上8點半遭駭。被駭客入侵後,電台開始播放伊斯蘭國(IS,原ISIS)的宣傳歌曲「為了真主」約30分鐘。

<回到新聞條列重點>

Google 公布常見帳號竊取手法, 網路釣魚 比駭客入侵更嚴重   電腦王阿達

我們很常聽到某某駭客組織入侵了某某公司的伺服器,盜取了多少多少的帳號資訊,特別是信用卡資料。聽起來這些大廠們好像永遠都可能被駭客攻破,並且害大家的資料被盜取,信用卡被盜刷,但是根據 Google 的說法,他們統計了一年份的帳號被盜資訊,發現大多數帳號被盜用的原因主要還是以 網路釣魚 攻擊為主,反倒是常聽到的鍵盤側錄(keylogging)或是主機被攻破的損失還沒有網路釣魚來得大。

<回到新聞條列重點>

Google研究 網路釣魚一年偷1200萬筆個資    台灣蘋果日報網

網路釣魚、鍵盤紀錄、第三方資料竊取程式等資安問題層出不窮,有超過15%的人使用網路時碰到這樣的問題,Google開始研究駭客如何在網路上竊取密碼與資訊,它們在2016年至2017年3月間分析線上的黑市,發現以「網路釣魚」對用戶最具威脅,流入黑市資訊中有78萬8000筆為鍵盤紀錄、1200萬筆為網路釣魚、33億筆被第三方竊取。

<回到新聞條列重點>

下載App要當心 蘋果與Google商店架上不乏冒牌貨    電子時報

在透過智慧型手機或平板電腦上網已成主流的當前,下載應用程式(App)取得想要的服務或遊戲已經是許多人生活中的一部分。不過有專家警告,如今有愈來愈多的冒牌App在下載商店中架上出現導致不少人受騙或甚至裝置感染病毒,使用者必須提高警覺。

<回到新聞條列重點>

20分遭盜刷13筆 蘇霈疑臉書綁信用卡所致   tvbs新聞網

你有在臉書綁定信用卡消費嗎?藝人蘇霈昨日接到銀行刷卡即時消費的訊息,發現20分鐘內就有13筆不知情的費用,她立刻止付信用卡,並且到派出所報案,由於過去從未發生過信用卡遭盜刷,她懷疑是先前在臉書買廣告,綁定信用卡付費才遭駭客擷取個資。

<回到新聞條列重點>

該為了隱私遮住筆電鏡頭嗎?前 FBI 主管這麼說…       自由時報電子報

先前,Facebook 創辦人祖克柏(Mark Zuckerberg)的一張照片引起不少人熱議:照片上的一角裡,祖克柏將自己 MacBook 的麥克風和攝錄鏡頭,全用簡單的厚膠布貼起來。此舉也引發不少人議論:為了資安和隱私著想,一般人是不是有必要也對自己的筆電這麼做?

<回到新聞條列重點>

美:北韓駭客潛伏網路 受害者仍須當心  中央社即時新聞網

美國當局今天表示,北韓研發的惡意軟體依然潛伏在許多電腦網路中,提供後門讓駭客潛入政府、金融、汽車與媒體組織,駭客甚至可能還留在受害者網路裡。

<回到新聞條列重點>

防駭客 星、台9國簽資安聯防  工商時報

駭客跨國攻擊時有所聞,包括台灣、新加坡、澳紐在內的9個亞太國家、49家金融機構,昨(14)日由新加坡金融管理局(MAS)與FS-ISAC全球金融服務資訊共享與分析中心主導,啟動新加坡亞太區分析中心辦公室,希望透過跨國資訊共享,聯手防堵駭客攻擊。

<回到新聞條列重點>

荷蘭捍衛金融資安出奇招設立駭客小組突擊檢查    經濟日報(臺灣)

為測試並改善國內金融基礎設施的防禦能力,荷蘭中央銀行(DNB)著手成立一支網路安全專家與駭客小組,準備秘密襲擊國內銀行業者、市場以及清算所等。實施原則訂14日公布。

<回到新聞條列重點>

英首相梅伊警告俄羅斯:我們知道你們在幹嘛        台灣蘋果日報網

英國首相梅伊(Theresa May)昨天發表對俄羅斯最嚴厲的批評,指控俄將資訊「武器化」,企圖介入西方國家選舉、在西方媒體中植入假新聞等。

<回到新聞條列重點>

惡意文件威脅升高,微軟對DDE攻擊威脅釋出安全通報       iThome

微軟解釋,駭客可以在釣魚郵件攻擊中,傳遞一個特製的檔案並誘導使用者開啟,說服使用者關閉保護模式再同意其他的提醒,藉以散布惡意程式。

<回到新聞條列重點>

開發不慎,1.8億用戶受害!近700個用Twilio API的通訊App外洩通訊內容    iThome

有部份使用該API的開發人員將用戶帳密寫死在app程式碼中,這麼一來,使所有利用這些App傳送、儲存於Twilio帳號的文字簡訊、通訊元資料、語音錄音檔全數對外公開。

<回到新聞條列重點>

維基解密再爆更多Vault 8駭客工具,CIA專用木馬控制後臺Hive的原始碼曝光       iThome

在揭露來自美國中央情報局(CIA)Vault 7系列的駭客工具文件後,WikiLeaks本周四(11/9)發表了Vault 8系列,進一步提供基於Vault 7軟體專案的分析與程式碼,打頭陣的是CIA所使用的惡意程式控制系統Hive。

<回到新聞條列重點>

蘋果3D感測技術的最強應用接下來,手機得看你「臉色」辦事  財訊雜誌網

忍了6年,庫克終於出手了。11月3日,第1款在他主導下,進行大改款的iPhone X正式出貨。庫克設定的目標,就是挑戰已故創辦人賈伯斯10年前設下的高門檻。

<回到新聞條列重點>

反制俄勢力 北約新增2司令部  自由時報

為了對抗俄國與日俱增的威脅,北約(NATO)會員國八日同意增設大西洋與後勤兩個新司令部,以保護歐洲安全。這是北約自冷戰結束後首見的編制擴大計畫,當中也包括成立一個網路運作中心,以增加網路武器與戰略的應用,北約官員說,這可能首度同意同盟國延攬電腦駭客。

<回到新聞條列重點>

雅虎洩10億人個資 前CEO赴國會作證   世界新聞網

梅爾8日與Equifax代理執行長巴羅斯(Paulino Barros, Jr.)一同出席參議院委員會聽證會,報告影響數百萬美國人的個資洩露事件。梅爾在會中表示,國家撐腰型駭客大大改變了遊戲模式,即使是防護工作做得最嚴密的企業也可能成為受害者。

<回到新聞條列重點>

AI 大會中研院盛大舉行,來看三大熱門現象   科技新報網

AI 領域存在很久,但是過往相關人才並不好找工作。如今風水輪流轉,變成各方都在搶 AI 人才,就連政府也很快立定政策目標,要好好發展 AI 領域。11 月 9、10 日在中研院舉行的台灣人工智慧年會,場內爆滿的聽眾關注產業和學界大老對 AI 發展的建議和學術發表,場外絡繹不絕的人逛廠商攤位,攤位工作人員熱切招募人才,深怕這波 AI 熱潮下,不夠努力被淹沒。

<回到新聞條列重點>

雙因子認證 避免被駭的防守牆  聯合報

不論去年一銀ATM盜領案,或今年遠銀SWIFT遭駭,手法都是駭客將木馬程式植入銀行電腦系統中,蟄伏期間摸清每個網段流程,竊取行員帳號與密碼後,再一層一層攻進去取得最高權限。

<回到新聞條列重點>

關貿攜調查局 組防駭國家隊      工商時報

資安防駭國家隊成軍!關貿網路今(16)日將發表「資安天網防禦 Skynet Defense Service, SDS」新服務,不但是調查局首度出手協助,結合IBM、電訊盈科(PCCW)進行情資交換,更由兆豐產險推出國內首張實質理賠保單,打造完整資安聯防生態系,阻止駭客入侵,提供企業防駭保障。

<回到新聞條列重點>

立委直呼離譜 斥國安不設防      自由時報

內政部移民署入出境系統昨傳出採購弊案,前資訊組長施明德涉嫌收受廠商賄賂,洩漏標案資訊供圍標及綁標。民進黨立委昨驚呼「離譜」,表示若行賄、得標廠商涉及中資,等於「整體國安不設防」。

<回到新聞條列重點>

趨勢科技在最小的機身尺寸當中提供業界最快的網路流量檢查    iThome

體認到速度和空間是資料中心與高效能企業網路安全最佳化的必要關鍵,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天正式推出網路流量速度業界居冠的單一裝置。這款全新裝置能在 1U 的機身尺寸當中提供了無可匹敵的 40 Gbps 入侵防護效能,是市場上率先以如此精巧的機身提供該等級最高效能的裝置。

<回到新聞條列重點>

集集戲劇周好玩的幸福魔法書    台灣新生報

集集鎮公所舉辦戲劇週,十一日晚間由來自新竹的傑出演藝團隊「好玩的劇團」,帶來「宇宙馬戲團之幸福魔法書」戲劇演出,晚上下雨,活動現場仍吸引二百多名親子湧會入會場欣賞,會後並藉由有獎徵答,帶領孩子們從歡笑中去探討不同的人生課題,現場觀眾反應相當熱烈。

<回到新聞條列重點>