本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 物聯網(IoT)安全:與 VPNFilte 類似的 Torii 物聯網殭屍網路(botnet)現身
- 趨勢科技:2018上半年無檔案攻擊事件成長56%
- [防詐騙] 臉書一頁式廣告詐騙事件頻傳 趨勢防詐達人新功能幫你把關
- 這些員工沒看穿的騙局,造成的損失可能比病毒還大 企業常見四種電子郵件威脅
- 會自我隱藏的DanaBot銀行木馬,竊取帳密並劫持受感染系統
- 《病毒30演變史》「駭客竟比同事還來解你!」2010 年客製化 APT針對性目標攻擊,成企業心頭大患
- 《病毒30演變史》「你的檔案 我的肉票」勒索病毒找搖錢樹,連城隍老爺、警察大人都敢動 ! 盤點2005-2017年駭人討債鬼
- 【跟著文化長看圖說故事 】車庫起家 創業精神不能忘
媒體資安新聞精選:
充電線「操控」iPhone訂5萬總統套房! 女深夜崩潰拔線:太可怕了 ETtoday新聞雲
假新聞殺人後,資安危機如何防堵 ETtoday新聞雲
提供個資能向這家咖啡店換一杯免費咖啡,你願意嗎? 科技新報網
加州立法禁止消費電子產品使用簡單默認密碼 防殭屍網路 新浪網(臺灣)
【在避免影響營運之下防堵弱點,能預防變種漏洞攻擊】虛擬修補大幅縮減攻擊與防守的落差 iThome
【面臨不斷出現的變種攻擊亂象,企業的弱點管理處境日益艱難】重新看待防治弱點的管理思維 iThome
【假LINE】法鬥皮古-偶像包袱很重,免費貼圖詐騙個資新招 這是假消息
Mygopen》EMAIL被盜用、被駭怎麼辦?別只會變更郵件密碼! 自由時報電子報
【學起來】利用防詐達人新功能過濾臉書的一頁式詐騙連結 這是假消息
納國安蔡:嚴辦假消息 學者憂難防堵「恐變打壓新聞自由」 台灣蘋果日報
川普上台之後 中國駭客變多 聯合晚報(臺灣)
美企遭駭客植晶片入侵 傳源頭來自中國廣州工廠 自由時報電子報
美國防部武器系統易遭駭!暗藏「關鍵弱點」 1小時就破解 ETtoday新聞雲
Ponemon Institute調查指出 人工智慧是IoT時代的重要資安武器 Ctimes
微軟、IBM等科技大咖提建言 發展AI 政府應加大力道 經濟日報(臺灣)
意外遭新版Windows 10更新刪除的電腦資料 微軟將提供修復工具 Content Party
國際現場》中國擴充網安法規 外商剉咧等 自由時報
Google+數十萬個資外洩 個人版明年8月走入歷史 中央通訊社
美國海軍陸戰隊靠抓漏競賽找到逾150個安全漏洞 iThome
Windows 10十月更新安裝傳出災情:刪光檔案、英特爾驅動程式不相容 iThome
蘋果、亞馬遜駁斥中國駭客晶片 英國網路安全中心表認同 新頭殼
台PCB業者看伺服器間諜晶片疑雲:修改晶片設計極其困難 絕不可能遭植入間諜晶片 電子時報
中國網軍重現江湖,8個駭客組織回歸運作 iThome
台韓澳柬 回擊中國網攻 自由時報
歐美聯手 圍剿俄網路特工 經濟日報網
俄網攻全球體壇 堪比干預美國大選 中央通訊社
EFF砲轟美國四大電信力推的行動身份驗證不夠安全還可能侵犯隱私 iThome
中小企業自架購物平臺易遭入侵,EC-CERT呼籲重視安全控管政策 iThome
在過去三年以來,韓國發生了158起加密錢包駭客攻擊事件 Knowing
育碧「土豆」伺服器遭DDoS攻擊:《奧德賽》受牽連 新浪網(臺灣)
針對《要塞英雄》作弊者,駭客藉外掛偷取玩家比特幣 科技新報網
充電線「操控」iPhone訂5萬總統套房! 女深夜崩潰拔線:太可怕了 ETtoday新聞雲
大陸浙江省金華市一名楊姓女子,日前凌晨發訊息給朋友們,講述自己遭遇的恐怖一幕,她表示晚間11點多,自己的山寨充電線竟然趁她不注意,自己訂了一間要價10880人民幣(約4.9萬元台幣)的總統套房住宿,楊女簡直不敢相信自己的眼睛,直呼「這到底是巧合還是什麼鬼?」引起網友熱議。
<回到新聞條列重點>
假新聞殺人後,資安危機如何防堵 ETtoday新聞雲
歐盟預估,2020年「資料經濟」(Data Economy,個體或企業透過取得大量資料並加以分析或加值而獲得經濟優勢)會占歐洲整體GDP的4%。世界經濟論壇(WEF)2016年全球資訊科技報告(GITR)指出,我國電子商務使用程度、ICT(資訊與通信科技)對服務與組織的加值逐年下滑,例如電子商務網路使用程度居第31名、ICT交易程度排名第25名、ICT對產品和服務的影響為23名、ICT影響組織則占第21名。另外,勞動參與知識密集比例居39名,可見我國的數位經濟創新有待加強。
<回到新聞條列重點>
提供個資能向這家咖啡店換一杯免費咖啡,你願意嗎? 科技新報網
「殺手只收鑽石不收錢」這個交易規則我們經常在電影裡看到,而現實生活中,也有一家咖啡店從來不主動向顧客收錢,不過,他們收的不是動輒千萬的鑽石,而是顧客的個人資訊。
<回到新聞條列重點>
加州立法禁止消費電子產品使用簡單默認密碼 防殭屍網路 新浪網(臺灣)
據techcrunch 報導,前幾日,加州通過了一項法律,2020 年之後禁止在所有新的消費電子產品中使用「admin」、「123456」和經典的「password」這樣的默認密碼。
<回到新聞條列重點>
【在避免影響營運之下防堵弱點,能預防變種漏洞攻擊】虛擬修補大幅縮減攻擊與防守的落差 iThome
能夠提供虛擬修補的防護措施,最早是網路入侵防禦系統,而這種越來越普遍的應用,目前已陸續在網站和應用系統出現,接下來,還要保護物聯網裝置和工業控制系統。
<回到新聞條列重點>
【面臨不斷出現的變種攻擊亂象,企業的弱點管理處境日益艱難】重新看待防治弱點的管理思維 iThome
漏洞是駭客最常見的滲透管道之一,然而企業想要防堵,不只是仰賴部署業者提供的更新軟體,虛擬修補的應用也要同樣重要。
<回到新聞條列重點>
【假LINE】法鬥皮古-偶像包袱很重?,免費貼圖詐騙個資新招 這是假消息
本週 LINE 最夯的詐騙就是「超人氣法鬥皮古-偶像包袱很重」這樣的活動,還說今日免費貼圖只到12點,搭配山寨網站設計的假 LINE 貼圖活動。
<回到新聞條列重點>
Mygopen》EMAIL被盜用、被駭怎麼辦?別只會變更郵件密碼! 自由時報電子報
如果你發現自己的 Email 電子郵件被盜用了該怎麼辦?其實這個還滿危險的,因為其實你的 Email 帳號密碼甚至同時綁著其他網站社群服務,或拿來註冊了其他帳號,如:Facebook、LINE、購物網站、訂票網站…等,這個時候別只是更改你的 Eamil 密碼了,很可能問題不只在這個上面,這裡趨勢科技提供了四個動作教學,來保護你重要的帳號和資訊安全,大家可以學起來。
<回到新聞條列重點>
【學起來】利用防詐達人新功能過濾臉書的一頁式詐騙連結 這是假消息
關於臉書的一頁式詐騙真的是愈來愈多了,其實我們可以利用些網路工具來做初步的把關,除了 MyGoPen 的回覆服務之外,趨勢科技的防詐達人也推出一頁式詐騙過濾新功能囉!
<回到新聞條列重點>
納國安蔡:嚴辦假消息 學者憂難防堵「恐變打壓新聞自由」 台灣蘋果日報
「只要罪證確鑿,我們一定嚴辦到底!」總統蔡英文昨在國慶演說時,首度把假消息納入國家安全布局,並展現嚴辦決心。蔡強調,針對系統性、來自特定國家背景的假消息傳播,將加強跨國合作,建立查核和通報機制,防止假消息對各國社會穩定帶來的破壞和衝擊。
<回到新聞條列重點>
蔡英文總統在國慶談話表示,面對國際政經局勢劇烈變化,我們的因應策略之一就是強化國家安全;國家安全布局的其中一個面向,是阻止外來勢力對國內進行滲透破壞。她強調,利用台灣社會的自由進行滲透、製造亂象,一定用盡一切方式來防範,絕對不會坐視。
<回到新聞條列重點>
美國資訊安全公司CrowdStrike九日公布報告指出,自美中貿易戰於今年上半年爆發以來,中國駭客加大竊取美國商業機密的力度。在針對西方國家網路攻擊上,中國已超越俄羅斯成為最大的駭客贊助國,包括企業、大學、智庫、政府部門及非政府組織都深受其害。
<回到新聞條列重點>
川普上台之後 中國駭客變多 聯合晚報(臺灣)
資訊安全業者CrowdStrike在9日發表的年中報告指出,竊取美國各類商業機密的中國大陸駭客2015年9月後一度偃旗息鼓,但川普總統上台後,過去一年瞄準美國企業界與科技業的駭客行為又開始猖獗。
<回到新聞條列重點>
美企遭駭客植晶片入侵 傳源頭來自中國廣州工廠 自由時報電子報
美國企業遭到中國駭客晶片攻擊,一名資安專家昨披露,美國「超微電腦公司」(Super Micro Computer Inc.)內部伺服器被植入駭客程式的硬體原件,皆來自中國廣州的同間工廠。
<回到新聞條列重點>
美國防部武器系統易遭駭!暗藏「關鍵弱點」 1小時就破解 ETtoday新聞雲
根據美國國會監管機構國會稽核處(GAO)9日發布的一份報告指出,美國防部武器計畫越來越依賴電腦運作,變得容易被駭客入侵。根據測試結果,2人團隊只花費1小時就破解進入系統,並在一天之內就能夠全盤掌控所有子系統。
<回到新聞條列重點>
Ponemon Institute調查指出 人工智慧是IoT時代的重要資安武器 Ctimes
HPE旗下子公司Aruba委託Ponemon Institute進行全球研究調查,發現愈來愈多企業把人工智慧(AI)視為保護IT基礎架構免於秘密攻擊的重要武器。調查發現,大部分資訊科技安全團隊認為其企業的整體資安策略存在漏洞,而75%更認為IoT裝置會構成威脅。
<回到新聞條列重點>
微軟、IBM等科技大咖提建言 發展AI 政府應加大力道 經濟日報(臺灣)
經濟部昨(8)日舉辦台灣全球招商論壇,包括微軟、IBM、亞馬遜(Amazon)、Intel、前進智能、NEC等知名國際企業高階主管齊聚一堂,國際AI先鋒認為台灣起步稍晚,但台灣擁有頂尖人才、高品質資料,以及完整產業鏈,盼政府積極、並加大發展AI力道,迎頭趕上。
<回到新聞條列重點>
近期資安事件頻傳,犯罪者為避免遭到追緝,會盡可能地不留下犯罪跡證,例如使用洋蔥瀏覽器(Tor Browser)。為更了解洋蔥瀏覽器的運作原理,本文將說明洋蔥路由的組成及運作,並利用案例實作,使用鑑識工具來進行洋蔥瀏覽器使用之偵測,以掌握並分析犯罪者的動態。
<回到新聞條列重點>
意外遭新版Windows 10更新刪除的電腦資料 微軟將提供修復工具 Content Party
針對日前釋出的1809版Windows 10秋季更新內容造成部分用戶電腦存放資料遭刪除的情況,微軟稍早除了緊急撤下更新內容,避免更多人發生意外之餘,同時也透露將針對資料意外遭刪除的用戶提供工具,預期將可協助用戶救回寶貴資料內容。
<回到新聞條列重點>
國際現場》中國擴充網安法規 外商剉咧等 自由時報
中國擴充網路安全法規,自11月1日起,警方有權對企業的資訊技術和自有資訊進行檢查,外國公司擔心中國可能藉由此法,逼迫他們公開商業機密,甚至進一步將機密透露給中國本土的競爭對手。
<回到新聞條列重點>
Google+數十萬個資外洩 個人版明年8月走入歷史 中央通訊社
繼臉書後,社群網站Google+也捲入個資外洩風暴,數十萬用戶資料曝光,Google因此宣布個人版Google+將走入歷史。華爾街日報報導,Google半年前發現問題卻不公開。
<回到新聞條列重點>
美國海軍陸戰隊靠抓漏競賽找到逾150個安全漏洞 iThome
美國國防部從2016年開始發起一連串抓漏獎勵專案,鼓勵經審查的白帽駭客協助找出漏洞,先前已對美國國防部公開網站、陸軍、國防部差旅系統及空軍系統提供抓漏獎勵,周四公佈了海軍陸戰隊的最新抓漏成果。
<回到新聞條列重點>
Windows 10十月更新安裝傳出災情:刪光檔案、英特爾驅動程式不相容 iThome
有用戶發現安裝Windows 10十月更新後,電腦內的資料被刪除,即使回復舊本,資料也沒有回來。還有其他用戶發現Windows十月更新不相容於Intel音效相關驅動程式。
<回到新聞條列重點>
蘋果、亞馬遜駁斥中國駭客晶片 英國網路安全中心表認同 新頭殼
據《彭博商業周刊》日前報導,包括蘋果、亞馬遜在內,共有近 30 家企業,遭中國間諜植入電腦晶片,供北京秘密取得內部網絡。對此,蘋果與雅馬遜皆發表聲明駁斥,英國國家網路安全中心今(6)日也認同兩間公司的說法。
<回到新聞條列重點>
台PCB業者看伺服器間諜晶片疑雲:修改晶片設計極其困難 絕不可能遭植入間諜晶片 電子時報
近來美中關係的緊張情勢,在彭博商業週刊報導SuperMicro的伺服器晶片產品遭到大陸軍方植入間諜晶片後,美國對大陸科技供應鏈的不安與疑慮氛圍再度升溫。
<回到新聞條列重點>
中國網軍重現江湖,8個駭客組織回歸運作 iThome
由於近年來引起全球恐慌的重大駭客事件,皆是北韓在幕後支持,然而中國網軍停火了嗎?根據資安公司最新公布的調查結果,中國網軍確實消聲匿跡一陣子,但最近又開始重現江湖。
<回到新聞條列重點>
台韓澳柬 回擊中國網攻 自由時報
英國金融時報報導,今年以來,包括與南韓政府有關的幾個團體、澳洲一家研究機構、台灣執政黨和柬埔寨反對黨的官網,都遭中國駭客攻擊;這些國家已增強「進攻性網路能力」,由過去的防衛姿態改為主動攻擊,以對抗中國發動的網路戰。
<回到新聞條列重點>
歐美聯手 圍剿俄網路特工 經濟日報網
繼美國4日宣布起訴7名俄羅斯軍事情報機構格魯烏(GRU)駭客之後,美國主要歐洲盟邦也在同一日揭發俄羅斯駭客破壞行動,包括莫斯科鎖定化武監察組織的細節。
<回到新聞條列重點>
俄網攻全球體壇 堪比干預美國大選 中央通訊社
世界反禁藥組織2016年7月公布一份震撼體壇的報告,說明俄羅斯如何有系統地掩蓋俄羅斯運動員服用禁藥行徑;同一天,莫斯科網軍據稱也發動攻擊。
<回到新聞條列重點>
EFF砲轟美國四大電信力推的行動身份驗證不夠安全還可能侵犯隱私 iThome
行動身份驗證也屬於單一登入(SSO)服務,使用者要申請應用帳號時,不需要註冊額外的帳號密碼,登入程序也會方便許多,但這卻會使許多追蹤保護破功,暴露使用者隱私給電信業者。
<回到新聞條列重點>
中小企業自架購物平臺易遭入侵,EC-CERT呼籲重視安全控管政策 iThome
為了在網路上銷售商品,中小企業可能選擇自行建置購物網站,卻普遍缺乏資安防護的資源,即使想要把防護設備等資源投入,通常也會集中在網站的本身。在2018年臺灣資安通報應變年會上,電子商務資安服務中心(EC-CERT)正工程師林耕宇指出,企業若是確實執行線上和線下的資安防護政策,能夠大幅降低購物網站遭到入侵的機會。
<回到新聞條列重點>
在過去三年以來,韓國發生了158起加密錢包駭客攻擊事件 Knowing
根據bitcoin.com報導,韓國的國家警察廳編寫了一份報告,該報告紀錄了該國過去三年以來,所有涉及加密交易所和加密錢包的駭客攻擊事件。
<回到新聞條列重點>
育碧「土豆」伺服器遭DDoS攻擊:《奧德賽》受牽連 新浪網(臺灣)
《刺客信條:奧德賽》終於迎來了正式發售,但不幸的是,育碧的伺服器遭受了多次DDoS攻擊,這意味著這款系列新作的玩家們不得不面對令人沮喪的連接問題。
<回到新聞條列重點>
針對《要塞英雄》作弊者,駭客藉外掛偷取玩家比特幣 科技新報網
外媒最近指有不法分子針對遊戲《要塞英雄》的玩家,嘗試偷取他們的加密貨幣。電腦資安公司 Malwarebytes 之前調查《要塞英雄》生態圈,發現某些宣稱是《要塞英雄》的外掛程式,檔案內含惡意程式碼,目標是玩家個資和比特幣錢包。
<回到新聞條列重點>
人類擅長運用生活經驗與所學知識來感知,並與所處環境互動。如果企業組織的資訊安全系統也擁有相同能力,內部資安人員便能透過完整而一致的知識與團隊快速地將系統打造成一座無堅不摧的護城堡壘。認知技術能夠運用具備瞭解、推理與學習能力的安全系統戰勝威脅,搶得先機。
<回到新聞條列重點>