2018年不可思議14個駭客入侵手法懶人包

2018 年有哪些不可思議的駭客攻擊手法?根據  iThome Security粉絲專頁在 7 月貼文敘述:「在新興資安威脅中,也有一些可能帶來威脅但看似冷門的技術。像是近日,有研究人員利用中階的熱感攝影機,可在一分鐘內蒐集到鍵帽上殘留的餘溫,便能蒐集到使用者剛輸入的密碼。記得,在去年臺灣資安大會上,也曾經有專家分享,用生活中無線訊號感知的研究。像是家中房間有一臺無線路由器,而使用者在這樣的空間用電腦打字,這時訊號會受到某種程度都卜勒效應干擾,因此打字的動作將反應在此訊號上,再傳送到接收端,而這個現象可以被觀察到,如果建立起一個模式,就有可能一一區分使用者現在正在按哪個按鍵。資安威脅真的是無所不在。

今年無所不在的新興資安威脅有哪些?本文從 2018年媒體或本部落格報導的資安新聞中整理了四大類不可思議的攻擊手法,讓我們繼續看下去:

失「手」竟會外洩密碼

  • 手指按壓過的鍵盤餘溫,竟會洩漏密碼 !
  • SIM卡劫持,讓你的手機無法打電話或上網,Google、FB帳戶密碼也被竄改
  • 「一指」ATM 領款好方便,又安全!?日專家:數位相機拍下手掌照片就可在 10 分鐘內解讀出手指靜脈圖
  • AI 可產生假指紋以假亂真

「聽」力超強的駭客攻擊

  • 「海豚攻擊」(Dolphin Attack)的技術,可向智慧語音助理,發送人耳接收不到的聲音
  • 「Mosquito」(蚊子) 概念驗證攻擊,可利用喇叭或耳機從連網或隔離的電腦將資料外傳
  • 只靠控制電流噪音就能「聽」出你的螢幕內容
  • 喇叭或耳機可將電腦資料外傳

萬物皆聯網 萬物皆可駭

  • 結帳櫃檯的網路攝影機,偷拍信用卡資料
  • 信用卡資料外洩,付款時網路攝影機搞鬼!
  • 好脆弱!大聲一吼電腦系統就崩潰了

崩潰了!這樣也能駭

  • 不連網也中招!利用電線傳遞電流的變動,盜取電腦數據
  • 閉關修練! 數百名囚犯利用電子系統「JPay」漏洞,聯合竊取22.5萬美元(約台幣689萬元)

 

 

失「手」外洩密碼

1.手指按壓過的鍵盤餘溫,竟會洩漏密碼 !

中階熱感攝影機,可利用鍵帽上殘留餘溫,蒐集使用者在一分鐘內輸入的密碼。

如果你輸入密碼後就立刻離開座位,密碼可能立馬被人竊走。

加州大學艾爾文分校(University of California, Irvine, UCI)研究人員發展出以熱感攝影機量測手指留在鍵盤上的餘溫,藉此竊取密碼。此攻擊手法,可在輸入密碼後一分鐘內,利用中階熱感式攝影機蒐集到鍵帽上被按壓過的溫度。

●原文參考來源: IT  Home

2.「一指」ATM 領款好方便,又安全!?日專家:數位相機拍下手掌照片就可在 10 分鐘內解讀出手指靜脈圖

在ATM靠手指靜脈血流辨識領錢,在機場靠臉部辨識掃描設施出關,皮包再也不用塞滿厚厚一疊卡片,這些看來獨一無二的生物辨識密碼安全無虞,但日本研究團隊破解,只要一張數位照片就可騙過超過半數的辨識儀器。未來相機解析度如果更高就會產生風險。

●原文參考來源:台視

3.SIM卡劫持,讓你的手機無法打電話或上網,Google、FB帳戶密碼也被竄改

駭客藉著掌握一些身份證明資訊,假冒受害人,跟電信業者表示手機掉了,需申請新的 SIM卡。取得了受害者的SIM卡之後,透過簡訊存取包括受害者的 Email 、社群 、加密貨幣帳號,甚至電子錢包。

●原文參考來源:T 客邦

4. AI 可產生假指紋以假亂真

人工智慧繪製而成的假指紋,已能成功騙過指紋辨識系統。也就是說,未來可能駭客也不用跟在使用者背後竊取指紋。

● 原文參考來源:IT Home

「聽」力超強的駭客攻擊

5.「海豚攻擊」(Dolphin Attack)的技術,可向智慧語音助理,發送人耳接收不到的聲音

該攻擊可喚醒蘋果的 Siri、亞馬遜的 Alexa 和 Google 助理執行相應的命令,比如打電話、下單或打開含有病毒的網站等。甚至還可以把「隱形指令」隱藏在音樂中…..

6.「Mosquito 蚊子」發動攻擊, 電腦喇叭洩漏資料

「Mosquito」(蚊子) 概念驗證攻擊,可利用喇叭或耳機從連網或隔離的電腦將資料外傳
以色列的內蓋夫本-古里安大學 (Ben-Gurion University of the Negev) 的研究人員示範了一種他們命名為「Mosquito」(蚊子) 的概念驗證攻擊,利用喇叭或耳機從連網或隔離的電腦將資料外傳。》看全文

7.只靠控制電流噪音就能「聽」出你的螢幕內容

駭客可以藉由視訊攝影機或螢幕所內建的麥克風,在視訊會議中或已存檔的語音紀錄中「聽見」使用者螢幕上的內容,屬於新型態的旁路攻擊漏洞

● 原文參考來源:IT Home

 

萬物皆聯網 萬物皆可駭

 

8.信用卡資料外洩,付款時網路攝影機搞鬼!

商店和金融機構內的攝影機也可能被駭客用來取得個人身份資料(PII)和付款資訊。地下論壇有人出售可以收集信用卡資料的網路攝影機影像串流(如下圖),也有人表示願付出每秒 15 美元來觀看被駭攝影機

地下論壇有人出售可以收集信用卡資料的網路攝影機影像串流(如下圖),也有人表示願付出每秒15美元來觀看被駭攝影機。地下論壇有人出售可以收集信用卡資料的網路攝影機影像串流(如下圖),也有人表示願付出每秒15美元來觀看被駭攝影機。

一篇論壇文章出現了多達 2,000 台據說連到咖啡館、醫院、辦公室、倉庫和其他地點的IP攝影機。而另一個網站上的群組成員可以分享和觀看網路攝影機影像並進行惡作劇。網路探勘及網路攝影機入侵所用的工具也都可公開取得。趨勢科技還觀察到,因為這些網路攝影機經常都是用預設密碼或是無需身份認證的影像串流,因此並不需要特殊知識或高級駭客技能去入侵這些網路攝影機。地下論壇、社群網路專門群組和YouTube頻道也提供了詳細的指南。因為這些指南都可以公開取得,所以想跟上暴露網路攝影機潮流的人都可以輕鬆地做到。

駭客如果入侵人群聚集地點的網路攝影機,如商店、酒吧和餐廳,甚至到更私密的地方,如游泳池和健身中心的更衣室、SPA沙龍的桑拿浴室,甚至是醫院手術室。犯罪份子也入侵美容院、泳池和健身中心的更衣室、SPA沙龍的桑拿浴室等地的攝影機,專門用來勒索明星和其他公眾人物,網路犯罪分子會威脅不付錢就流出這些私密影片。

有些地下駭客在幫助腳本小子自動化入侵網路攝影機流出影像串流的程序,甚至利用這些物聯網設備進行惡意活動,如分散式阻斷服務(DDoS)攻擊、虛擬貨幣挖礦,甚至是金融犯罪。

 

9.駭客從溫度計侵入賭場資料庫,撈出豪賭大戶名單

駭客透過賭場大廳魚缸中的智慧溫度計,入侵賭場資料庫,再從同樣路徑經過溫度計,把大戶賭客清單資料上傳到雲端

● 原文參考來源:Inside

 

10.駭進不用投幣的自動販賣機 app,無限免費儲值咖啡無限續杯

下載特定的應用程式,就可用虛擬錢包到自動販賣機買咖啡而不需投幣,夠酷吧!一名義大利安全研究人員駭進了Argenta 咖啡自動販賣機,讓 Argenta 應用程式可以無限儲值。

● 原文參考來源:IT Home

11.可遙控的裝置存在危機,駭客破解 Wi-Fi電力插座,取得控制權

隨著物聯網(IoT)裝置的應用的益普及,安全性的問題也應受到重視。

只要透過手機上的App,就能藉由物聯網裝置,遠端控制電燈的開啟與關閉。但這種裝置存在了潛藏的危機,像是透過非加密流量明文傳輸帳號與密碼,甚至在監聽插座的無線連線後,能夠取得無線基地臺的SSID與金鑰,進而取得其他無線連網設備的控制權。

ES用來研究的MXQ Wi-Fi Smart Plug,是一款物聯網插座。在原廠提供的影片中,以連接遠處的電燈做為展示,使用者只要透過手機上的App,就能藉由這款物聯網裝置,遠端控制電燈的開啟與關閉。然而,ES指出,這種裝置存在了潛藏的危機,像是透過非加密流量明文傳輸帳號與密碼,甚至在監聽插座的無線連線後,能夠取得無線基地臺的SSID與金鑰,進而取得其他無線連網設備的控制權。
——————————-

● 原文參考來源:IT Home

崩潰了!這樣也能駭

12.不連網也中招!利用電線傳遞電流的變動,盜取電腦數據

● 原文參考來源:科技新報

13.閉關修練! 數百名囚犯利用電子系統「JPay」漏洞,聯合竊取22.5萬美元(約台幣689萬元)

 

● 原文參考來源:東森新聞

 

14.好脆弱! 大聲一吼電腦系統就崩潰了 

五月份舉辦的 IEEE 安全與隱私研討會,密西根大學和浙江大學的研究人員就共同展示聲波如何影響硬碟運作,最糟的狀況就是系統當機。

除了讓 1 部 Windows 10 筆電當機之外,也可以暫時關閉監視錄影系統。

● 原文參考來源:電腦王

投票抽   ➔ 新光三越/7-11禮券  迷你硬殼旅行箱收納包  PC-cillin 2019  環保飲料提袋