《資安新聞周報 》假銀行應用程式,進行簡訊釣魚(SMiShing)詐騙/如何保護IIoT環境中的工業控制系統?

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

媒體資安新聞精選:

CLOUDSEC 2018 趨勢科技布局 AI,全方位抵禦資安威脅進擊      科技新報網

員工對話紀錄、公司資訊成勒索對象 辦公聊天軟體 駭客新目標        經濟日報(臺灣)

「來店送點數」駭客偽造GPS數據 詐點逾百萬台幣      民視新聞網

部分 iPhone 用戶收到 Apple ID 被鎖定的訊息 疑似駭客嘗試破解     電腦王阿達

花旗如何被盜刷 6,300 萬,銀行資安風險現隱憂   科技新報網

華女電郵被駭 暗指上色情網站 亂槍打鳥勒索        世界新聞網

《專家傳真》別讓資安 成為智慧工廠的罩門  工商時報

Gartner列舉未來5年推動數位企業創新的物聯網技術十大趨勢  電子時報

以掌握用戶密碼或入侵裝置偷拍為由,騙取比特幣 謊稱用戶密碼外洩郵件詐騙激增      iThome電腦報周刊

晶片漏洞 藍牙 無線路由器  TI藍牙晶片遭爆兩個零時差漏洞,數百萬無線AP陷風險,思科、Aruba急搶修        iThome電腦報周刊

硬體安全 思科  SIP 思科多款安全硬體爆SIP零時差漏洞,尚未修補但已有攻擊出現      iThome電腦報周刊

特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險     iThome

研究人員揭露DJI漏洞,恐讓駭客偷走無人機拍攝的機密影像     iThome

自動化機器人大舉入侵 電商網站面臨綁架威脅      電子時報

破解商務電郵詐騙流程  擺脫威脅只在一念之間     電子時報

宗教團體也得遵守 GDPR!挨家挨戶傳教就有可能違反史上最嚴個資法     科技報橘網

臉書修補了洩漏使用者和朋友個資風險的漏洞        iThome

麥當勞留言送大薯 基隆警:攏係假勿受騙   壹週刊

WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累   iThome

疑用戶電郵外洩 港匯豐20行動支付帳戶遭竊40萬      台灣蘋果日報網

Google G Suite 官方 Twitter 帳號被盜,叫你用 0.1 換 1 枚比特幣    INSIDE

荷蘭警方破解端對端加密傳訊程式IronChat攔截25.8萬則訊息,成功破獲洗錢集團       iThome

馬來西亞媒體巨頭,遭駭客勒索1000枚比特幣      Knowing

當絕對公開的區塊鏈遇上絕對隱私的 GDPR,企業該如何找到兩者並存的商業模式 科技報橘網

11月週二更新來了,微軟這次修補了63個漏洞,13個是重大漏洞    iThome

微軟Azure資安中心服務再升級,加強支援Linux容器安全,提高基礎架構可視度  iThome

IMF倡議數位幣 拉加德建言 各國央行應研議發行,填補減少使用現金空缺     經濟日報(臺灣)

企業資安防護再進擊 物聯網設備資安應從驗證做起      電子時報

工研院:台灣AI發展在智慧製造、電子商務、電腦視覺領域等已建構出產業鏈       工商時報電子報

擔憂資訊安全潛在風險 德擬禁止中國企業參與5G招標        寰宇新聞網

GDPR戰火延燒,英國隱私保護組織PI投訴甲骨文等7業者違反GDPR       iThome

DIGITIMES智慧工廠論壇 揭開新製造競賽決勝之道        電子時報

確實做好認證機制 點對點協定使用無虞  網管人

物聯網整合5G與AI  形成智慧連接的完美風暴      電子時報

確保智慧工廠風險可控 功能安全造就工業4.0發展       新通訊元件雜誌

找不到資安人才!德州農工大學運用 AI 軟體紓緩資安問題 科技新報網

馬克宏聯手科技大廠推網路安全 不見美中俄簽署  中央通訊社

中共駭美國手法升級 破壞性更大  網路攻擊  中共駭客        buzzbooklet

大咖「烏鎮論劍」 解讀世界互聯網大會「高頻詞彙」  新浪網(臺灣)

固態硬碟加密機制漏洞  Windows  BitLocker 固態硬碟加密機制遭爆有漏洞,可能外洩加密資料  iThome電腦報周刊

美控中國違反停止網路間諜協議        自由時報

BCMUPnP_Hunter殭屍網路已收服10萬台路由器   iThome

台灣出發、亞洲最大!2018 Meet Taipei創新創業嘉年華登場   數位時代

 

CLOUDSEC 2018 趨勢科技布局 AI,全方位抵禦資安威脅進擊      科技新報網

在今日複雜的混合雲、物聯網時代,企業乃至於個人所面臨的資安問題,都更加多變,包括勒索軟體鎖定物聯網設備攻擊、網路數位身分遭竊等不一而足;加上近幾年來 AI 有著巨大的躍進,並持續被應用在網路犯罪上,對每個人在工作和日常生活上造成極大威脅。面對這個趨勢,稍早在今年度的 CLOUDSEC 2018 企業資安高峰論壇上,趨勢科技引領業界,發表了以 AI 技術對付新型態資安威脅的多項研發成果。

<回到新聞條列重點>

員工對話紀錄、公司資訊成勒索對象 辦公聊天軟體 駭客新目標        經濟日報(臺灣)

「企業間諜根本不算什麼,員工聊天紀錄往往才是使業者難堪和遭勒索的寶庫。企業難以管控員工在Slack討論的議題,特別是通常有數十或數百個私人頻道的中至大型公司。跟同事批評主管、抱怨奧客、嫉妒同事新辦公桌等等這些話題看似無害,但如果聊天紀錄外洩,心懷不軌的第三方可能利用來做一些不法行為。
市場盛傳熱門職場通訊服務Slack科技公司準備最快2019年第1季掛牌上市,Slack預期首次公開發行股票(IPO)將創造遠高於70億美元左右的估值。不過,專家指出,Slack、Slack用戶和該公司潛在投資人將面臨一個大問題:資安。

<回到新聞條列重點>

「來店送點數」駭客偽造GPS數據 詐點逾百萬台幣      民視新聞網

日本很多店家為了吸引顧客,推出不用消費、來店就能得到點數的好康。沒想到卻驚傳有駭客偽造GPS數據,明明人在北海道,卻詐取了遠在九州的購物中心的來店點數,詐騙金額超過百萬台幣。

<回到新聞條列重點>

部分 iPhone 用戶收到 Apple ID 被鎖定的訊息 疑似駭客嘗試破解     電腦王阿達

Apple ID 雖然保護機制非常完善,但因為在黑市市場上的價格非常不錯,因此經常是駭客們的攻擊、竊取的主要目標之一。根據外媒報導,稍早就有部分 iPhone 用戶在社群網站抱怨收到 Apple ID 被鎖定的訊息,他們自己並沒有操作任何錯誤,但卻無故出現,而通常會發生這種情況,都是有人嘗試輸入錯誤密碼導致。

<回到新聞條列重點>

花旗如何被盜刷 6,300 萬,銀行資安風險現隱憂   科技新報網

這其實不是花旗銀行系統第一次出現問題了,今年初花旗信用卡也被發現有重複扣款的現象,額外扣取溢收「滯納金」與「循環利息」,波及達 30 萬名用戶,部分超收時間甚至長達 5 年,金管會也同樣開罰 250 萬元。而這次,是有民眾發現花旗系統交易錯誤的 Bug,並盜刷近 6,300 萬的款項被發現。

<回到新聞條列重點>

華女電郵被駭 暗指上色情網站 亂槍打鳥勒索        世界新聞網

日前南加安女士收到一封駭客勒索電郵,勒索者於信中表明知道安女士郵箱密碼,甚至已植入惡意代碼,至她的電腦操作系統,可以監控她的一舉一動。勒索者威脅要求安女士支付841元,否則要將她瀏覽過的色情網站消息,廣發給她的親朋好友。

<回到新聞條列重點>

《專家傳真》別讓資安 成為智慧工廠的罩門  工商時報

當製造業進入智慧製造(慣稱工業4.0)的經營型態時,藉由網路連結與進步的軟體功能使得機器與機器能相互連結交換資訊,這樣的轉變讓人員介入的機會少了,除了減少人力需求,更可以避免人員的錯誤。另外,因為聯網的便利使得參數管理集中化得以實現,參數集中化的好處在於避免機台差異造的品質起伏現象。然而智慧工廠機機聯網的結果,卻可能因為資安議題而造成生產線全面停擺。

<回到新聞條列重點>

Gartner列舉未來5年推動數位企業創新的物聯網技術十大趨勢  電子時報

Gartner研究副總裁Nick Jones表示,未來10年物聯網將持續為數位企業創新帶來更多機會,其中許多將來自全新或改良後的技術;而主導創新物聯網趨勢的資訊長(CIO)將可領導企業事業的數位創新。

<回到新聞條列重點>

以掌握用戶密碼或入侵裝置偷拍為由,騙取比特幣 謊稱用戶密碼外洩郵件詐騙激增      iThome電腦報周刊

最近不少使用者收到一封電子郵件,內容是告訴你的電子郵件與裝置被入侵,甚至知道你使用的密碼,以此恐嚇獲取比特幣,這很可能是網路攻擊者掌握了其他網路服務外洩的帳密,而藉此名義詐騙。

<回到新聞條列重點>

晶片漏洞 藍牙 無線路由器  TI藍牙晶片遭爆兩個零時差漏洞,數百萬無線AP陷風險,思科、Aruba急搶修        iThome電腦報周刊

以色列資安業者Armis本周揭露,由德州儀器(Texas Instruments,TI)所生產的低功耗藍牙(Bluetooth Low Energy,BLE)晶片含有兩個重大的安全漏洞,成功開採相關漏洞的駭客將可入侵企業網路,掌控無線AP或散布惡意程式,包括思科、Meraki與Aruba的無線AP都採用了含有漏洞的藍牙晶片,讓全球數百萬個企業AP拉警報。

<回到新聞條列重點>

硬體安全 思科  SIP 思科多款安全硬體爆SIP零時差漏洞,尚未修補但已有攻擊出現      iThome電腦報周刊

思科旗下安全硬體存在SIP協定零時差漏洞,影響包括Adaptive Security Appliance(ASA)9.4以上版本,以及Firepower Threat Defense(FTD)6.0以上版本的SIP檢測引擎,可能導致DoS攻擊。

<回到新聞條列重點>

特定Apache Struts 2版本含有陳年漏洞,曝遠端執行程式攻擊風險     iThome

漏洞存在於Apache Struts 2所使用的Commons FileUpload 1.3.2函式庫上,導致遠端程式攻擊,儘管在2016年便已修補,但Apache今年10月釋出Struts 2.3.36時仍使用含漏洞的函式庫版本,呼籲用戶儘快更新。

<回到新聞條列重點>

研究人員揭露DJI漏洞,恐讓駭客偷走無人機拍攝的機密影像     iThome

Check Point指出DJI的身份驗證程序存在漏洞,駭客只要在DJI論壇張貼含有惡意連結的文章,登入的DJI用戶點選該連結,駭客就能取得其登入憑證,存取其DJI帳號的內容。

<回到新聞條列重點>

自動化機器人大舉入侵 電商網站面臨綁架威脅      電子時報

即使許多網頁正積極採取防範措施,但自動化機器人正以其複雜方式逐漸在綁架或侵佔電子商務網站。

<回到新聞條列重點>

破解商務電郵詐騙流程  擺脫威脅只在一念之間     電子時報

許多人們對於電郵詐騙(Business Email Compromise;BEC)或其意義十分陌生,對防範美國境內外組織型犯罪的FBI而言,它已是短短18個月內成長13倍的可怕犯罪型態,據其網路犯罪通報中心(Internet Crime Complaint Center;IC3)公告之數據,此手法已在美國全境50州及全世界至少100個國家騙取累計超過31億美元、受理超過2萬個受害案件,2018年底更上看125億美元。

<回到新聞條列重點>

宗教團體也得遵守 GDPR!挨家挨戶傳教就有可能違反史上最嚴個資法     科技報橘網

「叮咚!叮咚!」正以為是郵差或快遞,急急忙忙從家裡沙發上起來,打開門卻是不認識的面孔也沒有包裹,開口第一句是「你知道天啟(apocalypse)要來了嗎?」

<回到新聞條列重點>

臉書修補了洩漏使用者和朋友個資風險的漏洞        iThome

最近臉書修補了一項可能洩漏使用者和朋友個資的漏洞,攻擊者可以在未經使用者的同意下,取得使用者和朋友的個人資料,包含使用者的興趣和喜好,不過,在修補之前,並沒有任何實際的攻擊案例。

<回到新聞條列重點>

麥當勞留言送大薯 基隆警:攏係假勿受騙   壹週刊

近日民眾可能在LINE通訊軟體或臉書,經常看見「麥當勞陪你不孤單」、「麥當勞每日限定一份免費大薯」這樣的訊息。基隆市刑大表示,這是假好康真詐騙的手法,別再受騙上當了。

<回到新聞條列重點>

WordPress外掛WooCommerce爆遠端程式攻擊漏洞,逾400萬網站受累   iThome

結合WooCommerce的檔案刪除漏洞,取得WooCommerce商店經理(Shop Manager)權限的駭客,再利用WordPress權限管理上的漏洞,可掌控WordPress網站並執行遠端程式攻擊。

<回到新聞條列重點>

疑用戶電郵外洩 港匯豐20行動支付帳戶遭竊40萬      台灣蘋果日報網

香港匯豐銀行昨晚宣布,該銀行推出的儲值行動支付軟體PayMe,有用戶因為電郵帳號被盜用,導致20個帳戶損失約10萬港幣(約40萬元台幣)。有專家認為,此次事件很可能和先前國泰航空用戶個資外洩有關。

<回到新聞條列重點>

Google G Suite 官方 Twitter 帳號被盜,叫你用 0.1 換 1 枚比特幣    INSIDE

G Suite 官方 Twitter 帳號爆發被盜詐騙比特幣事件,駭客在假發文中稱 Google 將會向追蹤者們發送出高達 10000 枚比特幣,但是追蹤者們先得打 0.1 至 0.2 個比特幣給指定位置,然後 Google 發還至少 1 枚的比特幣。

<回到新聞條列重點>

荷蘭警方破解端對端加密傳訊程式IronChat攔截25.8萬則訊息,成功破獲洗錢集團       iThome

荷蘭警方破解了加密手機BlackBox IronPhone上的加密通訊程式IronChat,攔載25.8萬則訊息,獲得大量的資訊,成功偵破洗錢犯罪集團。

<回到新聞條列重點>

馬來西亞媒體巨頭,遭駭客勒索1000枚比特幣      Knowing

根據CCN報導,勒索軟體攻擊了馬來西亞媒體巨頭Media Prima Bhd,導致Media Prima Bhd的員工無法進入電子郵件系統。

<回到新聞條列重點>

【投稿】當絕對公開的區塊鏈遇上絕對隱私的 GDPR,企業該如何找到兩者並存的商業模式 科技報橘網

區塊鏈本身具備高透明的特性,然今年年終推出的 GDPR 卻嚴格要求消費者隱私受到保護。當一個把資訊丟到光天化日之下的技術,碰上堅決守護消費者資訊的法律,此類型的商業模式會如何發展?

<回到新聞條列重點>

11月週二更新來了,微軟這次修補了63個漏洞,13個是重大漏洞    iThome

微軟於本周二(11/13)的Patch Tuesday例行性安全更新中修補了63個漏洞,當中有13個被列為重大(Critical)漏洞,同時微軟也修補了其中一個已遭到開採的零時差漏洞CVE-2018-8589。

<回到新聞條列重點>

微軟Azure資安中心服務再升級,加強支援Linux容器安全,提高基礎架構可視度  iThome

當虛擬機出現資安疑慮時,資訊安全中心會一併列出虛擬機內容器的資訊,包含執行的Docker版本,以及該主機內映像檔的執行數目。

<回到新聞條列重點>

IMF倡議數位幣 拉加德建言 各國央行應研議發行,填補減少使用現金空缺     經濟日報(臺灣)

國際貨幣基金(IMF)總經理拉加德表示,各國央行應認真研議發行數位貨幣,以填補減少使用現金留下的空缺,同時防範數位貨幣成為詐欺與洗錢者的天堂。

<回到新聞條列重點>

企業資安防護再進擊 物聯網設備資安應從驗證做起      電子時報

日前,美國加州議會通過全美第一個物聯網(IoT)裝置的資訊隱私法案。法案中規定,IoT裝置的製造商必須提供合理的安全功能,明確規範任何可自區域網路之外登入的連網裝置預設密碼都必須是獨特的,使用者首次設定該裝置時,必須提醒使用者設定自己的密碼之規定。

<回到新聞條列重點>

工研院:台灣AI發展在智慧製造、電子商務、電腦視覺領域等已建構出產業鏈       工商時報電子報

根據研究機構Gartner公布「對資通訊組織2019年後十大預測」前三名為:人工智慧尚無法大規模應用、人工智慧協助減少失蹤人口、人工智慧協助慢性病患遠端虛擬照護,可預期人工智慧仍將持續為未來全球最具影響力的應用技術。除Google、Microsoft、IBM等國際大廠不僅在基礎技術上持續精進,在應用上也不斷尋求切入各種新市場;相關大型學術會議也貼合此趨勢,例如:專注電腦視覺領域者即鎖定自駕車的物件辨識干擾與精進等為主題。

<回到新聞條列重點>

擔憂資訊安全潛在風險 德擬禁止中國企業參與5G招標        寰宇新聞網

根據路透社報導,繼澳洲宣布禁止中國電信大廠華為與中興通訊參與5G網路架設後,傳出德國外交部與內政部高層,積極推動德國5G招標前排除中國企業,主要是因為去年中國通過的「國家情報法」規定,中國組織或公民必須支持國家情報工作,這使得中國企業有相當高機率會協助中國政府竄改技術設備、置入後門,威脅他國資安。

<回到新聞條列重點>

GDPR戰火延燒,英國隱私保護組織PI投訴甲骨文等7業者違反GDPR       iThome

除了甲骨文,其餘遭到點名的業者包括了從事資料分析的Acxiom,提供廣告服務的Criteo、Quantcast、Tapad,以及信用報告業者Equifax與Experian。

<回到新聞條列重點>

DIGITIMES智慧工廠論壇 揭開新製造競賽決勝之道        電子時報

兩年前的雲棲大會,阿里巴巴集團董事會主席馬雲提出5項新概念,包含新零售、新技術、新能源、新金融及新製造。兩年後他聚焦新製造,強調新製造浪潮即將為全球製造業帶來席捲性的威脅與破壞。

<回到新聞條列重點>

確實做好認證機制 點對點協定使用無虞  網管人

點對點協定通常用於兩個網路節點的直接連接,例如兩台電腦透過電話線的網路進行連接。除了可以網路直接的連接外,點對點協定也提供連線認證、傳輸加密、錯誤偵測以及資料壓縮等功能,本文將要介紹點對點協定的認證機制。

<回到新聞條列重點>

物聯網整合5G與AI  形成智慧連接的完美風暴      電子時報

物聯網(Internet of Things)的技術經歷這幾年的大力鼓吹與投資之下,從雲端平台的建置與連接大量的連網裝置的第一階段發展起始,所提供的新型態的雲端服務與應用,皆仰賴從蒐集資料中嘗試去理解使用者需求,當連接裝置不斷竄升,資料量不斷膨脹成長,透過大數據分析的技術進入資料分享的階段,因此而創造膾炙人口的智慧服務,今天最為各界所矚目的前五大物聯網創新服務,包含智慧製造、智慧零售、智慧醫療、智慧能源與運輸,都皆因此而起。

<回到新聞條列重點>

確保智慧工廠風險可控 功能安全造就工業4.0發展       新通訊元件雜誌

工業4.0(Industry 4.0)為未來的工廠帶來一個新願景,在這些未來工廠中,安全至關重要。功能安全(Functional Safety)象徵用戶的信心,其確保設備在要求正常運行時能夠執行其安全機能。相較於其他形式的安全性,其更貼近於實用層面。由於積體電路(IC)是建置功能安全的基礎,因此IC也就成為工業4.0的基石。

<回到新聞條列重點>

找不到資安人才!德州農工大學運用 AI 軟體紓緩資安問題 科技新報網

根據 Cybersecurity Venture 及 Herjavec Group 合作的報告指出,2021 年約有 350 萬份資安相關工作缺人,而應徵職缺的人之中,只有四分之一符合技能要求。

<回到新聞條列重點>

馬克宏聯手科技大廠推網路安全 不見美中俄簽署  中央通訊社

法國和美國微軟公司等多家科技大廠,今天敦促各國政府和企業簽署新的倡議,致力規範網路並且打擊網路攻擊、線上審查制及仇恨言論等威脅,但不見中、俄響應,美國也尚未簽署。

<回到新聞條列重點>

中共駭美國手法升級 破壞性更大  網路攻擊  中共駭客        buzzbooklet

據科技新聞網站「Ars Technica」報導,最近一個關於「跳躍」(island hopping)戰術的例子是「雲端跳躍」(cloud hopper,又稱雲鬥)攻擊行動,該行動2016年5月開始活躍。美國國土安全部10月初就警告,「雲端跳躍」行動在幾個月內激增。

<回到新聞條列重點>

大咖「烏鎮論劍」 解讀世界互聯網大會「高頻詞彙」  新浪網(臺灣)

人工智慧是引領未來的戰略性技術,是新一輪科技革命和產業變革的重要力量,已經成為國際競爭的新焦點。近年來,中國人工智慧技術創新日益活躍、產業規模逐步壯大、應用領域不斷拓展,取得了階段性成效。

<回到新聞條列重點>

固態硬碟加密機制漏洞  Windows  BitLocker 固態硬碟加密機制遭爆有漏洞,可能外洩加密資料  iThome電腦報周刊

研究人員在市售五款SSD產品上發現其使用的加密機制存在漏洞,可讓能夠存取這些硬碟的第三方人士,不需密碼就能取得其中的資料,特別在Windows BitLocker的風險更高。

<回到新聞條列重點>

美控中國違反停止網路間諜協議        自由時報

美國國家安全局(NSA)官員怒控,中國違反三年前簽訂的協議,當時美國前總統歐巴馬和中國國家主席習近平互相承諾,停止以網路間諜行動駭取政府及企業資料,如今北京政府卻食言而肥。

<回到新聞條列重點>

BCMUPnP_Hunter殭屍網路已收服10萬台路由器   iThome

BCMUPnP_Hunter鎖定2013年即發現的博通UPnP漏洞,入侵家用路由器,360Netlab發現該殭屍網路已入侵10萬台路由器,涵蓋D-Link、Linksys、NetComm、ZTE、Zyxel及TP-Link等。

<回到新聞條列重點>

台灣出發、亞洲最大!2018 Meet Taipei創新創業嘉年華明登場   數位時代

創新創業主題論壇以「Explore the Next Epic of Startup & Technology」為題,從三大角度垂直化趨勢、國際化力量及深科技時代切入,邀請國內外重量級意見領袖及產業先驅,分享趨勢觀察與剖析創業可能性。

<回到新聞條列重點>