《資安新聞周報》美政府示警:勿使用公共USB站充電/送修iPhone,照片竟外流/盤點 2019五大資安詐騙類型

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空,它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

警告!假 Windows 10 重大更新通知,夾帶勒索病毒

一周精選媒體資安新聞

趨勢科技預測 2020年雲端與供應鏈風險加劇 台灣產經新聞網

趨勢科技推出全方位智慧工廠資安解決方案    iThome

趨勢科技併購 Cloud Conformity 強化雲端資安領先地位        網管人

勒索病毒開始朝電競選手下手?!趨勢科技研究發現電競產業面臨日益升高的網路威脅        Pchome 新聞

研究人員揭Google、三星相機程式有高風險漏洞,可被駭入偷偷拍照、錄影    iThome

電腦全天上網未關機成「肉雞」 淪駭客盜刷「跳板」  自由時報電子報

Chrome 瀏覽器書籤不見了,原來是 Google 在測試新功能出了差錯  科技新報網

Google動態郵件功能出現XSS漏洞,可讓駭客透過Gmail發動攻擊    iThome

鎖定蘋果晶片漏洞的越獄程式checkra1n出爐了!    iThome

禁Apple Pay壟斷市場!德擬修法逼開放NFC權限 蘋果憂用戶個資洩漏    匯流新聞網

WhatsApp 有漏洞!接收特定影片即可能被駭客植入間諜程式     雅虎奇摩

美國研究員發現 11 個 5G 新漏洞:會被駭客降成 4G,還會被發虛假警報! 報橘

Grin 隱私模型漏洞!駭客每週花費60美元的AWS服務,就能追蹤 96% 金流地址 BLOCKTEMPO

DDoS服務商遭判刑13個月,經營者只有21歲      iThome

再爆隱私疑慮?滑一滑臉書iPhone的主鏡頭偷會打開了        匯流新聞網

一頁式詐騙的 8 個特點,你會分辨嗎? 165反詐騙宣傳

蘋果官方維修人員偷看送修iPhone相簿,還把私密相片傳給自己       iThome

AI 學習人類偏見,出乎開發者意料 中央社

中國自創天府杯駭客競賽,Chrome、Safari與Office 365全被攻陷      iThome

假期購物季將至  零售業者須嚴防網路攻擊     經濟日報網

《科技》智慧工廠資安防護,趨勢科技推全方位解決方案    工商時報電子報

避免GDPR違法疑慮,微軟修改全球企業雲端服務條款        iThome

Unified Cloud Edge 打造無所不在的資料保護   網管人

敵不過Alexa、Siri?微軟Cortana明年停止8國語音助理服務      數位時代

觀察〉國際大廠搶研發 量子電腦將顛覆人類生活      鉅亨網

跨界科學建立資料模型 多維度評估行為風險  網管人

《TGS news》樹大招風!專家警告電競產業面臨日益升高的威脅 雅虎奇摩

Disney+ app才推出,駭客論壇驚傳有上千帳號被兜售   iThome

中彈!高通晶片有漏洞 手機個資不保      中時電子報網

蘋果手機爆資安漏洞 KPMG四招自保教學       經濟日報網

資安拉警報!北約秘書長:中國能從全球蒐集大量數據        新頭殼

【徹底揭露2019年臺灣最大規模病毒攻擊事件】勒索軟體衝擊!全臺醫療院所資安拉警報  iThome

假優惠釣個資  好市多與百威撇清網路詐騙發文     中央通訊社

英國工黨網站驚傳遭到兩起DDoS攻擊,疑為俄羅斯再度介入大選     iThome

駭客在臉書上刊登惡意的麥當勞廣告散佈金融木馬        iThome

趨勢科技預測 2020年雲端與供應鏈風險加劇 台灣產經新聞網

發布 2020 年資訊保安預測報告,指出企業日後將面臨持續增加的雲端與供應鏈風險。雲端及開發營運(DevOps)環境的日漸風行,一方面將持續為商業帶來靈活性,另一方面卻也令企業和製造業暴露在第三方風險中。       

<回到新聞條列重點>

趨勢科技推出全方位智慧工廠資安解決方案    iThome

根據 Gartner 預測,至 2021 年全球將有大約 490 億個連網 IoT 裝置,而該數字在可預見的未來仍將不斷成長。即使這些裝置當中只有很少的百分比是工業環境當中用來監控製造流程的工業物連網 (IIoT) 裝置,但光是這些 IIoT 裝置的數量和普及性就足以讓資安事件不斷增加。   

<回到新聞條列重點>

趨勢科技併購 Cloud Conformity 強化雲端資安領先地位        網管人

趨勢科技宣布已併購雲端資安狀況管理(CSPM)解決方案創新廠商Cloud Conformity。此項併購瞬間擴大了趨勢科技所能保護的雲端服務範圍,解決了雲端基礎架構經常被忽略的組態設定錯誤所衍生的資安問題。   

<回到新聞條列重點>

勒索病毒開始朝電競選手下手?!趨勢科技研究發現電競產業面臨日益升高的網路威脅        Pchome 新聞

儘管網路犯罪集團從 2010 年起就開始瞄準遊戲社群,但未來幾年電競選手、遊戲廠商、贊助商及觀眾將面臨更多的資安風險,包括資料竊盜、勒索病毒、分散式阻斷服務(DDoS)攻擊、硬體作弊,以及新型態的網路犯罪服務。       

<回到新聞條列重點>

研究人員揭Google、三星相機程式有高風險漏洞,可被駭入偷偷拍照、錄影    iThome

研究人員發現Pixel手機上有一權限繞過相關的漏洞,可讓沒有權限的程式控制Google的相機程式,相同手機也在三星手機上可以如法炮製,推測所有Android 手機都有這個風險。   

<回到新聞條列重點>

電腦全天上網未關機成「肉雞」 淪駭客盜刷「跳板」  自由時報電子報

林姓男子為了下載影片,電腦24小時連線上網未關機,慘遭駭客入侵,以林的電腦為「跳板」,入侵他人手機盜刷萬餘元,還好警方查出另有公司也因24小時未關機連線上網,遭駭客入侵,淪為跳板,才為他解套。基隆地檢署調查後,以查無他盜刷事證,處分他不起訴。   

<回到新聞條列重點>

Chrome 瀏覽器書籤不見了,原來是 Google 在測試新功能出了差錯  科技新報網

最近 Chrome 瀏覽器遇到全球性大規模停擺事件。此次中招的並非 PC 端常見的 Chrome,而是用於 Windows Server「裝置服務」配置下的版本。當天,數以千計的報錯湧向網路,主要現象是 Chrome 書籤突然空白,無法正常上網

<回到新聞條列重點>

Google動態郵件功能出現XSS漏洞,可讓駭客透過Gmail發動攻擊    iThome

這類手法會將DOM元素的id 屬性加為文件的屬性或網頁的全域變數,導致原有文件屬性或全域變數被覆蓋,或者劫持某些變數內容,而造成XSS攻擊。    

<回到新聞條列重點>

鎖定蘋果晶片漏洞的越獄程式checkra1n出爐了!    iThome

代號為Axi0mX的安全研究人員在今年9月揭露了藏匿在蘋果晶片上的Bootrom漏洞,還釋出了開採程式checkm8,不到兩個月,就有人利用checkm8打造了完整的iOS越獄程式checkra1n,不過目前checkra1n僅為測試版,只支援macOS,且只要重新開機,越獄就會失效。     

<回到新聞條列重點>

禁Apple Pay壟斷市場!德擬修法逼開放NFC權限 蘋果憂用戶個資洩漏    匯流新聞網

蘋果行動支付服務Apple Pay獨家搭載在iPhone手機上,iPhone用戶僅可使用該支付,德國國會提出此舉可能壟斷市場的疑慮,擬在《反洗錢法》修訂條例,要求蘋果開放NFC,不過蘋果方面認為,此舉有可能危害用戶個資。   

<回到新聞條列重點>

WhatsApp 有漏洞!接收特定影片即可能被駭客植入間諜程式     雅虎奇摩

WhatsApp 是 Facebook 旗下公司之一,而它最知名的就是加密傳輸訊息技術,但最近 WhatsApp 被發現有個新漏洞「CVE-2019-11931」,這漏洞導致使用者接收特定影片同時,駭客就能趁機植入間諜程式,進而竊取聊天內容與資料。   

<回到新聞條列重點>

美國研究員發現 11 個 5G 新漏洞:會被駭客降成 4G,還會被發虛假警報! 報橘

5G 通訊技術被視為未來的主流,逐漸落實應用於生活之中,5G 的特點就是比 4G 和以往的通訊技術更加安全。不過,近日有外國研究所就發現 5G 傳輸協議的 11 個新漏洞,其中對用戶隱私的保護成為最大的隱憂。       

<回到新聞條列重點>

Grin 隱私模型漏洞!駭客每週花費60美元的AWS服務,就能追蹤 96% 金流地址 BLOCKTEMPO

加密貨幣發展至今仍有需多地方需要修正,特別是從一開始就備受重視的「隱私性」更是許多加密貨幣努力的方向;然而,被期望能與門羅幣(Monero)、Zcash 等廣受人知的匿名幣代表並肩而行的新型代幣 Grin 竟驚傳災難,甚至被認為 Grin 出現的系統漏洞可能完全無法修復。 

<回到新聞條列重點>

DDoS服務商遭判刑13個月,經營者只有21歲      iThome

住在美國伊利諾亞州的Sergiy Usatyuk,因為在網路上提供了阻斷服務攻擊租賃服務,近日被法官判刑13個月,外加3年的獄後監督,而Usatyuk現年只有21歲。     

<回到新聞條列重點>

再爆隱私疑慮?滑一滑臉書iPhone的主鏡頭偷會打開了        匯流新聞網

Facebook近年可說是遭到資安、隱私風暴纏身,雖然他們致力解決,但好像絲毫沒有好轉的樣子。因為近日有國外網路工作者發現,當用戶在滑臉書app時,臉書將在用戶未知的情況下,默默打開iPhone的主相機,雖然說很有可能只是個漏洞,但這仍讓許多使用者深感不安全。       

<回到新聞條列重點>

一頁式詐騙的 8 個特點,你會分辨嗎? 165反詐騙宣傳

165 提供的 #一頁式詐騙的 8 個特點,你會分辨嗎?1.網址怪異冷僻, 非一般常見網域2.標題下殺超優惠3.活動倒數計時增加搶購意願

<回到新聞條列重點>

蘋果官方維修人員偷看送修iPhone相簿,還把私密相片傳給自己       iThome

一名用戶將她的iPhone送到蘋果「天才吧」維修,卻忘了刪除手機中的照片,事後發現維修人員將送修手機內的私密照片傳到自己的手機。               

<回到新聞條列重點>

AI 學習人類偏見,出乎開發者意料 中央社

去年秋天,科技巨擘 Google 推出名為 BERT 的突破性新 AI 技術,目前已用於諸如 Google 搜尋引擎等服務。它可吸收大量數位化資訊,但其中隱含的偏見,包括存在數十、數百年之久以及新近出現的,它也一併內化,一如孩童對父母的不當行為有樣學樣。       

<回到新聞條列重點>

中國自創天府杯駭客競賽,Chrome、Safari與Office 365全被攻陷      iThome

由中國舉辦的天府杯(Tianfu Cup)駭客競賽上周末於成都舉行,來自11個團隊的研究人員在兩天內攻陷了Chrome、Safari、Edge、Office 365、Adobe PDF Reader、D-Link DIR-878路由器、qemu-kvm + Ubuntu與VMware Workstation,總計抱走了54.5萬美元的抓漏獎金。     

<回到新聞條列重點>

假期購物季將至  零售業者須嚴防網路攻擊     經濟日報網

美國假期購物季將至,「黑色星期五」(Black Friday)、「網購星期一」(Cyber Monday)和耶誕節等重頭戲將陸續登場。不過,龐大的交易量也被網路犯罪者視為發動攻擊的大好機會。       

<回到新聞條列重點>

《科技》智慧工廠資安防護,趨勢科技推全方位解決方案    工商時報電子報

趨勢科技(4704.JP)宣布推出全方位智慧工廠資安解決方案,以提升工業控制系統(ICS)環境的資安掌握與防護,可保護工業4.0環境的所有層面,防範該領域日益升高的風險,藉由強化防禦來確保營運順暢。   

<回到新聞條列重點>

避免GDPR違法疑慮,微軟修改全球企業雲端服務條款        iThome

今年2月荷蘭政府質疑微軟雲端服務隱私性違反GDPR,10月歐盟資料保護機關EDPS初步調查也對微軟雲端的GDPR法遵提出質疑,微軟近期更新全球企業雲端服務條款,提高透明度,讓外界瞭解微軟雲的資料處理行為。       

<回到新聞條列重點>

Unified Cloud Edge 打造無所不在的資料保護   網管人

為了遏止內部威脅導致資料外洩事件發生,現代企業不僅可用地端部署的DLP(資料外洩防護)方案協助,更可沿用至雲端應用平台,進而擴展提供UEBA(使用者與實體設備行為分析)技術,主動學習每個使用者存取檔案的模式,不用預先設定配置,當使用者開始產生竊取資料意圖時,資料演算分析行為模式的結果,會開始跟既有的存取習慣、相同部門的其他同事有所差異,IT管理者可及時介入判斷正常或異常。       

<回到新聞條列重點>

敵不過Alexa、Siri?微軟Cortana明年停止8國語音助理服務      數位時代

微軟在2015年底推出的語音助理Cortana,最初是為了連接搭載Windows 10作業系統的筆電和手機,然而經歷幾次更新,仍不敵Amazon的Alexa、Apple的Siri、或Google的Google Assistant等語音助理的激烈競爭。       

<回到新聞條列重點>

觀察〉國際大廠搶研發 量子電腦將顛覆人類生活      鉅亨網

國際大廠 IBM(IBM-US)、谷歌 (GOOGL-US) 等近期紛紛陸續提出量子電腦 (Quantum) 的願景,預期未來 10 年後,量子電腦將完全改變人類現階段的生活模式,雖然目前量子電腦仍面臨不穩定、超導體、超低溫等挑戰,但全球正悄悄掀起新一波科技革命。   

<回到新聞條列重點>

跨界科學建立資料模型 多維度評估行為風險  網管人

在資安領域中相當擅長於內部威脅防護的Forcepoint,整合旗下眾多展品線,依據現代企業在數位轉型的道路上,勢必得關注的三大主軸:雲端與網路安全、機敏資料與智慧財產、員工與內部安全防護,提出相關的資安控管策略與方法論,以人為核心解析風險等級,依據不同應用情境動態調整回應措施。   

<回到新聞條列重點>

《TGS news》樹大招風!專家警告電競產業面臨日益升高的威脅 雅虎奇摩

儘管網路犯罪集團從 2010 年起便開始瞄準遊戲社群,但未來幾年,電競選手、遊戲公司、贊助商及觀眾將面臨更多的資安風險,包括:資料竊盜、勒索病毒、分散式阻斷服務 (DDoS) 攻擊、硬體作弊,以及新型態的網路犯罪服務。   

<回到新聞條列重點>

Disney+ app才推出,駭客論壇驚傳有上千帳號被兜售   iThome

Disney+提供每月6美元或每年69美元的串流影片訂閱服務,強打多部經典電影包括《星際大戰:原力覺醒》、《冰雪奇緣》,迪士尼經典卡通《幻想曲》(Fantasia)以及原創電視影集《莉琪的異想世界》(Lizzie McGuire)、《下課後》(Recess)及《X戰警》等。根據迪士尼提供的數據,自11月12日上線在美、加及荷蘭上線三天以來Dinsney+註冊用戶已超過1000萬。     

<回到新聞條列重點>

中彈!高通晶片有漏洞 手機個資不保      中時電子報網

安全研究人員最近發現高通晶片組中的一組新漏洞後,一些最受歡迎的智慧型手機品牌的用戶可能面臨嚴重的網路攻擊風險。Check Point的專家最近發現了影響高通硬體的新漏洞,這些漏洞可能使攻擊者從LG,摩托羅拉和三星設備中竊取重要訊息。調查結果表明,高通CPU的安全環境存在一個缺陷,可能導致數據洩漏,手機遭入侵,引導加載程式被解鎖以及無法檢測到多方位的網路攻擊。       

<回到新聞條列重點>

蘋果手機爆資安漏洞 KPMG四招自保教學       經濟日報網

KPMG安侯建業數位科技安全團隊謝昀澤執行副總表示,近日有科技社群熱烈討論蘋果手機爆發「checkm8」資安漏洞,眾多iPhone使用者皆受害,建議蘋果舊用戶,運用定期重開機、適時清除資料等招式自保,不必耗資換新機,即可守護資料安全。       

<回到新聞條列重點>

資安拉警報!北約秘書長:中國能從全球蒐集大量數據        新頭殼

北大西洋公約組織秘書長史托騰柏格提出警告,中國擁有5G無線網絡、臉部識別等技術,有能力從全球蒐集大量數據,呼籲盟國要考慮由外國擁有或投資相關技術的後果。       

<回到新聞條列重點>

【徹底揭露2019年臺灣最大規模病毒攻擊事件】勒索軟體衝擊!全臺醫療院所資安拉警報  iThome

在今年8月底,臺灣傳出醫院大規模受到勒索病毒攻擊的狀況,造成醫院應用系統檔案被加密,成為2019年臺灣最大的勒索軟體攻擊事件,引發社會大眾的關注。  

<回到新聞條列重點>

假優惠釣個資  好市多與百威撇清網路詐騙發文     中央通訊社

美國兩大民生消費品牌「好市多」和「百威淡啤酒」對數百萬粉絲公告,最近在網路上被分享的好康特惠發文是假訊息。專家提醒網友,要小心慎入、別讓個資被賣了。       

<回到新聞條列重點>

英國工黨網站驚傳遭到兩起DDoS攻擊,疑為俄羅斯再度介入大選     iThome

最近因脫離歐盟的行動無法順利進行,英國首相強生(Boris Johnson)多次提議,將原本預定於2022年舉辦的大選,提前到今年舉行,期望讓保守黨能在下議院擁有多數席位,以便打破政治僵局,讓脫離歐盟的計畫能順利推動,而下議院終於在上個月底同意首相的提案,英國即將於12月12日舉辦投票

<回到新聞條列重點>

駭客在臉書上刊登惡意的麥當勞廣告散佈金融木馬        iThome

駭客除了利用垃圾郵件來散布Mispadu之外,還在巴西的臉書上購買了廣告版面,利用偽造的麥當勞優惠廣告來吸引使用者點選,繼之將使用者引導到惡意網頁,並要求使用者下載優惠券,但所下載的ZIP檔案除了含有惡意程式外,也包含用來混淆視聽的Firefox程式或其它合法程式,後來還含有惡意的Chrome擴充程式

<回到新聞條列重點>