本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞
包裹沒收到?簡訊連結查詢 4分遭盜刷6次損近9千 東森電視網
購物季來了,小心激增的網釣與詐騙網站 iThome
小心! 冒牌Windows更新通知信暗藏勒索軟體 iThome
惡意程式Dexphot以高明手法躲避偵測,8萬台Windows PC變比特幣挖礦機 iThome
Google揭露多個由政府資助的攻擊與虛假訊息行動 iThome
Google 修復 Android 相機 App 嚴重安全漏洞,用戶應盡速更新 科技新報網
提供110家療養院服務的IT業者VCPI被勒索軟體纏住了 iThome
國際網路攻防賽名列第3 專家認證台灣資安人才水準高 HiNet
速食店「被山寨」!送杯套「攏係假」 三立新聞網
當HR遇上AI》IBM、趨勢科技、全家人資鼓勵員工自主創新 助攻組織成長 中時電子報網
趨勢科技研究發現電競產業正面臨日益升高的網路威脅 iThome
趨勢科技預測 2020年雲端與供應鏈風險加劇 大華網路報
趨勢科技公布 Capture the Flag 網路攻防搶旗賽優勝隊伍 iThome
教育部攜手趨勢科技 推新版兒少網路安全軟體 中央通訊社
趨勢科技針對採應用程式開發在雲端的企業推出全方位資安防護服務平台 iThome
趨勢科技推出全方位智慧工廠資安解決方案 iThome電腦報周刊
刑事警察局與趨勢科技防詐達人共同維護網路購物安全 Pchome 新聞
微軟 AI Infinity,揭露各行各業成功轉型故事 電子時報
臉書封鎖以色列駭客公司NSO Group員工的私人帳號,被告了 iThome
卡巴斯基產品有漏洞,恐遭其他網站關閉防護功能,官方連修三次 iThome
AI掀起企業數位轉型浪潮 看IBM、趨勢科技、全家HR如何鼓勵人才自主學習創新 今周刊
IBM與世平集團聯手打造物聯網生態圈 電子時報
SaltStack推SecOps解決方案可自動發現並修復安全漏洞 iThome
做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了 數位時代
新版TrickBot木馬企圖竊取OpenSSH與OpenVPN金鑰 iThome
Monero官網遭植入惡意程式,用戶加密貨幣錢包被清光 iThome
OnePlus手機用戶個資外洩! 官方證實遭駭…兩年內第二度爆發資安問題 ETtoday新聞雲
美國電信大廠T-Mobile遭駭客入侵! 超過百萬用戶個資外洩 ETtoday新聞雲
Google強化雲端平臺安全功能,允許使用第三方金鑰管理器 iThome
資安風險高! 推特將取消以電話啟用雙因素驗證 iThome
Disney+系統遭駭客入侵? 官方:沒有證據顯示有安全漏洞 新頭殼
華人社交帳號遭駭 上萬粉絲瞬成空 世界新聞網
抵制資訊戰!Google不只停政治廣告 三大策略對抗假新聞 匯流新聞網
由機器學習與隱私優先原則 看 LINE 如何有感減少垃圾訊息並為個資把關 T客邦
【駭!公民專欄】你,可能早就是中國政府「審查」的對象 天下雜誌網
Telegram 執行長大吐槽 Facebook 以及 Whatsapp 後門事件 INSIDE
包裹沒收到?簡訊連結查詢 4分遭盜刷6次損近9千 東森電視網
詐騙手法層出不窮,台中市法制局長李善植也差點受害!詐騙集團寄送簡訊給法制局長的家人說有包裹送貨失敗,請點連結查詢包裹狀態,沒想到按下連結,短短4分鐘就連刷了6筆1490元的小額支付,總額將近9千元。
<回到新聞條列重點>
購物季來了,小心激增的網釣與詐騙網站 iThome
聖誕購物檔期將近,冒充蘋果、Amazon、Tiffany、Sony、三星、微軟等知名品牌的山寨網站與釣魚郵件攻擊潮,也隨之暴增,下單前留意網址以及行銷郵件提供的連結,小心別淪為駭客的俎上肉。
<回到新聞條列重點>
第5屆CTF網路攻防搶旗賽決賽今天落幕,趨勢科技主管觀察,台灣的資安人才庫相對較小,但在國際比賽中往往能晉級決賽,代表台灣資安人才的素質很高。
<回到新聞條列重點>
小心! 冒牌Windows更新通知信暗藏勒索軟體 iThome
安全業者發現駭客假冒微軟名義,發送Windows重要更新的通知信件,誘騙使用者執行附件,以植入勒索軟體,並且還在GitHub散佈撰寫勒索軟體的開發程式。
<回到新聞條列重點>
惡意程式Dexphot以高明手法躲避偵測,8萬台Windows PC變比特幣挖礦機 iThome
微軟警告一隻名為Dexphot的惡意程式,近一年來在網路散佈,最高峰時曾有8萬台PC被駭客植入用來挖比特幣。微軟指出,Dexphot也展現出現今惡意程式躲避偵測手法之高明。
<回到新聞條列重點>
Google揭露多個由政府資助的攻擊與虛假訊息行動 iThome
Google的威脅分析小組(TAG)揭露了多項最近發現由政府資助的駭客攻擊,這些惡意攻擊者來自50多個國家的270個惡意攻擊組織,活躍地收集情報、竊取知識財產、攻擊異議份子,甚至是散布虛假消息等行動。TAG的目標是打擊這些有針對性,或是受政府支援的駭客組織,並保護Google基礎設施免受惡意軟體攻擊,同時不讓用戶受到釣魚攻擊。
<回到新聞條列重點>
Google 修復 Android 相機 App 嚴重安全漏洞,用戶應盡速更新 科技新報網
一般狀況下應用程式需要得到用戶授予權限才能使用手機上的各種功能,或讀取特定資料,但這個漏洞讓應用程式可以突破限制。資訊安全軟體 Checkmarx 與 Google 和三星(Samsung)合作中揭露了這個漏洞,這個名為 CVE-2019-2234 的安全漏洞會讓應用程式在沒有用戶許可下拍攝照片、影片和讀取裝置位置。漏洞目前已確認會影響 Google「相機」App 和三星「相機」App,不過已經在 2019 年 7 月更新中修復,但未更新的裝置漏洞還是會存在。
<回到新聞條列重點>
提供110家療養院服務的IT業者VCPI被勒索軟體纏住了 iThome
即使媒體披露了許多政府機關遭到勒索軟體攻擊的例子,但資安業者Emsisoft的統計顯示,今年前三季遭到勒索軟體攻擊的621個組織中,就有近8成為醫療服務供應商,資安部落客Brian Krebs本周專訪了正在與勒索軟體搏鬥的Virtual Care Provider(VCP),該業者為美國110家療養院的IT服務供應商,道出勒索軟體不僅危害業者的生存能力,也對這些療養院的病人造成生命的威脅。
<回到新聞條列重點>
國際網路攻防賽名列第3 專家認證台灣資安人才水準高 HiNet
由資安大廠趨勢科技舉辦的第5屆CTF網路攻防搶旗賽決賽昨天落幕,在這場各國好手相競的賽事中,台灣隊伍Balsn不負眾望奪下第3名,抱回20萬日圓獎金!主辦單位指出,Balsn成員以學生為主,卻能獲得如此佳績,顯見台灣的資安人才水準相當高。
<回到新聞條列重點>
速食店「被山寨」!送杯套「攏係假」 三立新聞網
又出現網路詐騙,連麥當勞也受害,民眾檢舉,臉書上出現一個仿冒麥當勞的粉絲頁,表示只要留言寫下「好環保」就能獲得環保杯套。目前多達1.6萬人留言、6千多次分享,但麥當勞駁斥這個網頁與它們有關,同時發出聲明,希望消費者不要輕易留言,以免個資外洩。
<回到新聞條列重點>
當HR遇上AI》IBM、趨勢科技、全家人資鼓勵員工自主創新 助攻組織成長 中時電子報網
人工智慧(AI)與大數據議題持續發燒,機器取代人力變得更易實現,許多人擔心自己的工作會因此遭到取代。長期觀察美國人資議題趨勢的atd台灣交流會顧問徐秀燕則發現,美國人資專家已從「人力盤點」轉而關注「工作內容盤點」,換句話說,不是找出「不需要的人力」節省開支,而是找出「多少時間省下來了」,可以藉此安排學習計畫,把人員送去學習和AI 有關的高階專業能力。
<回到新聞條列重點>
趨勢科技研究發現電競產業正面臨日益升高的網路威脅 iThome
近年來,電競產業正快速蓬勃發展,根據預測,電競市場至 2021 年將達 17 億美元的規模,同時更已發展出專業賽事聯盟,體育館內經常可以看到各種大型電競比賽,頂尖電競選手年薪更是上看百萬美元,也因此吸引了歹徒的覬覦。
<回到新聞條列重點>
趨勢科技預測 2020年雲端與供應鏈風險加劇 大華網路報
2020 年資訊保安預測報告,指出企業日後將面臨持續增加的雲端與供應鏈風險。雲端及開發營運(DevOps)環境的日漸風行,一方面將持續為商業帶來靈活性,另一方面卻也令企業和製造業暴露在第三方風險中。
<回到新聞條列重點>
今年決賽採用名為「動態數值(Dynamic Value)」的解題形式考驗參賽者的技術,獨自成功解題的隊伍可獲得積分500分,若有其他隊伍解題成功,則先解題成功的隊伍積分減少。例如2支隊伍成功解開同一題,可各獲積分374分;如果3支隊伍成功解開同一題,可各獲積分322分。若全部13支隊伍都解開同一題,可各獲積分100分。
<回到新聞條列重點>
趨勢科技公布 Capture the Flag 網路攻防搶旗賽優勝隊伍 iThome
趨勢科技 Raimund Genes 盃 CTF 網路攻防搶棋賽今年已邁入第五年,決賽共有來自全球 13 個頂尖隊伍參加,其中包含 10 個從線上預賽入圍的優勝隊伍以及 3 個來自趨勢科技全球區域性賽事脫穎而出的優勝隊伍,共同受邀參與這場最後在日本東京舉行的總決賽。
<回到新聞條列重點>
教育部攜手趨勢科技 推新版兒少網路安全軟體 中央通訊社
養成兒少正確使用3C及資安觀念,教育部與網路資安廠商趨勢科技今天宣布推出網路守護天使2.0「PC-cillin家長守護版」軟體,即日起可從相關網站免費下載電腦版和手機版。
<回到新聞條列重點>
互聯網高速發展下,大數據與人工智慧正藉由數以千萬的裝置將全球連結;同時,網路駭客更利用這波物聯網的特性讓威脅四處流竄,數位轉型雖為企業與社會帶來便利以及商機,但同時產業也面臨淘汰與破壞的風險。
<回到新聞條列重點>
趨勢科技針對採應用程式開發在雲端的企業推出全方位資安防護服務平台 iThome
Cloud One 在單一平台上提供業界最全方位的資安防護,滿足企業多數雲端計畫的策略需求,讓客戶將現有應用程式移轉至雲端,開發新的雲端原生應用程式,實現卓越的雲端營運。這套業界首創的平台,能彈性解決客戶當下的挑戰,並隨著雲端服務的快速演進而不斷創新。
<回到新聞條列重點>
趨勢科技推出全方位智慧工廠資安解決方案 iThome電腦報周刊
根據 Gartner 預測,至 2021 年全球將有大約 490 億個連網 IoT 裝置,而該數字在可預見的未來仍將不斷成長。即使這些裝置當中只有很少的百分比是工業環境當中用來監控製造流程的工業物連網 (IIoT) 裝置,但光是這些 IIoT 裝置的數量和普及性就足以讓資安事件不斷增加。
<回到新聞條列重點>
刑事警察局與趨勢科技防詐達人共同維護網路購物安全 Pchome 新聞
為防範更多民眾受騙,刑事警察局於104年10月與趨勢科技防詐達人簽署合作備忘錄,透過「大數據」之概念,提供更新「詐騙資訊」(民眾報案資訊)、「詐騙網址」(一頁式網站)、「LINE ID」(詐騙帳號)予趨勢科技防詐達人,再加上趨勢科技防詐達人內建的資料庫進行交叉比對,一般民眾可透過該公司之官網及LINE查詢,使民眾瞭解最新防詐資訊,更可協助查詢假冒之「詐騙網址」(一頁式網站)、「LINE ID」(詐騙帳號)等訊息避免受騙。
<回到新聞條列重點>
微軟 AI Infinity,揭露各行各業成功轉型故事 電子時報
無庸置疑,利用人工智慧(AI)促進生產力升級、流程改造與商業模式進化,已是所有成功企業的共識;著眼於此,為協助臺灣實踐產業 AI 化、AI 產業化,微軟於2019年初號召各大產業的夥伴與客戶共同啟動「AI 100計畫」,規劃在年前底打造出橫跨農業、汽車、教育、金融、政府、醫療、製造、零售、服務、電信等不同產業領域,共計100個經由微軟AI技術驅動的商用AI解決方案,使臺灣企業加速迎向數位轉型。
<回到新聞條列重點>
臉書封鎖以色列駭客公司NSO Group員工的私人帳號,被告了 iThome
臉書在控告涉嫌駭進WhatsApp的NSO Group公司後,一併封鎖了該公司員工在臉書與IG上的私人帳號,這些受波及的員工為此向法院控訴臉書不當封鎖其帳號。
<回到新聞條列重點>
卡巴斯基產品有漏洞,恐遭其他網站關閉防護功能,官方連修三次 iThome
研究人員發現知名防毒軟體卡巴斯基(Kaspersky)產品,像是Kaspersky Internet Security 中的網頁防護(Web Protection)功能出現漏洞,可導致外部網站存取其內部API,進而關閉對廣告及惡意程式的防護。而這個漏洞讓卡巴斯基補了好幾次,而且似乎還沒完全補好。
<回到新聞條列重點>
AI掀起企業數位轉型浪潮 看IBM、趨勢科技、全家HR如何鼓勵人才自主學習創新 今周刊
人工智慧(AI)與大數據議題持續發燒,機器取代人力變得更易實現,許多人擔心自己的工作會因此遭到取代。長期觀察美國人資議題趨勢的atd台灣交流會顧問徐秀燕則發現,美國人資專家已從「人力盤點」轉而關注「工作內容盤點」,換句話說,不是找出「不需要的人力」節省開支,而是找出「多少時間省下來了」,可以藉此安排學習計畫,把人員送去學習和AI 有關的高階專業能力。
<回到新聞條列重點>
IBM與世平集團聯手打造物聯網生態圈 電子時報
IBM宣布與世平集團聯手,共同打造橫跨營運技術(OT)與資訊技術(IT)的物聯網(IoT)生態圈,分別擔負整合者(Integrator)和聚合者(Aggregator)的角色,集結跨品牌產品,因應製造業與各條生產線的獨特需求,量身遴選最佳組合方案,並藉此建立物聯網應用平台的標準,加速落實智慧製造,擴大應用部署範圍。
<回到新聞條列重點>
SaltStack推SecOps解決方案可自動發現並修復安全漏洞 iThome
被IBM Cloud和eBay採用的IT自動化工具廠商SaltStack,推出新的資安維運(SecOps)解決方案SaltStack Protect,該解決方案可從大規模的基礎設施中,自動發現並且修復安全漏洞。SecOps是安全(Security)和營運(Operations)的縮寫,透過整合資安和營運團隊的工具與流程,以達到在降低資訊風險的同時,還能提升企業效能。
<回到新聞條列重點>
做好「隨時被駭」準備,App資安先驅果核數位:滴水不漏的資安保護過時了 數位時代
「一般人在下載App時,他要求你提供什麼權限,很多人根本沒看就按確定了。那可能後門就這樣裝進去了。」橘子集團旗下資安公司果核數位的總經理丁瑋明無奈地說。
<回到新聞條列重點>
新版TrickBot木馬企圖竊取OpenSSH與OpenVPN金鑰 iThome
不斷進化的金融木馬Trickbot,除了竊取瀏覽器快取中存放的登入憑證,或是系統中其它應用程式的登入憑證,再透過未加密的HTTP傳送到駭客伺服器,現在開始鎖定OpenSSH與OpenVPN應用發動攻擊。
<回到新聞條列重點>
Monero官網遭植入惡意程式,用戶加密貨幣錢包被清光 iThome
主流加密貨幣之一的Monero近日傳出官網被駭,遭植入竊取用戶加密貨幣的惡意程式。一名用戶錢包裏的7,000美元等值的Monero幣,在數小時內被偷光。
<回到新聞條列重點>
OnePlus手機用戶個資外洩! 官方證實遭駭…兩年內第二度爆發資安問題 ETtoday新聞雲
OnePlus爆發用戶資料遭駭客入侵而洩露!該公司發出警告「未經授權的一方駭進了一些客戶的訂單信息,可能已經暴露了一些客戶的姓名、聯繫電話、電子郵件和地址,受影響的用戶可能會收到垃圾郵件和網路釣魚電子郵件」。
<回到新聞條列重點>
美國電信大廠T-Mobile遭駭客入侵! 超過百萬用戶個資外洩 ETtoday新聞雲
美國第三大的電信商T-Mobile,上週坦言11月初發現被駭客入侵,超過百萬客戶的個資洩露,當中包括預付費用帳戶名稱,以及帳單地址以及電話號碼、費率,以及是否有啟用國際電話功能等。
<回到新聞條列重點>
Google強化雲端平臺安全功能,允許使用第三方金鑰管理器 iThome
Google強化其雲端平臺的加密功能,除了允許用戶使用外部金鑰管理器之外,也賦予用戶更多的控制能力,決定解密資料的條件。另外,Google也發布了網頁應用程式防火牆Beta測試版,防禦來自網際網路的威脅。
<回到新聞條列重點>
資安風險高! 推特將取消以電話啟用雙因素驗證 iThome
由於簡訊或電話號碼造成的資安事件日益氾濫,推特(Twitter)周四宣佈要簡化雙因素驗證(Two-Factor Authentication, 2FA)的設定,不再需要電話號碼即可啟用2FA。
<回到新聞條列重點>
Disney+系統遭駭客入侵? 官方:沒有證據顯示有安全漏洞 新頭殼
影音串流平台Disney 上線首日即破千萬用戶,但近期卻爆出,有上千名筆帳號被駭客盜用,甚至以低價在駭客論壇上拋售。如今Disney官方回應指出:「沒有證據顯示Disney 系統有安全漏洞。」
<回到新聞條列重點>
華人社交帳號遭駭 上萬粉絲瞬成空 世界新聞網
華人林小姐在Instagram經營一個個人賬號,擁有2萬名粉絲,10月底她收到一封陌生電郵,對方告訴她,她的賬號被駭客了,如果想要回賬號必須在兩個小時內和他聯繫。林小姐看罷以為是垃圾郵件就沒有理睬,幾個小時後她試圖登錄賬號,發現賬戶登錄郵箱被改了,賬戶真的被駭客了。
<回到新聞條列重點>
論及當前資安相關議題,台灣微軟亞太區技術支援中心資訊安全暨風險管理協理林宏嘉觀察,實際上並非技術問題,主要是企業高階管理層的思維尚未跟進威脅演進的腳步。當資安問題等同於犯罪,勢必跟人脫離不了干係,如此一來,就必須以人為核心來思考因應對策。
<回到新聞條列重點>
抵制資訊戰!Google不只停政治廣告 三大策略對抗假新聞 匯流新聞網
Google日前宣布,由於台灣大選在即,為避免不實訊息影響選情,宣布到明年1月17日前,Google廣告平台禁止播送候選人廣告,另外,Google提出目前在台灣正積極透過三項策略對抗氾濫的假訊息滲透,未來會更嚴格審核訊息正確性。
<回到新聞條列重點>
由機器學習與隱私優先原則 看 LINE 如何有感減少垃圾訊息並為個資把關 T客邦
隨著 LINE Developer Day 2019 開發者大會 Keynote 進入尾聲,LINE 網路安全主管 Naohisa Ichihara 也回歸本屆大會的一大重點:再次重申 LINE 是如何的重視「隱私優先」(Privacy First)。
<回到新聞條列重點>
【駭!公民專欄】你,可能早就是中國政府「審查」的對象 天下雜誌網
以為你只要沒做壞事,就不怕被審查?你可能錯了,因為中國正透過蘋果手機、平板的漏洞,展開大規模的攻擊行動,只要打開錯誤的連結,就可能受害。
<回到新聞條列重點>
Telegram 執行長大吐槽 Facebook 以及 Whatsapp 後門事件 INSIDE
Telegram 執行長 Pavel Durov:「越來越多證據顯示 WhatsApp 是釣個資的蜜糖罐,專門騙那些到 2019 仍相信 Facebook 的人。」
<回到新聞條列重點>