本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 如何防止宅在家防疫的孩子用眼過度?
- 一圖看懂:防毒軟體有 AI 加持,趨勢科技 PC-cillin 2021 雲端版讓病毒、詐騙都乖乖
- 防疫隔離期間駭客推出四種線上競賽,勝出者有機會獲得機票-用被偷的信用卡盜刷的!
詐騙警訊
媒體資安新聞精選
臺灣宿配網個資外洩,傳出用戶接到詐騙電話險些受騙 iThome
研究:Messenger、IG、Line及Twitter的連結預覽功能,都可能外洩用戶資料 iThome
川普競選官網遭駭客「查封」聲稱:將公布機密資料 聯合新聞網
全球受勒索軟體攻擊次數近三個月暴增五成!資安專家傳授5大防駭重點 自由時報電子報
6支假冒Flash軟體的Mac惡意程式騙過蘋果公證機制上架 iThome
盜走德國總理梅克爾電郵,歐盟再出手制裁攻擊德國聯邦議會的駭客 iThome
新一波網釣攻擊假冒Microsoft Teams訊息以竊取Office 365憑證 iThome
安卓手機無故狂跳廣告?資安業者揭露21款暗藏惡意程式App,呼籲儘快刪除 自由時報電子報
荷蘭資安人員號稱破解川普 Twitter 帳密?但遭白宮嚴正否認 INSIDE
7大手機瀏覽器漏洞可讓用戶導向惡意網站 iThome
物聯網設備符合資安標準已成定局,不只設備本身安全驗證,開發流程認證也成近年焦點 iThome
AIOT展 本土資安大秀軟實力 工商時報
台灣數位人才缺口浮現 聯合新聞網
體檢智慧校園/AI刷臉合法?教授:曝個資不符比例原則 聯合新聞網
微軟Windows 10 20 H2正式向所有用戶釋出 iThome
蔡英文:微軟加碼投資 可有效推動台灣雲端產業發展 自由時報電子報
微軟攜手MITRE釋出捍衛機器學習系統的Adversarial ML Threat Matrix開放框架 iThome
建立資安聯防的必要性,NCC 稱禁華為不只是政治問題 科技新報網
前Google臺灣董事總經理簡立峰:後疫全球3大商務新主流成形,臺灣企業更得把握5個關鍵的數位新浪潮 iThome
HPE修補風險評分10.0的容器平臺及儲存軟體重大漏洞 iThome
誰說桌遊是年輕人的專利?有金融單位和警政機關聯手,用桌遊向銀髮族推廣防詐騙知識 iThome
Nokia安全報告:惡意程式感染率由Windows/PC領先,IoT竄升為第二名 iThome
因應企業工作模式轉變,微軟揭示混合辦公資安三大架構 科技新報網
金管會:純網銀有機會年底開業 工商時報電子報
一周大事:衛福部要開放電子病歷上雲。中國信託靠AI打造全通路迎戰純網銀 iThome
我政府機關遭駭 近3年1709件 自由時報電子報
自由日日shoot》「駭」影幢幢 憂!我5G防護尚未完備 自由時報電子報
亞太電信開始提供5G,國內五家業者終於全數開臺 iThome
Ryuk駭客組織重啟勒索攻擊,法國IT外包商Sopra Steria可能是最新受害者 iThome
甲骨文10月修補402個漏洞 iThome
本土資安業者展高效散熱解決方案 驚豔全場 工商時報電子報
EtherCAT 傲立工業乙太網 SPE 將隨後終結RS-485? CompoTech Asia 電子與電腦
Whoscall母公司Gogolook插旗日本!獲新一輪投資後,創辦人如何實現「防詐夢」? 數位時代
ABB攜手IBM,提升工業資安威脅的可視性 工商時報電子報
資安一周第116期:木馬程式Emotet攻擊出新招。中國駭客意圖利用公有雲服務掩護攻擊美國總統候選人的意圖 iThome
臺灣宿配網個資外洩,傳出用戶接到詐騙電話險些受騙 iThome
訂房網站臺灣宿配網因資料外洩,導致陸續有使用者接到詐騙電話而差點被騙,根據刑事警察局165全民詐騙網的資料,他們也接獲12起通報案件。
<回到新聞條列重點>
研究:Messenger、IG、Line及Twitter的連結預覽功能,都可能外洩用戶資料 iThome
行動程式開發人員Talal Haj Bakry與Tommy Mysk警告,許多傳訊程式所具備的連結預覽功能,可能曝露使用者的IP位址,也存放了使用者所傳送的連結內容。
<回到新聞條列重點>
川普競選官網遭駭客「查封」聲稱:將公布機密資料 聯合新聞網
美國總統川普的競選網站27日傳出遭駭,首頁出現偽聯邦調查局與美國司法部徽章,搭配「此網站已遭查封」標題。駭客聲稱:「世界已經受夠川普總統每天散布的假消息,是時候讓世界知道真相了。」
<回到新聞條列重點>
全球受勒索軟體攻擊次數近三個月暴增五成!資安專家傳授5大防駭重點 自由時報電子報
資安業者 Check Point 發佈最新研究指出,全球企業正在經歷新一輪的大規模勒索軟體攻擊,相較於 2020上半年,過去三個月受勒索軟體攻擊的每日平均次數增加了 50%。主要原因來自新冠肺炎迫使企業實行遠距工作模式,讓IT系統出現嚴重漏洞,勒索軟體攻擊數字呈現驚人的急遽上升態勢。
<回到新聞條列重點>
6支假冒Flash軟體的Mac惡意程式騙過蘋果公證機制上架 iThome
安全公司Intego近日在App Store發現6支假冒Flash安裝器(installer)軟體的Mac惡意程式,躲過了蘋果的公證機制而成功上架。不過蘋果很快就封鎖了這些程式的開發商。
<回到新聞條列重點>
盜走德國總理梅克爾電郵,歐盟再出手制裁攻擊德國聯邦議會的駭客 iThome
歐盟理事會(European Council,EC)上周再度出手制裁於2015年攻擊德國聯邦議會的2名駭客與1個組織,包括凍結其資產及禁止入境,同時禁止歐盟國家的個人或組織金援他(它)們。
<回到新聞條列重點>
新一波網釣攻擊假冒Microsoft Teams訊息以竊取Office 365憑證 iThome
電子郵件安全平臺Abnormal Security本周警告,在所偵測到的新一波網釣攻擊中,駭客寄出偽裝成Microsoft Teams自動訊息的郵件,以誘導Office 365用戶輸入自己的登入憑證。
<回到新聞條列重點>
安卓手機無故狂跳廣告?資安業者揭露21款暗藏惡意程式App,呼籲儘快刪除 自由時報電子報
據資安公司 Avast 發佈的最新報告指出,近日於 Google Play 線上商店發現二十一款遭植入惡意廣告軟體的App,利用假冒為遊戲應用程式,吸引用戶下載。截至目前為止,總計已於全球累計超過約 800 萬次下載量。其中,甚至有不少的遊戲App,在Google Play Store商店上還獲得用戶給予五星評價,疑似是被惡意操作的行為。
<回到新聞條列重點>
荷蘭資安人員號稱破解川普 Twitter 帳密?但遭白宮嚴正否認 INSIDE
根據荷蘭媒體報導,荷蘭資安研究員 Victor Gevers 宣稱在本月份破解了美國總統川普總統的 Twitter 帳號,並發現川普並沒有使用雙重步驟驗證來保護自己的帳號,不過事後遭到白宮、Twitter 嚴正否認。
<回到新聞條列重點>
7大手機瀏覽器漏洞可讓用戶導向惡意網站 iThome
為了確保用戶連上的網站是真實,而非釣魚網站或其他惡意網站,包括Google、Mozilla、蘋果等業者會在瀏覽器中加入識別體系,像是在網址列加入延伸驗證(extended validation,EV)的鎖頭圖示來證明網站的真實性。但是礙於手機螢幕有限的面積,這些設計會從手機版瀏覽器拿掉。而這也給了惡意人士上下其手的空間。
<回到新聞條列重點>
物聯網設備符合資安標準已成定局,不只設備本身安全驗證,開發流程認證也成近年焦點 iThome
對於物聯網設備資安導入與認驗證,近年國內業者及製造商在這方面的掌握度可能不足,安華聯網總經理洪光鈞指出,有半數客戶都是在臨時狀況下才知道有認驗證需要通過,對此,他說明了物聯網資安標準的分類及相關經驗。從他們所看到的物聯網安全趨勢,顯然是希望國內業者及早掌握取證需求,才能具備市場競爭力。
<回到新聞條列重點>
AIOT展 本土資安大秀軟實力 工商時報
台灣雲端物聯網產業協會結合工研院共同於台灣國際人工智慧暨物聯網展(AIoT Taiwan)籌設雲端物聯網主題館,並在經濟部工業局的支持下,設立「物聯網資安強化推廣專區」,由雲協物聯網資安SIG(Special Interest Group)邀集6家本土資安業者展出物聯網資安解決方案與技術,推動物聯網資安供需雙方之交流。
<回到新聞條列重點>
台灣數位人才缺口浮現 聯合新聞網
新冠肺炎疫情影響,遠距辦公需求提升,安侯建業聯合會計師事務所昨(28)日表示,台灣企業雖在數位轉型投資不落人後,然而卻有不少國內CEO受訪指出,他們在關鍵崗位上找不到合適的人選,在疫後時代裡,更凸顯數位人才的缺口。
<回到新聞條列重點>
體檢智慧校園/AI刷臉合法?教授:曝個資不符比例原則 聯合新聞網
新冠肺炎疫情讓更多智慧工具進入校園,但也帶來隱私權隱憂。國內陸續有學校建置人臉辨識、足跡追蹤、監視器等預防科技設備來增加校園安全,但資安學者指出,國內科技法趕不上科技進步速度,導入人臉辨識可能合法,但它涉及人體生物特徵,指紋、眼睛虹膜一旦被盜,一輩子都有隱私風險。尤其中小學未設資安專業人員,若擅自購入設備卻管理不善,恐侵犯學生個資。
<回到新聞條列重點>
微軟Windows 10 20 H2正式向所有用戶釋出 iThome
在經過多次預覽版後,微軟昨(26)日向所有Windows 10 1903版本以上的PC用戶釋出今年第二度重大更新,Windows 10 20H2。2004版Windows PC只要一次重開機即完成更新。
<回到新聞條列重點>
蔡英文:微軟加碼投資 可有效推動台灣雲端產業發展 自由時報電子報
台灣微軟今日宣布在台將進行31年來最大投資,將設立「Azure雲端硬體與基礎建設團隊」,打造台灣成為亞洲數位轉型中樞,未來幾年提供3萬個工作機會、培育20萬名數位人才,並為台灣創造3千億元以上產值,希望帶來互利跟雙贏。
<回到新聞條列重點>
微軟攜手MITRE釋出捍衛機器學習系統的Adversarial ML Threat Matrix開放框架 iThome
微軟與MITRE在本周釋出了Adversarial ML Threat Matrix開放框架,該框架蒐集了各種可用來攻擊機器學習(ML)系統的安全漏洞與對抗性行為,以供研究分析師評估這些惡意行為並找出因應之道,確保未來ML系統的安全性。
<回到新聞條列重點>
建立資安聯防的必要性,NCC 稱禁華為不只是政治問題 科技新報網
「資安聯防」是近年來政府一直宣傳的概念,強調面對駭客攻擊不再需要單打獨鬥,民間與政府單位應攜手建立資安情資分享框架及緊急應變團隊來共同面對資安攻擊。尤其 5G 商用化正如火如荼的進行,然而 5G 通訊與 4G 所面對的問題也不全然相同,美國更開始推廣乾淨網路的概念。
<回到新聞條列重點>
前Google臺灣董事總經理簡立峰:後疫全球3大商務新主流成形,臺灣企業更得把握5個關鍵的數位新浪潮 iThome
以後想健身不一定要到健身中心,即使人在家也能有健身教練,以視訊串流方式在遠端帶領你做健身。民眾以一臺健身器材,搭配可上網的螢幕就能在家運動,健身教練則化身為網紅,提供各種線上健身教學服務,讓健身粉絲願意追隨他,甚至健身業者也將健身房變成一種雲端SaaS訂閱服務模式,搬進民眾家裡,來提供健身服務。
<回到新聞條列重點>
HPE修補風險評分10.0的容器平臺及儲存軟體重大漏洞 iThome
BlueData EPIC 軟體平臺4.0及之前版本,以及HPE Ezmeral容器平臺5.0含有CVE-2020-7196漏洞,可能導致密碼被駭客攔截或取得;3PAR儲存管理及報表控制臺SSMC 3.7.0.0之前版本含有CVE-2020-7197漏洞,讓遠端駭客得以繞過驗證。
<回到新聞條列重點>
誰說桌遊是年輕人的專利?有金融單位和警政機關聯手,用桌遊向銀髮族推廣防詐騙知識 iThome
詐騙事件頻傳,以往政府或是民間企業,多半採取宣導的方式,要民眾提高警覺。近期在推廣資安意識上,國內開始有人透過桌遊,來讓參與者藉由遊戲的過程了解相關知識。
<回到新聞條列重點>
Nokia安全報告:惡意程式感染率由Windows/PC領先,IoT竄升為第二名 iThome
Nokia上周公布了2020年的威脅情報報告,惡意程式的感染率由Windows/PC以38.92%領先,但遭到惡意程式感染的物聯網裝置(IoT)所占比率,卻從去年的16.17%成長到今年的32.72%,整整成長了一倍,而受到感染的Android裝置則占了26.64%,從去年的第一名下滑到今年的第三名。今年惡意程式的主流為木馬程式,占所有惡意程式類別的74%。
<回到新聞條列重點>
因應企業工作模式轉變,微軟揭示混合辦公資安三大架構 科技新報網
隨著疫情的發展,「混合辦公」逐漸成為企業新常態,也因此加速了資安的數位轉型需求。《微軟數位防禦報告 2020》就揭櫫了混合辦公資安三大架構:零信任基礎架構、裝置管理和資料治理(Data Governance)與合規性。
<回到新聞條列重點>
金管會:純網銀有機會年底開業 工商時報電子報
正在最後闖關階段的純網路銀行,金管會評估「年底前有機會開業!」官員指出,對樂天國際銀行、將來銀行、連線銀行(LINE Bank)的實地查核已完成,由於測試過程發生很多意想不到的問題,為此,金管會要求不只自行測試,還要找「獨立第三方」進行測試確認,各家碰上的情況並不相同,主要包括資訊安全或行動裝置APP相關的檢測等,金管會認為,「再拚一下,年底前還是有機會開業。」
<回到新聞條列重點>
一周大事:衛福部要開放電子病歷上雲。中國信託靠AI打造全通路迎戰純網銀 iThome
衛福部正研擬鬆綁電子病歷法規,目前已同意電子病歷上雲,但不可出境。中國信託銀行瞄準新金融時代3大機會,將靠AI、超級個人化以全通路迎戰純網銀。
<回到新聞條列重點>
我政府機關遭駭 近3年1709件 自由時報電子報
資安即國安!行政院資安處資料顯示,自二○一八年至今年七月底止,中央及地方政府機關共計發生一七○九件資安事件,其中以「非法入侵」占四成二為最多;且二○一八至二○一九年的資安事件中,逾一成五為中、高風險資安影響等級。
<回到新聞條列重點>
自由日日shoot》「駭」影幢幢 憂!我5G防護尚未完備 自由時報電子報
中國透過資通訊設備及駭客攻擊竊取各國技術、機密日漸嚴重,使用中國手機及APP者,資料可能經由後門傳送中國,中共駭客也不間斷竊取我國政府部門機敏資料。據立法院預算中心評估報告,中央政府近五年資安防護相關計畫經費,總計高達一○一億餘元,力求強化資安防禦能量,但國內5G網路資安防護機制尚未完備,恐成資安一大隱憂。
<回到新聞條列重點>
亞太電信開始提供5G,國內五家業者終於全數開臺 iThome
亞太電信成為國內第五家開通5G服務的電信商,今天並公布了5G資費,向電信三雄看齊外,將以28GHz頻段服務在國內推廣FWA定點高速上網服務,以及企業專網建置需求。
<回到新聞條列重點>
Ryuk駭客組織重啟勒索攻擊,法國IT外包商Sopra Steria可能是最新受害者 iThome
Sopra Steria本周公告指出,他們於周二(10/20)晚間偵測到IT網路發生網路攻擊,已經採取控制安全風險的措施。該公司的安全團隊正致力於恢復正常運作,同時也和客戶、夥伴及主管機關「保持密切聯繫」。
<回到新聞條列重點>
甲骨文10月修補402個漏洞 iThome
這次修補規模僅次於7月的安全更新,那次釋出了超過440個修補程式,是史上最多的一次。部份原因是多加了第三方產品的漏洞。從10月重大修補更新開始,甲骨文也列入包含於甲骨文產品內的第三方元件,但在甲骨文產品內沒有開採疑慮的漏洞修補程式。
<回到新聞條列重點>
本土資安業者展高效散熱解決方案 驚豔全場 工商時報電子報
台灣雲端物聯網產業協會(台灣雲協)結合工業技術研究院共同於台灣國際人工智慧暨物聯網展(AIoT Taiwan)籌設雲端物聯網主題館,並在經濟部工業局的支持下,設立「物聯網資安強化推廣專區」,由雲協物聯網資安SIG(Special Interest Group)邀集6家本土資安業者展出物聯網資安解決方案與技術,推動物聯網資安供需雙方之交流。
<回到新聞條列重點>
EtherCAT 傲立工業乙太網 SPE 將隨後終結RS-485? CompoTech Asia 電子與電腦
可程式化邏輯控制器(PLC)讓工業控制變得更加自動化,帶動分佈式控制系統(DCS) 控制器等其他類型的專用控制器發展,並催生工業網路的出現。早期的工業網路都是專有的,把持在某些PLC 大廠手中、須經授權才能使用,後為便於互通,才創建由第三方貿易組織管理的新網路——RS-485 現場匯流排(Fieldbus),乃許多工業用通訊協定的總稱。
<回到新聞條列重點>
Whoscall母公司Gogolook插旗日本!獲新一輪投資後,創辦人如何實現「防詐夢」? 數位時代
防詐騙也能成為一門好生意,甚至發展成一條跨國產業鏈。陌生來電辨識軟體Whoscall開發商走著瞧(Gogolook)才剛宣布跨足金融科技(FinTech),短短一個月後,Gogolook再度對外分享好消息,除了獲得新一輪的資金投資,更進軍日本開設子公司,創辦人郭建甫的「防詐大夢」究竟長怎樣?
<回到新聞條列重點>
ABB攜手IBM,提升工業資安威脅的可視性 工商時報電子報
ABB與IBM於10月15日聯合宣布近期開發成果:結合ABB製程控制系統know-how與IBM安全資訊與事件管理系統(Security Information and Event Monitoring, SIEM)技術,ABB推出一全新「OT資安事件監測服務」,提升工業用戶的網絡安全與數位威脅的可視性(visibility)。目前已提供早期採用者(early adopter)使用中,預估未來數月內可逐步進入市場。
<回到新聞條列重點>
資安一周第116期:木馬程式Emotet攻擊出新招。中國駭客意圖利用公有雲服務掩護攻擊美國總統候選人的意圖 iThome
期大肆發動攻擊的木馬程式Emotet,主要的感染途徑是透過電子郵件的附件惡意Word文件。此文件若只是檢視內容,並不會受害,但因本文內容提到武漢肺炎、求職者履歷表、訂單等名義,乃至於先前川普染疫的時事,以此誘導受害者開啟Word提示的「啟用內容」與「啟用編輯」等功能按鍵,即可繞過Word應用程式的防護措施,以便Emotet進行後續的攻擊行動。
<回到新聞條列重點>