《資安新聞周報》一副眼鏡 攻破19款安卓手機人臉辨識/前三大董事會必須關心的資安策略/犯罪組織販售假 COVID-19 陰性證明

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

這張圖片的 alt 屬性值為空,它的檔案名稱為 news-red-TV-1024x683.png

資安新聞精選

趨勢科技榮獲 CRN 評選為 2021 年最酷雲端廠商之一,再次證明趨勢科技不僅致力經營通路,並且隨時掌握通路環境變遷   PC DIY

【當心「包裹到貨」簡訊】Whoscall 公布 2020 常見詐騙術,哪些新招要防?   報橘

驚!歐洲刑警組織示警:犯罪組織偽造武肺陰性證明並販售   新頭殼

新資安報告點出前三大董事會必須關心的資安策略   iThome

台灣團隊研究辨識Deep Fake影片 深偽技術的正邪之戰開打   台灣事實查核中心

導致SonicWall被駭的漏洞,傳出已有其他攻擊行動開始運用   iThome

SolarWinds再出包?中國駭客疑入侵美政府電腦   中央廣播電臺

陪伴.瞭解.保護 教育部籲寒假期間家長留意孩童手機網路使用安全   馬祖日報

寒假期間 家長應留意孩童手機網路使用安全   yam蕃薯藤

5G智慧工廠群雄並起 台灣製造巨頭加快部署   電子時報網

SolarWinds攻擊行動中,約莫有3成受害者並未使用Orion Platform   iThome

調查報告指出董事局必須關心的首三大資訊保安策略   Media OutReach

國泰世華網銀釣魚簡訊橫行偷帳密,3 天全國 21 人遭詐損 300 萬   科技新報

賴祥蔚/川普下台後 假新聞仍難解 Al+大數據能終結假訊息嗎?   ETtoday新聞雲

操作不慎,駭客竊得的大量企業登入資訊在網路曝光   科技新報網

恐怖!一副眼鏡 攻破19款安卓手機人臉辨識   三立新聞網

用阿里巴巴網路視訊上課 加拿大警告:有安全風險   自由時報電子報

身分識別即服務搭配FIDO 三角模型落實零信任   網管人

思科:以軟體及雲端為先的策略 有助遠距世界網路安全   中時電子報網

不再只賣Office賺錢,微軟每年收入100億美元來自資安服務、已成為網路安全巨頭   T客邦

資安無國界,駐葡萄牙代表接受採訪並呼籲支持台灣參與國際組織   中央通訊社

IT倉促防疫後百廢待興 重整資安策略為當務之急   網管人

Android模擬器NoxPlayer更新機制遭危害,受害者主要位於臺灣、香港與斯里蘭卡   iThome

思科未續約服務網域,數百萬信件被當成垃圾郵件封鎖   iThome

華盛頓州審計官辦公室採用的檔案傳輸服務遭駭,160萬名失業居民資料外洩   iThome

台電等數十家公民營機構 資安納管   自由時報電子報

《觀念平台》數位隱私是金融業 新興風險的關注焦點   工商時報

蘋果將限制廣告追蹤 臉書推自家提示反擊   中央通訊社

Chrome 87部署防範NAT Slipstreaming 2.0攻擊防護   iThome

英國研究與創新機構遭勒索軟體攻擊   iThome

勒索軟體FonixCrypter退出江湖並釋出解密金鑰   iThome

Google Project Zero:蘋果在iOS 14中部署了BlastDoor以捍衛iMessage的安全性   iThome

斥資八億,打造國家級資安卓越中心,培訓臺灣高階的資安前瞻研究人才   iThome

LINE啟用隱私權中心網站! 個資蒐集更加透明   新頭殼

該來的躲不掉,蘋果 App 追蹤透明度功能下個 Beta 版本更新就開始   科技新報網

確認遭駭客惡意攻擊 好物市集移除惡意程式加強防護   中國廣播公司全球資訊網

微軟Azure Functions出漏洞 惡意程式可突破Docker容器入侵主機   網路資訊雜誌

Google 正開發「Micro Droid」雲端 OS Android 可能走向雲端化?   癮科技

AWS瞄準製造業推產業型AI方案爭食AIoT商機   CompoTech Asia 電子與電腦網

Microsoft 365的收信回條、休假自動回覆被駭客用來對企業用戶發動攻擊   iThome

美國起訴NetWalker勒索軟體嫌犯,扣押逾40萬美元加密貨幣   iThome

歐洲刑警組織與8國警方合作拿下Emotet殭屍網路   iThome


趨勢科技榮獲 CRN 評選為 2021 年最酷雲端廠商之一,再次證明趨勢科技不僅致力經營通路,並且隨時掌握通路環境變遷   PC DIY

全球雲端資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布該公司已入選 CRN「2021 年 100 家最酷雲端廠商」(Coolest Cloud Companies for 2021),CRN 是 The Channel Company 旗下的品牌之一,這份年度名單主要在表揚各種雲端技術的領導廠商,共五大類別:基礎架構、監控與管理、資安、儲存、軟體。
<回到新聞條列重點>

【當心「包裹到貨」簡訊】Whoscall 公布 2020 常見詐騙術,哪些新招要防?   報橘

協助用戶避接推銷電話的陌生來電辨識軟體 Whoscall ,近日發布《2020 年度報告》。從報告中發現,儘管通訊方式日新月異, 台灣去年的詐騙型態仍以「簡訊」為大宗 !Whoscall 也首度整理《陌生電話查詢辨識排行榜》, 公布詐騙熱點時段與特徵、新興號碼類別、行銷電話比較等指標 ,提供民眾避開詐騙地雷全攻略!
<回到新聞條列重點>

驚!歐洲刑警組織示警:犯罪組織偽造武肺陰性證明並販售   新頭殼

去年世界爆發新型冠狀病毒肺炎,疫情至今仍持續肆虐,各國也因應防疫相繼祭出入境禁令。然而,近日歐洲刑警組織卻發布警告,表示已有犯罪團體偽造了新型冠狀病毒的篩檢陰性證明,並且販售給民眾。該組織也呼籲歐盟成員國,應對是此事多加留意。
<回到新聞條列重點>

新資安報告點出前三大董事會必須關心的資安策略   iThome

趨勢科技公布一份委託 Enterprise Strategy Group (ESG) 所做的「網路資安在高階經理人與董事會心中的地位調查」指出,目前資安與商業流程整合存在著系統性挑戰,並也點出前三大董事會必須關心的資安策略。
<回到新聞條列重點>

台灣團隊研究辨識Deep Fake影片 深偽技術的正邪之戰開打   台灣事實查核中心

趨勢科技公布一份委託 Enterprise Strategy Group (ESG) 所做的「網路資安在高階經理人與董事會心中的地位調查」指出,目前資安與商業流程整合存在著系統性挑戰,並也點出前三大董事會必須關心的資安策略。
<回到新聞條列重點>

導致SonicWall被駭的漏洞,傳出已有其他攻擊行動開始運用   iThome

日前SonicWall公告因為自家VPN設備出現弱點而被攻擊,當時該公司僅研判,可能與SMA 100系列SSL VPN設備存在的未知漏洞有關。而在1月31日,資安公司NCC Group發布推文指出,這系列設備未被公開的潛在弱點,駭客已經拿來發動其他攻擊,經通報後此弱點也得到SonicWall的證實。不過,為了防範調查階段駭客就開始大肆濫用漏洞,NCC Group並未透露更多細節,僅建議網管人員要加強該設備的存取監控,來及早察覺是否遭到攻擊。
<回到新聞條列重點>

SolarWinds再出包?中國駭客疑入侵美政府電腦   中央廣播電臺

路透社2日引述5名知情人士報導,疑似來自中國的駭客,利用美國資訊公司SolarWinds所研發的安全軟體缺失,在去年駭入美國政府的電腦,在被美國國會議員視為國安緊急事件、層出不窮的破壞資安問題上,發現了新轉折。
<回到新聞條列重點>

陪伴.瞭解.保護 教育部籲寒假期間家長留意孩童手機網路使用安全   馬祖日報

隨著行動載具及網路科技的普及,逐漸改變了孩子網路使用的型態。現今人人有手機、處處有網路的環境下,孩子接觸3C產品的年齡有提早的趨勢,家長也習慣在許多場合提供孩子智慧型手機使用。寒假期間,教育部特別提醒家長可以從陪伴、了解及保護三方面來教育孩子合理、合宜、合法地使用網路。
<回到新聞條列重點>

寒假期間 家長應留意孩童手機網路使用安全   yam蕃薯藤

隨著行動載具及網路科技的普及,逐漸改變了孩子網路使用的型態。現今人人有手機、處處有網路的環境下,孩子接觸3C產品的年齡有提早的趨勢,家長也習慣在許多場合提供孩子智慧型手機使用。寒假即將來臨,教育部特別提醒家長,可以從「陪伴」、「瞭解」及「保護」三方面來教育孩子合理、合宜、合法地使用網路。
<回到新聞條列重點>

5G智慧工廠群雄並起 台灣製造巨頭加快部署   電子時報網

博世(Bosch)與諾基亞(Nokia)合作在其位於斯圖加特的工廠中建立5G專網,並表示未來將逐步在全球250家工廠中部署5G技術。隨著5G加快發展進程,全球製造巨頭紛紛展開跨業合作,5G智慧工廠群雄並起,包括台灣也是如此,近來從半導體至機械業對於5G智慧工廠的部署也正加快腳步。
<回到新聞條列重點>

SolarWinds攻擊行動中,約莫有3成受害者並未使用Orion Platform   iThome

美國網路安全暨基礎架構安全署(Cybersecurity and Infrastructure Security Agency,CISA)代理主任Brandon Wales在接受華爾街日報專訪時透露,在疑似為俄羅斯駭客針對SolarWinds產品發動的攻擊行動中,有接近3成的受害者並未使用SolarWinds的Orion Platform產品,顯示駭客透過多種管道大舉入侵美國政府機關與企業。
<回到新聞條列重點>

調查報告指出董事局必須關心的首三大資訊保安策略   Media OutReach

全球雲端保安方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)委託研究機構 Enterprise Strategy Group(ESG)進行的「領導層與董事局眼中的網絡資訊保安」調查報告 [1] 指出,目前資訊保安與商業流程整合存在著系統性挑戰,並提出在機構內推動網絡保安策略的參與度與共識的最佳途徑。
<回到新聞條列重點>

國泰世華網銀釣魚簡訊橫行偷帳密,3 天全國 21 人遭詐損 300 萬   科技新報

年關將近,詐騙集團也愈加猖獗。刑事局指出,近日警方接獲多名民眾報案,聲稱收到「偽冒國泰世華網銀」的釣魚簡訊,內容為:「您的銀行帳戶顯示異常,請立即登入綁定用戶資料,否則帳戶將凍結使用!」,同時附上網址要求民眾登入網路銀行,一旦不慎點擊網址,便可能面臨網路銀行帳號密碼遭竊風險,造成財物損失。
<回到新聞條列重點>

賴祥蔚/川普下台後 假新聞仍難解 Al+大數據能終結假訊息嗎?   ETtoday新聞雲

假訊息與假新聞是2016年川普參選及當選美國總統以來,全世界都關心的議題。轉眼四年多過去,川普已經連任失利而卸任,但是假訊息與假新聞的解決至今仍未有理想方案。
<回到新聞條列重點>

操作不慎,駭客竊得的大量企業登入資訊在網路曝光   科技新報網

台灣電腦網路危機處理暨協調中心(TWCERT/CC)近日表示,資安廠商發現某駭侵團體於去年竊得的大批各企業內網登入資訊,因操作不慎而被公開在網路上,任何人皆可搜尋並取得相關資訊。
<回到新聞條列重點>

恐怖!一副眼鏡 攻破19款安卓手機人臉辨識   三立新聞網

許多科技大樓、科技產品都強調科技,使用「人臉辨識」,生活中包括手機、門禁,到高鐵、機場或者中國強調的社會安全街頭人臉辨識,都能看到人臉辨識的應用。但是人臉辨識真的安全嗎?
<回到新聞條列重點>

用阿里巴巴網路視訊上課 加拿大警告:有安全風險   自由時報電子報

由於武漢肺炎(新型冠狀病毒病,COVID-19)疫情蔓延,許多西方國家的大學都透過網路視訊上課。但加拿大安全情報局(CSIS)已向各校發出警告,使用中國阿里巴巴集團提供的網路加速服務軟體上課,可能存在安全風險。
<回到新聞條列重點>

身分識別即服務搭配FIDO 三角模型落實零信任   網管人

對此Thales提出三角模型落實零信任,主要針對身分辨識、裝置控管、資料保護三大方面,整合旗下SafeNet Trusted Access雲端服務、Luna Network HSM設備、CipherTrust Data Security平台來實作控管措施。
<回到新聞條列重點>

思科:以軟體及雲端為先的策略 有助遠距世界網路安全   中時電子報網

思科3日發布《2021年安全成果研究》(2021 Security Outcomes Study),其中36%的亞太區組織表示,以軟體及雲端為先的策略有助於在現今的遠距世界中,成功應付網路安全挑戰,特別是有恆常更新科技的組織,成功執行安全計畫的機率最高,但台灣的組織則認為,制定健全的安全策略才是網路安全計劃成功的關鍵。
<回到新聞條列重點>

不再只賣Office賺錢,微軟每年收入100億美元來自資安服務、已成為網路安全巨頭   T客邦

過去,很多人都認為Windows系統並不安全、漏洞百出。但是事實上,自從微軟開始發展雲端業務、推出Windows defender開始,你可以發現他們不斷的從消費端到企業端,都在強調安全的重要性。為此,原本的網路安全大廠卡巴斯基還在這段期間跟微軟對槓過好幾次。
<回到新聞條列重點>

資安無國界,駐葡萄牙代表接受採訪並呼籲支持台灣參與國際組織   中央通訊社

台灣積極推動參與國際刑警組織(INTERPOL),駐葡萄牙代表張俊菲近接受葡國主流媒體SAPO專訪,強調打擊網路犯罪需要國際合作,透過情資傳遞共享,台灣可以協助各國避免潛在威脅,並建立聯防機制,使網路環境更安全,並呼籲對我相關國際參與之支持。
<回到新聞條列重點>

IT倉促防疫後百廢待興 重整資安策略為當務之急   網管人

走過因疫而生的數位轉型,資訊安全的缺口必須快速補上,方能協助企業持續成長。在新的安全策略上,強化遠距工作資安、雲端安全合規與AI加持的整合式資訊安全平台是必須高度重視的議題。
<回到新聞條列重點>

Android模擬器NoxPlayer更新機制遭危害,受害者主要位於臺灣、香港與斯里蘭卡   iThome

總部設於斯洛伐克的資安業者ESET本周指出,他們發現知名Android遊戲模擬器NoxPlayer(夜神模擬器)的更新機制遭到駭客危害,使得駭客得以藉由NoxPlayer用戶更新時,植入惡意程式,且受害者主要位於臺灣、香港與斯里蘭卡。然而,NoxPlayer母公司BigNox否認了此事。
<回到新聞條列重點>

思科未續約服務網域,數百萬信件被當成垃圾郵件封鎖   iThome

思科的垃圾郵件過濾服務SpamCop似乎網域到期未續約,結果造成數百萬合法郵件一度被當成垃圾郵件而被擋下。
<回到新聞條列重點>

華盛頓州審計官辦公室採用的檔案傳輸服務遭駭,160萬名失業居民資料外洩   iThome

美國華盛頓州的審計官辦公室(The Office of the Washington State Auditor,SAO)周一(2/1)指出,該辦公室所使用的第三方檔案傳輸服務Accellion遭到駭客入侵,造成大量的資料外洩,目前仍在梳理詳細的受害名單,但已確定去年申請失業補助的160萬名居民的資料已外洩。
<回到新聞條列重點>

台電等數十家公民營機構 資安納管   自由時報電子報

為避免國家關鍵基礎設施遭到中國等國際駭客資安攻擊,政府首度核定並完成八大領域關鍵基礎設施的指定,包括台電、中油、台鐵、高鐵、中華電信、台大醫院、兆豐銀行、台水公司等數十家公民營機構被指定為關鍵基礎設施提供者,須依規定做好資安管理與維護,若發生資安事件應通報而未通報,最高可罰五百萬元,並可按次處罰。
<回到新聞條列重點>

《觀念平台》數位隱私是金融業 新興風險的關注焦點   工商時報

疫情當前持續考驗金融業超前部署加速轉型,金管會最新公布開放銀行第二階段,國內第一家純網銀樂天國際銀行也於今年1月正式對外營運,而去年底攸關國內電支電票整合重大政策的「電子支付機構管理條例修正草案」經立法院三讀通過,推動國內數位金融新階段發展的三支箭齊發;加上央行宣布啟動第二階段通用型央行數位貨幣(CBDC)試驗計畫,金流與資訊流互通,加上未來法定數位貨幣體系加持,預估國內數位金融市場將產生重大變化及新商機。
<回到新聞條列重點>

蘋果將限制廣告追蹤 臉書推自家提示反擊   中央通訊社

蘋果公司iOS 14將顯示新的隱私彈出通知,以限制廣告追蹤。臉書對此表示,將在螢幕上顯示自己的提示,提供更多資訊說明臉書如何運用個人化廣告幫助小型企業。
<回到新聞條列重點>

Chrome 87部署防範NAT Slipstreaming 2.0攻擊防護   iThome

安全研究人員發現一種可繞過防火牆網址轉譯(Network Address Translation, NAT)服務的攻擊手法。而在研究人員公佈後,Google也釋出防範攻擊的Chrome 87更新版。
<回到新聞條列重點>

英國研究與創新機構遭勒索軟體攻擊   iThome

英國的研究與創新機構(UK Research and Innovation,UKRI)日前傳出遭到駭客入侵,駭客加密了UKRI的部份網路,影響了英國研究辦公室(UK Research Office,UKRO)服務與BBSRC服務,目前這兩項服務都尚未恢復正常,亦不確定是否有資料外流。
<回到新聞條列重點>

勒索軟體FonixCrypter退出江湖並釋出解密金鑰   iThome

勒索軟體FonixCrypter其中一名管理員周六(1/30)宣布,已正式關閉FonixCrypter專案,並於隔天釋出了解密金鑰。
<回到新聞條列重點>

Google Project Zero:蘋果在iOS 14中部署了BlastDoor以捍衛iMessage的安全性   iThome

還記得去年12月時,加拿大多倫多大學的公民實驗室(Citizen Lab)披露,有36名卡達半島電視臺(Al Jazeera)員工的iPhone,遭到駭客植入Pegasus間諜程式嗎?當時該實驗室呼籲iOS用戶升級到具備新安全保護的iOS 14,以避免相關攻擊。這促使Google Project Zero的研究人員Samuel Groß對iOS 14展開研究,並於本周公布蘋果於iOS 14中所部署的新一代安全機制BlastDoor。
<回到新聞條列重點>

斥資八億,打造國家級資安卓越中心,培訓臺灣高階的資安前瞻研究人才   iThome

面對現在的各種網路攻擊手法越來越複雜,包括政府和產業對於資安具有攻防實務的高階人才需求也愈形殷切,加上,政府機關預計在2021年必須補足不足的資安人力,因此,行政院資安處推出一個五年期的資安人才培育計畫:《臺灣資安卓越深耕計畫-資安卓越中心計畫》,計畫執行年限為2021年1月~2025年8月。該項計畫全程(2021~2025 年)經費需求 16.36 億元,日前於立法院臨時會院會通過預算審查,以不凍結預算的方式,通過 2021~2022年資安卓越中心8.09億元的專案預算。
<回到新聞條列重點>

LINE啟用隱私權中心網站! 個資蒐集更加透明   新頭殼

通訊軟體LINE為了響應1月28日的國際資料隱私日,今(29)天宣布正式啟用「LINE 隱私權中心」網站,將更清楚告知用戶平台會蒐集哪些個人資料,並且明確地解釋相關隱私保障措施。
<回到新聞條列重點>

該來的躲不掉,蘋果 App 追蹤透明度功能下個 Beta 版本更新就開始   科技新報網

蘋果(Apple)去年在開發者大會(WWDC)就宣布會在 iOS 14 版本更提升用戶隱私,因此會加入 App 追蹤透明度功能(App Tracking Transparency),只不過在消息一宣布後,就引來以 Facebook 為首的應用程式開發商不滿,而蘋果隨後則以「給開發人員更多準備時間」為由,將該功能延遲到 2021 年初上線。而現在,官方也正式宣布,App Tracking Transparency 將在下一個 Beta 版本更新就開始實施。
<回到新聞條列重點>

確認遭駭客惡意攻擊 好物市集移除惡意程式加強防護   中國廣播公司全球資訊網

農曆年前詐騙猖獗,電商平台「好物市集」遭鎖定,1月23日起陸續有消費者接到詐騙電話。經立即報案並聘請國內資安龍頭「趨勢科技」掃描與分析,確認此為「惡意的網路駭客攻擊行為」。好物市集強調,已經移除惡意程式、加裝防護裝置,並再度呼籲消費者勿輕信詐騙電話,好物市集不會在「非上班時間」致電打擾。
<回到新聞條列重點>

微軟Azure Functions出漏洞 惡意程式可突破Docker容器入侵主機   網路資訊雜誌

安全廠商Intezer Lab公佈Microsoft Azure Functions服務一個未修補的漏洞,可能被攻擊者用來擴張權限,並從圈限住應用程式的Docker容器中逃逸出來。
<回到新聞條列重點>

Google 正開發「Micro Droid」雲端 OS Android 可能走向雲端化?   癮科技

除了微軟計畫打造雲端化的Windows作業系統,過去累積不少Chrome OS作業系統發展經驗的Google,似乎也準備讓Android作業系統走向雲端化。
<回到新聞條列重>

AWS瞄準製造業推產業型AI方案爭食AIoT商機   CompoTech Asia 電子與電腦網

亞馬遜網路服務公司(Amazon Web Service;AWS)日前發表製造業專用的工業型(industrial) AI方案,內含終端感測器與影像辨識設備,不僅擴大AWS業務版圖,亦宣告正式挺進賦予AI能力的物聯網(AIoT)市場。DIGITIMES Research觀察,AWS此舉可看出公有雲業者在AI即服務(AI as a Service;AIaaS)方案布局已由通用型訴求逐漸擴及特定產業應用,可望加速AI普及與產業智慧化發展,然可能壓縮AI新創及現有AIoT裝置廠商及服務業者的市場版圖。
<回到新聞條列重點>

Microsoft 365的收信回條、休假自動回覆被駭客用來對企業用戶發動攻擊   iThome

收信回條或休假自動回覆是商務人士慣用的郵件功能,不過研究人員發現這些工具被駭客用來突破郵件過濾的安全防護,成為對企業用戶發動恐嚇信等郵件攻擊的新手法。
<回到新聞條列重點>

美國起訴NetWalker勒索軟體嫌犯,扣押逾40萬美元加密貨幣   iThome

美國司法部於27日宣布,已聯手國際警方瓦解了知名的勒索軟體NetWalker,起訴一名參與勒索軟體攻擊的加拿大人Sebastien Vachon-Desjardins,扣押價值約45萬美元的加密貨幣,保加利亞的警方則扣押了NetWalker聯盟於暗網用來通訊的隱藏資源。
<回到新聞條列重點>

歐洲刑警組織與8國警方合作拿下Emotet殭屍網路   iThome

近半年國際警方、IT業界對於殭屍網路的查緝動作頻頻,1月27日歐洲刑警組織(Europol)宣布,在歐美多個國家的政府通力合作之下,他們切斷了Emotet的基礎設施運作,而這是全球最危險的殭屍網路之一。這起攻堅行動是荷蘭、德國、美國、英國、法國、立陶宛、加拿大,以及烏克蘭等國家,與歐洲刑警組織及歐洲檢查官組織(Eurojust),進行國際合作的成果。
<回到新聞條列重點>

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,
FBIGYoutubeLINE官網