本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 什麼是 IoT 殭屍網路?
- 網路正妹想跟我當 fb 好友,該不該接受呢?三步驟從大頭貼揪出臉書假帳號!從三則網路照騙故事,學反詐騙
- Cinobi 銀行木馬利用日本色情動畫遊戲等惡意廣告,攻擊加密貨幣交易所用戶
- 8款假雲端手機挖礦App,不僅賺不到錢,還會偷扣款
- 企業 4G/5G 專網遭駭客入侵的威脅
- 包裹出現這特徵,超商店員警告是詐騙!詐騙集團為何會寄包裹給你?
- 從美國電信商 T-Mobile 逾1億用戶個資外洩,談消費者該如何保護個資?
資安新聞精選
小心 Email 遭監聽!微軟 Exchange 出現新「ProxyToken」重大漏洞 科技新報網
駭客揭露哪些車最好偷? 這兩個品牌車主該注意 tvbs新聞網
資安疑慮停區間測速 北宜車禍多7成 華視新聞
去年美國當地學校受到77次的勒索軟體攻擊,光是停機成本就損失66億美元 iThome
勒索軟體一年暴增35倍 每日逾1.7萬台設備遭威脅 工商時報電子報
釣魚郵件攻擊濫用網址重新導向、雲端服務與自動化真人檢測服務CAPTCHA iThome
研究指駭客組織 BlackMatter 與 DarkSide 有合作跡象 科技新報
殭屍網路程式正試圖攻擊Realtek晶片SDK漏洞 iThome
21歲駭客偷T-Mobile 5千多萬客戶個資 還笑資安防護爛 世界新聞網
曼谷航空疑遭LockBit攻擊致客戶資料外洩 iThome
Facebook 詐騙頻傳如何防?一頁式商店賣台灣農產品,假冒媒體、名人招攬粉絲 科技新報網
印尼防疫追蹤程式曾有資安漏洞 恐影響130萬人 中央通訊社
趨勢科技偵測逾 1,300 萬次針對Linux 雲端環境的惡意程式事件 Media OutReach
趨勢科技在亞太、中東和非洲地區推出WeDiscover合作夥伴計畫以加速發現新商機 中央社
Google可能付蘋果150億美元換取預設搜尋引擎地位 iThome
駭客重金誘惑,內部員工也必須零信任 iThome
事實查核/【錯誤】網傳「疫情期的一個新騙局:剛才朋友接到一個電話,問他若打過疫苗按1,?打按2。 他按下 1. 電話立即被封了,他的手機就被駭了」? 民視新聞網
別亂點!手機簡訊收到「包裹送達查詢網址」暗藏釣魚詐騙個資恐外洩 自由時報
使用公共Wi-Fi = 請駭客進門 國安局要求員工禁用 世界新聞網
加州男子用詐騙入侵數千iCloud帳戶,並搜刮高達42萬張私人照片 T客邦
「幽靈包裹」不請自來!拆開秒噴錢 警傳授防詐四招 台灣蘋果日報網
10/5微軟Windows 11 正式上架!新電腦優先升級 新頭殼
微軟Azure資料庫服務Cosmos DB含有安全漏洞,將外洩客戶的主要金鑰與存取令牌iThome
微軟挖角AWS高層 雲端事業添翼 工商時報電子報
報告:中國駭入Exchange Server漏洞訓練AI iThome
保護資安!亞馬遜將為美 AWS 客戶免費提供 USB 安全金鑰 Inside
Chrome 94 測試版導入網頁開發新技術,升級雲端遊戲體驗 科技新報網
白宮提高美國資安預算 網路資安ETF強勢創新高 經濟日報網
首屆國際級工控資安評測出爐,5家業者響應,國內法人機構也參與 iThome
35%公部門資安人力短缺 國網中心前主任:高強度防護靠4重點培訓 台灣蘋果日報網
門禁系統資安標準制定大家談 全球安防科技網
馬斯克無聊公司 Loop 系統遭駭,地下隧道安全性堪慮 INSIDE
資安走向產業化 新創資服應運而生 經濟日報網
後疫情時代的未來工作趨勢:遠距辦公將成為新常態? 關鍵評論網
林百里:打造三智慧醫療平台 BTC會議登場 廣達董座建議運用IT技術強化建設 蘇揆盼成國際級生醫創新研發樞紐 經濟日報(臺灣)
刑事局反詐學堂抽大獎 5千粉絲熱情響應 內政部警政署警察廣播電台
專為工控設備安全量身設計 資策會資安所ICTD平台助企業強化防護力 iThome
捐款人遭駭個資騙錢今年財損達9.4億 公益團體募款雪上加霜 自由時報電子報
小心 Email 遭監聽!微軟 Exchange 出現新「ProxyToken」重大漏洞 科技新報網
繼 3 月出現「ProxyLogon」漏洞之後,微軟 Exchange 又再度出現名為「ProxyToken」(CVE-2021-33766)的全新重大安全漏洞,未經身分認證的攻擊者能透過這個漏洞,存取並竊取目標受害者的郵件。
駭客揭露哪些車最好偷? 這兩個品牌車主該注意 tvbs新聞網
免鑰匙系統可以算做汽車便利科技的重要發明之一,從此開車不用掏出鑰匙遙控器,只需要到車子旁邊摸一下門把,就能夠自動解鎖上車。甚至也無須插入鑰匙啟動車輛,輕鬆按下啟動按鈕就好。但這項便利科技卻也引來駭客覬覦,問題來了,哪家的免鑰匙系統最容易被破解?根據駭客的說法,Honda與豪華子品牌Acura最需要注意。
資安疑慮停區間測速 北宜車禍多7成 華視新聞
北宜公路車禍頻傳,光是今年1到8月死亡車禍多達7件,相較去年同期增加4件等於多了1倍。主要原因可能根測速照相有關嗎?之前取締超速的區間測速設備被爆出疑似資安有疑慮,廠商如果無法證明設備不是中國製的情況下,擔心有可能被監控,交通部之前要求設備要先下架,新北市長侯友宜呼籲,如果主管機關確認設備沒問題,希望能恢復區間測速執法,降低事故的發生可能。
去年美國當地學校受到77次的勒索軟體攻擊,光是停機成本就損失66億美元 iThome
過去勒索軟體駭客並不特別青睞教育單位,相關攻擊案件在2018年只有10件,但2019年就激增到96件,2020年也有77件,同時駭客也愈趨鎖定大型學校為目標。
勒索軟體一年暴增35倍 每日逾1.7萬台設備遭威脅 工商時報電子報
勒索軟體近期大行其道、攻勢連連,台灣餐飲業、科技廠紛紛中招。資安廠商Fortinet調查指出,勒索軟體的威脅在一年內成長35倍,且將於接下來的一年在全球更加普及,而在去年底,每天更有多達17,200台設備回報勒索軟體事件。Fortinet北亞區總經理陳鴻翔表示,在這一波攻擊中,台灣也正面臨著嚴峻的勒索軟體威脅,產業涵蓋範圍廣泛,包含醫療、教育、工業、政府機構等都難以倖免。
釣魚郵件攻擊濫用網址重新導向、雲端服務與自動化真人檢測服務CAPTCHA iThome
網路釣魚攻擊手法推陳出新,日前有攻擊者利用驗證真人與機器人的CAPTCHA機制,誘騙受害者下載金融木馬,而根據資安業者Greathon的統計,濫用Google Meet和Google DoubleClick等工具,重新導向到其他網站的釣魚攻擊手法,也日益升溫,如今攻擊者也將這些方法運用於釣魚郵件上。
網路攻擊頻傳,勒索軟體橫行,這段時間很不平靜。Sophos Rapid Response團隊調查各種組織遇到的網路攻擊,列出了過去12個月內最常看到的一些安全誤解,並根據事件回應人員在第一線的經驗及觀察來解開每一個錯誤認知。
研究指駭客組織 BlackMatter 與 DarkSide 有合作跡象 科技新報
SophosLabs 的研究表示,BlackMatter 和 DarkSide 使用的勒索軟體有相似跡象,但並非完全一樣。BlackMatter 今年 7 月底出現,宣稱繼承 DarkSide 和 REvil 的技術,結合 LockBit 2.0,因此勒索軟體確實有上述工具的痕跡,如可讓被入侵的系統開放檔案權限,任何人都可存取文件,即使受害者付過贖金解鎖,檔案仍沒有安全設定,需重新設定權限。
殭屍網路程式正試圖攻擊Realtek晶片SDK漏洞 iThome
本月稍早安全廠商揭露瑞昱半導體的無線晶片SDK存在多項安全漏洞,影響65家IoT廠商,本周另外二家安全業者相信,已經有駭客盯上採用Realtek晶片的IoT裝置,企圖感染殭屍網路程式。
21歲駭客偷T-Mobile 5千多萬客戶個資 還笑資安防護爛 世界新聞網
在美國出生的21歲駭客賓斯(John Binns)偷走T-Mobile5000多萬客戶個資後,告訴華爾街日報說,T-Mobile的安全系統太爛了,他只利用一個簡單的工具,就突破了這家號稱有9000萬手機用戶的無線網路公司的路由器。
曼谷航空疑遭LockBit攻擊致客戶資料外洩 iThome
曼谷航空指出今年8月23日他們發現一樁網路攻擊事件,導致資訊系統遭到未授權人士不法存取。該公司強調一經發覺,已立即採取行動阻斷事件並著手調查。
Facebook 詐騙頻傳如何防?一頁式商店賣台灣農產品,假冒媒體、名人招攬粉絲 科技新報網
刊登贊助廣告的 Facebook 帳號、加上點擊進入的一頁式商店通常存有很多疑點。首先,帳號似乎成立不久,沒什麼貼文以及粉絲追蹤,販售的商品也不一定與該帳號的品牌名稱有關,當然也沒有通過 Facebook 官方驗證的「藍勾勾」驗證徽章;再者,那些一頁式網站並無販售業者的營業資料,提供的聯絡電話與電子郵件信箱,甚至是網頁中顯示的銷售紀錄、售後評價都不可信。
印尼防疫追蹤程式曾有資安漏洞 恐影響130萬人 中央通訊社
印尼先前用於防疫追蹤的手機應用程式因保密設計不足,發生資料可能遭竊的危機,恐有130萬人受影響,包括當時入境印尼的外國人。印尼衛生官員今天指出,已經展開調查。
趨勢科技偵測逾 1,300 萬次針對Linux 雲端環境的惡意程式事件 Media OutReach
截至 2017 年,90% 的公有雲都是在 Linux 上運作。根據 GartnerÒ 指出:「由於雲端原生架構日益受重視,令業界開始檢討未來數據中心內的伺服器虛擬化是否還有存在必要。其中最常被討論的就是以 Linux 作業系統為基礎的虛擬化,因為這是建構容器的基礎。
趨勢科技在亞太、中東和非洲地區推出WeDiscover合作夥伴計畫以加速發現新商機 中央社
佈推出通路合作夥伴需求生成計畫——WeDiscover。這一不斷進化的需求生成計畫為通路合作夥伴提供精心設計的架構,以識別未開發的市場,調查新的收入來源,並促進銷售。新宣佈的WeDiscover計畫旨在幫助合作夥伴利用趨勢科技的解決方案,同時在他們迎合充滿活力的資安市場客戶需求的過程中,協助他們促使服務差異化,建立新的資安專業知識,並發展可獲利的業務。
Google可能付蘋果150億美元換取預設搜尋引擎地位 iThome
根據一份分析師估計,今年Google可能付給蘋果150億美元,以換取成為Safari瀏覽器預設搜尋引擎,而在微軟威脅陰影下,明年可能還會增加。
駭客重金誘惑,內部員工也必須零信任 iThome
在8月底威力彩開獎前夕,由於頭獎上看27億元,引發全國熱議,因為疫情當前,許多自認在經濟上亟需紓困的民眾,自然很希望自己就是幸運得主,但這樣的現象,也不免讓人擔心是否會出現不惜代價、鋌而走險的行為,例如出賣企業或組織的機密資料,來換取金錢的狀況。
事實查核/【錯誤】網傳「疫情期的一個新騙局:剛才朋友接到一個電話,問他若打過疫苗按1,?打按2。 他按下 1. 電話立即被封了,他的手機就被駭了」? 民視新聞網
一、專家指出,通話中按指示輸入數字,並不會使手機被駭客入侵。二、專家提醒,很多詐騙集團會假扮銀行或電信業者,透過語音系統請使用者輸入號碼後,再引導使用者提供個資,因此民眾若接到來自銀行、電信公司等的語音電話,務必多求證。
別亂點!手機簡訊收到「包裹送達查詢網址」暗藏釣魚詐騙個資恐外洩 自由時報
明明沒有在網路下單購物,手機簡訊近日卻突然收到通知:寫著包裹「商品已派發,預計送貨日期X月X日,且文末還附上查詢網址以zupoe.com為結尾」,不管有沒有訂購包裹,近期可得千萬特別留意別任意點擊簡訊的連結網址,因為新型高風險釣魚連結又開始在台灣流竄了!
使用公共Wi-Fi = 請駭客進門 國安局要求員工禁用 世界新聞網
駭客攻擊近期愈發頻繁且規模擴大,促使政府愈發重視資安;「紐約時報」報導,國家安全局(NSA)本月初曾向所有聯邦公務員、國防部文、武職人員、預備役及承包商發出「罕見而具體的警告」,要求員工避免使用公共Wi-Fi,以防裝置染上惡意病毒。
加州男子用詐騙入侵數千iCloud帳戶,並搜刮高達42萬張私人照片 T客邦
他一共蒐集到了超過62 萬張的私人照片和影片,但是令人驚訝的是,他不是利用漏洞或是什麼高明的駭客技術去達成的,也沒有攻破蘋果為 iCloud 預設的保護措施。但利用社交工程與網路釣魚方法,純粹利用騙術達成目的。
「幽靈包裹」不請自來!拆開秒噴錢 警傳授防詐四招 台灣蘋果日報網
網路購物已經成為現代人的習慣,但在網站留下消費紀錄,成為個資外洩管道,詐欺集團利用個資寄送假包裹,或是佯稱解除分期付款欺騙不知情民眾,台中市警察局刑事警察大隊經濟組呼籲,網購平台業者應提升資安防護等級、消費者遇到「幽靈包裹」一律拒收,且不要在簡陋的一頁式購物廣告」下單,才能避免被騙。
10/5微軟Windows 11 正式上架!新電腦優先升級 新頭殼
微軟今年6月發表最新Windows 11作業系統,時隔好幾個月,終於宣布將在10月5日正式上架,較新的電腦裝置將優先升級,之後會陸續提供給所有PC用戶進行系統更新。
微軟Azure資料庫服務Cosmos DB含有安全漏洞,將外洩客戶的主要金鑰與存取令牌iThome
資安業者Wiz發現Azure Cosmos DB含有的安全漏洞,會導致用戶的主要金鑰與Notebook存取令牌外洩,尤其是過去曾啟用Jupyter Notebook服務,或是今年2月之後才建立Cosmos DB帳號的用戶。
微軟挖角AWS高層 雲端事業添翼 工商時報電子報
微軟近日挖角亞馬遜AWS雲端事業高層貝爾(Charlie Bell)擔任企業副總裁。儘管貝爾在微軟的職務內容尚未公開,但貝爾領導AWS長達15年且曾被視為AWS接班領導人,對微軟Azure雲端事業而言如虎添翼。
報告:中國駭入Exchange Server漏洞訓練AI iThome
根據曾擔任國家情報官員的Evanina Security執行長提供的資訊,美國公共廣播電臺報導指稱中國為了蒐集發展AI所需的訓練資料,利用影響Exchange Server的ProxyLogon系列漏洞,大規模竊取美國民間及政府情資。
台灣微軟今(27)日舉辦FY22微軟合作夥伴年會(Microsoft Partner Kickoff Conference),會中進行FY21台灣微軟年度合作夥伴頒獎典禮。遠傳電信自行開發的「CDP(Customer Data Platform)顧客數據平台」能協助客戶實現數據的價值,獲得「微軟年度最佳Data and AI合作夥伴」大獎,大人物(大數據、人工智慧、物聯網)實力備受肯定。
保護資安!亞馬遜將為美 AWS 客戶免費提供 USB 安全金鑰 Inside
亞馬遜(Amazon)將從今年 10 月起,為月花費超過 100 美元的美國客戶管理員帳戶(root account)提供免費 USB 安全金鑰(USB security keys),但拒絕透露將由哪些公司負責打造這些金鑰。
Chrome 94 測試版導入網頁開發新技術,升級雲端遊戲體驗 科技新報網
隨著 Google 公開 Chrome 94 測試版的產品細節,揭開導入如 WebCodecs、WebGPU 等開發標準,使得運用瀏覽器玩雲端遊戲的體驗將能變得更好。
白宮提高美國資安預算 網路資安ETF強勢創新高 經濟日報網
根據市場調查公司IDC研究,最近一年內,全球有37%的企業受到勒索軟體攻擊,平均贖金支付的金額近25萬美元,在龐大的資安威脅下,美國也拉高對國家資安的重視。美國總統拜登上周在白宮召開資安高峰會議,從科技到保險業等產業領袖承諾將投入數百億美元以強化資安,包括微軟與谷歌分別計畫在五年內投資200億美元及逾100億美元,美國聯邦政府也宣誓將提高資安預算金額。
首屆國際級工控資安評測出爐,5家業者響應,國內法人機構也參與 iThome
為推動工控資安產品的進步與發展,MITRE Engenuity舉辦了首屆ATT&CK for ICS評估計畫,並以2017年的Triton事件為攻擊設想,共有5家業者與機構參加,今年7月中旬評測結果已經公布。我國資策會也參加,希望汲取經驗推展國內業者投入工控資安並進軍國際市場。
35%公部門資安人力短缺 國網中心前主任:高強度防護靠4重點培訓 台灣蘋果日報網
近日,審計部的年度中央政府總決算審核報告指出,有高達35%、193個公務機關資安專職人力配置不足,短缺259人與數百張資安專業證照,其主因為員額限制、預算不足、或難望業界項背之薪俸。行政院將透過多管道方式逐步補強,並規劃分階段補足。
門禁系統資安標準制定大家談 全球安防科技網
繼影像監控系統(IP Camera、NVR/DVR、NAS)、智慧巴士資通訊系統(車載機、智慧站牌)等建立了完善的檢測認驗證制度後,門禁系統成為今(2021)年度工業局推動的物聯網資安標準制度標的。本文邀請到協助標準制定的資策會、台灣智慧安防工業同業公會及產業廠商,一起來談談對此的看法。
馬斯克無聊公司 Loop 系統遭駭,地下隧道安全性堪慮 INSIDE
馬斯克旗下的無聊公司 The Boring Company(TBC) 拉斯維加斯地下隧道系統 Loop 傳出遭駭。這一條通往賭城的康莊大道,價值 5300 萬美元的系統前陣子才在投資人面前亮相,TBC 對此事件表示並無人員傷亡,但並未就系統遭駭一事多做評論,也未公布後續系統漏洞的處理方式。
資安走向產業化 新創資服應運而生 經濟日報網
面對全球資安產業的演化,行政院資通安全處處長簡宏偉直指未來已是萬物聯網的生態圈,每個節點都有可能是資安潛在破口,因此資安已不再是過去單純防護的功能性框架,將進一步延伸擴大成風險管理服務,未來各產品、系統到產業都需要內建風險管理,並透過資安協助降低風險,推動資安走向各產業,所以資安服務類型與人才培育也都會有所改變。
後疫情時代的未來工作趨勢:遠距辦公將成為新常態? 關鍵評論網
根據McKinsey Global Institute的《The future of work after COVID-19》報告指出,在2020年疫情大流行期間,擾亂了全球勞工市場。而在後疫情時代,全球將近25%的人需要轉換工作跑道,遠程工作、電子商務和自動化方面的工作將會是未來趨勢。
林百里:打造三智慧醫療平台 BTC會議登場 廣達董座建議運用IT技術強化建設 蘇揆盼成國際級生醫創新研發樞紐 經濟日報(臺灣)
廣達(2382)集團董事長林百里今(30)日表示,身為一名工程師,他對智慧醫療抱持著一個夢想,就是希望能利用資料導向、醫師導向及病人導向等三個智慧醫療平台,促成台灣線上與線下醫療的整合。
美國政府機構採用的SolarWinds Orion平台遭駭震驚全美,全世界也因此更加關注所謂的供應鏈攻擊。這類的攻擊早已橫行多年,但所有攻擊都會不斷演化,而軟體開發供應鏈包含許多階段,每個階段都可能遭到襲擊,因此更加危險。
刑事局反詐學堂抽大獎 5千粉絲熱情響應 內政部警政署警察廣播電台
刑事局與知名咖啡商合作舉辦「反詐學堂你問我答闖關活動」吸引上千粉絲搶答,今天下午更在CIB局長室臉書直播與粉絲互動提升防詐功力吸引5千多名粉絲留言,3名幸運粉絲抽中大獎。
專為工控設備安全量身設計 資策會資安所ICTD平台助企業強化防護力 iThome
在全球政府大力推動社會數位轉型風潮下,經濟部技術處洞悉工控設備扮演關鍵性角色,然安全性問題亦成為備受重視課題,因此,以科技專案來支持資策會資安科技研究所(資安所)研發ICTD資安監控服務,改善工控設備的安全性問題,扮演社會數位轉型的後盾。
捐款人遭駭個資騙錢今年財損達9.4億 公益團體募款雪上加霜 自由時報電子報
國民黨立委林奕華、民進黨立委邱泰源今偕多個社福團體開記者會揭露,近期有駭客入侵公益團體的中介網路軟體公司竊取捐款人個資,再以解除分期名義詐騙,今年的新型社群投資詐欺案件比去年同期增加1215件,財損高達9.4億元,疫情期間社福團體募款不易,盼大家小心之餘也繼續支持。刑事警察局、調查局表示,偵查不公開,但已全力偵辦中。