《資安新聞周報》駭客揭露哪些車最好偷? 這兩個品牌車主該注意/資安疑慮停區間測速 北宜車禍多7成/跌破眼鏡十大安全誤解 勒索軟體網路攻擊曝真/中國駭入Exchange Server漏洞訓練AI

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

小心 Email 遭監聽!微軟 Exchange 出現新「ProxyToken」重大漏洞     科技新報網

駭客揭露哪些車最好偷? 這兩個品牌車主該注意  tvbs新聞網

資安疑慮停區間測速 北宜車禍多7成       華視新聞

去年美國當地學校受到77次的勒索軟體攻擊,光是停機成本就損失66億美元  iThome

勒索軟體一年暴增35倍 每日逾1.7萬台設備遭威脅      工商時報電子報

釣魚郵件攻擊濫用網址重新導向、雲端服務與自動化真人檢測服務CAPTCHA iThome

跌破眼鏡十大安全誤解 勒索軟體網路攻擊曝真相  網管人

研究指駭客組織 BlackMatter 與 DarkSide 有合作跡象  科技新報

殭屍網路程式正試圖攻擊Realtek晶片SDK漏洞       iThome

21歲駭客偷T-Mobile 5千多萬客戶個資 還笑資安防護爛       世界新聞網

曼谷航空疑遭LockBit攻擊致客戶資料外洩       iThome

Facebook 詐騙頻傳如何防?一頁式商店賣台灣農產品,假冒媒體、名人招攬粉絲          科技新報網

印尼防疫追蹤程式曾有資安漏洞 恐影響130萬人  中央通訊社

趨勢科技偵測逾 1,300 萬次針對Linux 雲端環境的惡意程式事件          Media OutReach

趨勢科技在亞太、中東和非洲地區推出WeDiscover合作夥伴計畫以加速發現新商機 中央社      

Google可能付蘋果150億美元換取預設搜尋引擎地位    iThome

駭客重金誘惑,內部員工也必須零信任     iThome

事實查核/【錯誤】網傳「疫情期的一個新騙局:剛才朋友接到一個電話,問他若打過疫苗按1,?打按2。 他按下 1. 電話立即被封了,他的手機就被駭了」?     民視新聞網

別亂點!手機簡訊收到「包裹送達查詢網址」暗藏釣魚詐騙個資恐外洩          自由時報

使用公共Wi-Fi = 請駭客進門 國安局要求員工禁用     世界新聞網

加州男子用詐騙入侵數千iCloud帳戶,並搜刮高達42萬張私人照片     T客邦

「幽靈包裹」不請自來!拆開秒噴錢 警傳授防詐四招          台灣蘋果日報網

10/5微軟Windows 11 正式上架!新電腦優先升級 新頭殼

微軟Azure資料庫服務Cosmos DB含有安全漏洞,將外洩客戶的主要金鑰與存取令牌iThome  

微軟挖角AWS高層 雲端事業添翼     工商時報電子報

報告:中國駭入Exchange Server漏洞訓練AI    iThome

台灣微軟年度合作夥伴獎 遠傳大人物實力獲肯定  自由時報

保護資安!亞馬遜將為美 AWS 客戶免費提供 USB 安全金鑰          Inside

Chrome 94 測試版導入網頁開發新技術,升級雲端遊戲體驗   科技新報網

白宮提高美國資安預算 網路資安ETF強勢創新高   經濟日報網

首屆國際級工控資安評測出爐,5家業者響應,國內法人機構也參與     iThome

35%公部門資安人力短缺 國網中心前主任:高強度防護靠4重點培訓          台灣蘋果日報網

門禁系統資安標準制定大家談     全球安防科技網

馬斯克無聊公司 Loop 系統遭駭,地下隧道安全性堪慮          INSIDE

資安走向產業化 新創資服應運而生  經濟日報網

後疫情時代的未來工作趨勢:遠距辦公將成為新常態?          關鍵評論網

林百里:打造三智慧醫療平台  BTC會議登場 廣達董座建議運用IT技術強化建設 蘇揆盼成國際級生醫創新研發樞紐  經濟日報(臺灣)

軟體開發慎防供應鏈攻擊 補強弱點落實身分驗證  網管人

刑事局反詐學堂抽大獎 5千粉絲熱情響應  內政部警政署警察廣播電台

專為工控設備安全量身設計 資策會資安所ICTD平台助企業強化防護力          iThome

捐款人遭駭個資騙錢今年財損達9.4億 公益團體募款雪上加霜    自由時報電子報


小心 Email 遭監聽!微軟 Exchange 出現新「ProxyToken」重大漏洞     科技新報網

繼 3 月出現「ProxyLogon」漏洞之後,微軟 Exchange 又再度出現名為「ProxyToken」(CVE-2021-33766)的全新重大安全漏洞,未經身分認證的攻擊者能透過這個漏洞,存取並竊取目標受害者的郵件。         

<回到新聞條列重點> 

駭客揭露哪些車最好偷? 這兩個品牌車主該注意  tvbs新聞網

免鑰匙系統可以算做汽車便利科技的重要發明之一,從此開車不用掏出鑰匙遙控器,只需要到車子旁邊摸一下門把,就能夠自動解鎖上車。甚至也無須插入鑰匙啟動車輛,輕鬆按下啟動按鈕就好。但這項便利科技卻也引來駭客覬覦,問題來了,哪家的免鑰匙系統最容易被破解?根據駭客的說法,Honda與豪華子品牌Acura最需要注意。

<回到新聞條列重點> 

資安疑慮停區間測速 北宜車禍多7成       華視新聞

北宜公路車禍頻傳,光是今年1到8月死亡車禍多達7件,相較去年同期增加4件等於多了1倍。主要原因可能根測速照相有關嗎?之前取締超速的區間測速設備被爆出疑似資安有疑慮,廠商如果無法證明設備不是中國製的情況下,擔心有可能被監控,交通部之前要求設備要先下架,新北市長侯友宜呼籲,如果主管機關確認設備沒問題,希望能恢復區間測速執法,降低事故的發生可能。         

<回到新聞條列重點> 

去年美國當地學校受到77次的勒索軟體攻擊,光是停機成本就損失66億美元  iThome

過去勒索軟體駭客並不特別青睞教育單位,相關攻擊案件在2018年只有10件,但2019年就激增到96件,2020年也有77件,同時駭客也愈趨鎖定大型學校為目標。    

<回到新聞條列重點> 

勒索軟體一年暴增35倍 每日逾1.7萬台設備遭威脅      工商時報電子報

勒索軟體近期大行其道、攻勢連連,台灣餐飲業、科技廠紛紛中招。資安廠商Fortinet調查指出,勒索軟體的威脅在一年內成長35倍,且將於接下來的一年在全球更加普及,而在去年底,每天更有多達17,200台設備回報勒索軟體事件。Fortinet北亞區總經理陳鴻翔表示,在這一波攻擊中,台灣也正面臨著嚴峻的勒索軟體威脅,產業涵蓋範圍廣泛,包含醫療、教育、工業、政府機構等都難以倖免。         

<回到新聞條列重點> 

釣魚郵件攻擊濫用網址重新導向、雲端服務與自動化真人檢測服務CAPTCHA iThome

網路釣魚攻擊手法推陳出新,日前有攻擊者利用驗證真人與機器人的CAPTCHA機制,誘騙受害者下載金融木馬,而根據資安業者Greathon的統計,濫用Google Meet和Google DoubleClick等工具,重新導向到其他網站的釣魚攻擊手法,也日益升溫,如今攻擊者也將這些方法運用於釣魚郵件上。         

<回到新聞條列重點> 

跌破眼鏡十大安全誤解 勒索軟體網路攻擊曝真相  網管人

網路攻擊頻傳,勒索軟體橫行,這段時間很不平靜。Sophos Rapid Response團隊調查各種組織遇到的網路攻擊,列出了過去12個月內最常看到的一些安全誤解,並根據事件回應人員在第一線的經驗及觀察來解開每一個錯誤認知。         

<回到新聞條列重點> 

研究指駭客組織 BlackMatter 與 DarkSide 有合作跡象  科技新報

SophosLabs 的研究表示,BlackMatter 和 DarkSide 使用的勒索軟體有相似跡象,但並非完全一樣。BlackMatter 今年 7 月底出現,宣稱繼承 DarkSide 和 REvil 的技術,結合 LockBit 2.0,因此勒索軟體確實有上述工具的痕跡,如可讓被入侵的系統開放檔案權限,任何人都可存取文件,即使受害者付過贖金解鎖,檔案仍沒有安全設定,需重新設定權限。         

<回到新聞條列重點> 

殭屍網路程式正試圖攻擊Realtek晶片SDK漏洞       iThome

本月稍早安全廠商揭露瑞昱半導體的無線晶片SDK存在多項安全漏洞,影響65家IoT廠商,本周另外二家安全業者相信,已經有駭客盯上採用Realtek晶片的IoT裝置,企圖感染殭屍網路程式。       

<回到新聞條列重點> 

21歲駭客偷T-Mobile 5千多萬客戶個資 還笑資安防護爛       世界新聞網

在美國出生的21歲駭客賓斯(John Binns)偷走T-Mobile5000多萬客戶個資後,告訴華爾街日報說,T-Mobile的安全系統太爛了,他只利用一個簡單的工具,就突破了這家號稱有9000萬手機用戶的無線網路公司的路由器。    

<回到新聞條列重點> 

曼谷航空疑遭LockBit攻擊致客戶資料外洩       iThome

曼谷航空指出今年8月23日他們發現一樁網路攻擊事件,導致資訊系統遭到未授權人士不法存取。該公司強調一經發覺,已立即採取行動阻斷事件並著手調查。    

<回到新聞條列重點> 

Facebook 詐騙頻傳如何防?一頁式商店賣台灣農產品,假冒媒體、名人招攬粉絲          科技新報網

刊登贊助廣告的 Facebook 帳號、加上點擊進入的一頁式商店通常存有很多疑點。首先,帳號似乎成立不久,沒什麼貼文以及粉絲追蹤,販售的商品也不一定與該帳號的品牌名稱有關,當然也沒有通過 Facebook 官方驗證的「藍勾勾」驗證徽章;再者,那些一頁式網站並無販售業者的營業資料,提供的聯絡電話與電子郵件信箱,甚至是網頁中顯示的銷售紀錄、售後評價都不可信。    

<回到新聞條列重點> 

印尼防疫追蹤程式曾有資安漏洞 恐影響130萬人  中央通訊社

印尼先前用於防疫追蹤的手機應用程式因保密設計不足,發生資料可能遭竊的危機,恐有130萬人受影響,包括當時入境印尼的外國人。印尼衛生官員今天指出,已經展開調查。         

<回到新聞條列重點> 

趨勢科技偵測逾 1,300 萬次針對Linux 雲端環境的惡意程式事件          Media OutReach

截至 2017 年,90% 的公有雲都是在 Linux 上運作。根據 GartnerÒ 指出:「由於雲端原生架構日益受重視,令業界開始檢討未來數據中心內的伺服器虛擬化是否還有存在必要。其中最常被討論的就是以 Linux 作業系統為基礎的虛擬化,因為這是建構容器的基礎。    

<回到新聞條列重點> 

趨勢科技在亞太、中東和非洲地區推出WeDiscover合作夥伴計畫以加速發現新商機 中央社      

佈推出通路合作夥伴需求生成計畫——WeDiscover。這一不斷進化的需求生成計畫為通路合作夥伴提供精心設計的架構,以識別未開發的市場,調查新的收入來源,並促進銷售。新宣佈的WeDiscover計畫旨在幫助合作夥伴利用趨勢科技的解決方案,同時在他們迎合充滿活力的資安市場客戶需求的過程中,協助他們促使服務差異化,建立新的資安專業知識,並發展可獲利的業務。

<回到新聞條列重點> 

Google可能付蘋果150億美元換取預設搜尋引擎地位    iThome

根據一份分析師估計,今年Google可能付給蘋果150億美元,以換取成為Safari瀏覽器預設搜尋引擎,而在微軟威脅陰影下,明年可能還會增加。         

<回到新聞條列重點> 

駭客重金誘惑,內部員工也必須零信任     iThome

在8月底威力彩開獎前夕,由於頭獎上看27億元,引發全國熱議,因為疫情當前,許多自認在經濟上亟需紓困的民眾,自然很希望自己就是幸運得主,但這樣的現象,也不免讓人擔心是否會出現不惜代價、鋌而走險的行為,例如出賣企業或組織的機密資料,來換取金錢的狀況。         

<回到新聞條列重點> 

事實查核/【錯誤】網傳「疫情期的一個新騙局:剛才朋友接到一個電話,問他若打過疫苗按1,?打按2。 他按下 1. 電話立即被封了,他的手機就被駭了」?     民視新聞網

一、專家指出,通話中按指示輸入數字,並不會使手機被駭客入侵。二、專家提醒,很多詐騙集團會假扮銀行或電信業者,透過語音系統請使用者輸入號碼後,再引導使用者提供個資,因此民眾若接到來自銀行、電信公司等的語音電話,務必多求證。

<回到新聞條列重點> 

別亂點!手機簡訊收到「包裹送達查詢網址」暗藏釣魚詐騙個資恐外洩          自由時報

明明沒有在網路下單購物,手機簡訊近日卻突然收到通知:寫著包裹「商品已派發,預計送貨日期X月X日,且文末還附上查詢網址以zupoe.com為結尾」,不管有沒有訂購包裹,近期可得千萬特別留意別任意點擊簡訊的連結網址,因為新型高風險釣魚連結又開始在台灣流竄了!         

<回到新聞條列重點> 

使用公共Wi-Fi = 請駭客進門 國安局要求員工禁用     世界新聞網

駭客攻擊近期愈發頻繁且規模擴大,促使政府愈發重視資安;「紐約時報」報導,國家安全局(NSA)本月初曾向所有聯邦公務員、國防部文、武職人員、預備役及承包商發出「罕見而具體的警告」,要求員工避免使用公共Wi-Fi,以防裝置染上惡意病毒。  

<回到新聞條列重點> 

加州男子用詐騙入侵數千iCloud帳戶,並搜刮高達42萬張私人照片     T客邦

他一共蒐集到了超過62 萬張的私人照片和影片,但是令人驚訝的是,他不是利用漏洞或是什麼高明的駭客技術去達成的,也沒有攻破蘋果為 iCloud 預設的保護措施。但利用社交工程與網路釣魚方法,純粹利用騙術達成目的。    

<回到新聞條列重點> 

「幽靈包裹」不請自來!拆開秒噴錢 警傳授防詐四招          台灣蘋果日報網

網路購物已經成為現代人的習慣,但在網站留下消費紀錄,成為個資外洩管道,詐欺集團利用個資寄送假包裹,或是佯稱解除分期付款欺騙不知情民眾,台中市警察局刑事警察大隊經濟組呼籲,網購平台業者應提升資安防護等級、消費者遇到「幽靈包裹」一律拒收,且不要在簡陋的一頁式購物廣告」下單,才能避免被騙。    

<回到新聞條列重點> 

10/5微軟Windows 11 正式上架!新電腦優先升級 新頭殼

微軟今年6月發表最新Windows 11作業系統,時隔好幾個月,終於宣布將在10月5日正式上架,較新的電腦裝置將優先升級,之後會陸續提供給所有PC用戶進行系統更新。 

<回到新聞條列重點> 

微軟Azure資料庫服務Cosmos DB含有安全漏洞,將外洩客戶的主要金鑰與存取令牌iThome  

資安業者Wiz發現Azure Cosmos DB含有的安全漏洞,會導致用戶的主要金鑰與Notebook存取令牌外洩,尤其是過去曾啟用Jupyter Notebook服務,或是今年2月之後才建立Cosmos DB帳號的用戶。         

<回到新聞條列重點> 

微軟挖角AWS高層 雲端事業添翼     工商時報電子報

微軟近日挖角亞馬遜AWS雲端事業高層貝爾(Charlie Bell)擔任企業副總裁。儘管貝爾在微軟的職務內容尚未公開,但貝爾領導AWS長達15年且曾被視為AWS接班領導人,對微軟Azure雲端事業而言如虎添翼。   

<回到新聞條列重點> 

報告:中國駭入Exchange Server漏洞訓練AI    iThome

根據曾擔任國家情報官員的Evanina Security執行長提供的資訊,美國公共廣播電臺報導指稱中國為了蒐集發展AI所需的訓練資料,利用影響Exchange Server的ProxyLogon系列漏洞,大規模竊取美國民間及政府情資。    

<回到新聞條列重點> 

台灣微軟年度合作夥伴獎 遠傳大人物實力獲肯定  自由時報

台灣微軟今(27)日舉辦FY22微軟合作夥伴年會(Microsoft Partner Kickoff Conference),會中進行FY21台灣微軟年度合作夥伴頒獎典禮。遠傳電信自行開發的「CDP(Customer Data Platform)顧客數據平台」能協助客戶實現數據的價值,獲得「微軟年度最佳Data and AI合作夥伴」大獎,大人物(大數據、人工智慧、物聯網)實力備受肯定。    

<回到新聞條列重點> 

保護資安!亞馬遜將為美 AWS 客戶免費提供 USB 安全金鑰          Inside

亞馬遜(Amazon)將從今年 10 月起,為月花費超過 100 美元的美國客戶管理員帳戶(root account)提供免費 USB 安全金鑰(USB security keys),但拒絕透露將由哪些公司負責打造這些金鑰。     

<回到新聞條列重點> 

Chrome 94 測試版導入網頁開發新技術,升級雲端遊戲體驗   科技新報網

隨著 Google 公開 Chrome 94 測試版的產品細節,揭開導入如 WebCodecs、WebGPU 等開發標準,使得運用瀏覽器玩雲端遊戲的體驗將能變得更好。    

<回到新聞條列重點> 

白宮提高美國資安預算 網路資安ETF強勢創新高   經濟日報網

根據市場調查公司IDC研究,最近一年內,全球有37%的企業受到勒索軟體攻擊,平均贖金支付的金額近25萬美元,在龐大的資安威脅下,美國也拉高對國家資安的重視。美國總統拜登上周在白宮召開資安高峰會議,從科技到保險業等產業領袖承諾將投入數百億美元以強化資安,包括微軟與谷歌分別計畫在五年內投資200億美元及逾100億美元,美國聯邦政府也宣誓將提高資安預算金額。         

<回到新聞條列重點> 

首屆國際級工控資安評測出爐,5家業者響應,國內法人機構也參與     iThome

為推動工控資安產品的進步與發展,MITRE Engenuity舉辦了首屆ATT&CK for ICS評估計畫,並以2017年的Triton事件為攻擊設想,共有5家業者與機構參加,今年7月中旬評測結果已經公布。我國資策會也參加,希望汲取經驗推展國內業者投入工控資安並進軍國際市場。         

<回到新聞條列重點> 

35%公部門資安人力短缺 國網中心前主任:高強度防護靠4重點培訓          台灣蘋果日報網

近日,審計部的年度中央政府總決算審核報告指出,有高達35%、193個公務機關資安專職人力配置不足,短缺259人與數百張資安專業證照,其主因為員額限制、預算不足、或難望業界項背之薪俸。行政院將透過多管道方式逐步補強,並規劃分階段補足。    

<回到新聞條列重點> 

門禁系統資安標準制定大家談     全球安防科技網

繼影像監控系統(IP Camera、NVR/DVR、NAS)、智慧巴士資通訊系統(車載機、智慧站牌)等建立了完善的檢測認驗證制度後,門禁系統成為今(2021)年度工業局推動的物聯網資安標準制度標的。本文邀請到協助標準制定的資策會、台灣智慧安防工業同業公會及產業廠商,一起來談談對此的看法。         

<回到新聞條列重點> 

馬斯克無聊公司 Loop 系統遭駭,地下隧道安全性堪慮          INSIDE

馬斯克旗下的無聊公司 The Boring Company(TBC) 拉斯維加斯地下隧道系統 Loop 傳出遭駭。這一條通往賭城的康莊大道,價值 5300 萬美元的系統前陣子才在投資人面前亮相,TBC 對此事件表示並無人員傷亡,但並未就系統遭駭一事多做評論,也未公布後續系統漏洞的處理方式。         

<回到新聞條列重點> 

資安走向產業化 新創資服應運而生  經濟日報網

面對全球資安產業的演化,行政院資通安全處處長簡宏偉直指未來已是萬物聯網的生態圈,每個節點都有可能是資安潛在破口,因此資安已不再是過去單純防護的功能性框架,將進一步延伸擴大成風險管理服務,未來各產品、系統到產業都需要內建風險管理,並透過資安協助降低風險,推動資安走向各產業,所以資安服務類型與人才培育也都會有所改變。         

<回到新聞條列重點> 

後疫情時代的未來工作趨勢:遠距辦公將成為新常態?          關鍵評論網

根據McKinsey Global Institute的《The future of work after COVID-19》報告指出,在2020年疫情大流行期間,擾亂了全球勞工市場。而在後疫情時代,全球將近25%的人需要轉換工作跑道,遠程工作、電子商務和自動化方面的工作將會是未來趨勢。         

<回到新聞條列重點> 

林百里:打造三智慧醫療平台  BTC會議登場 廣達董座建議運用IT技術強化建設 蘇揆盼成國際級生醫創新研發樞紐  經濟日報(臺灣)

廣達(2382)集團董事長林百里今(30)日表示,身為一名工程師,他對智慧醫療抱持著一個夢想,就是希望能利用資料導向、醫師導向及病人導向等三個智慧醫療平台,促成台灣線上與線下醫療的整合。         

<回到新聞條列重點> 

軟體開發慎防供應鏈攻擊 補強弱點落實身分驗證  網管人

美國政府機構採用的SolarWinds Orion平台遭駭震驚全美,全世界也因此更加關注所謂的供應鏈攻擊。這類的攻擊早已橫行多年,但所有攻擊都會不斷演化,而軟體開發供應鏈包含許多階段,每個階段都可能遭到襲擊,因此更加危險。         

<回到新聞條列重點> 

刑事局反詐學堂抽大獎 5千粉絲熱情響應  內政部警政署警察廣播電台

刑事局與知名咖啡商合作舉辦「反詐學堂你問我答闖關活動」吸引上千粉絲搶答,今天下午更在CIB局長室臉書直播與粉絲互動提升防詐功力吸引5千多名粉絲留言,3名幸運粉絲抽中大獎。

<回到新聞條列重點> 

專為工控設備安全量身設計 資策會資安所ICTD平台助企業強化防護力          iThome

在全球政府大力推動社會數位轉型風潮下,經濟部技術處洞悉工控設備扮演關鍵性角色,然安全性問題亦成為備受重視課題,因此,以科技專案來支持資策會資安科技研究所(資安所)研發ICTD資安監控服務,改善工控設備的安全性問題,扮演社會數位轉型的後盾。         

<回到新聞條列重點> 

捐款人遭駭個資騙錢今年財損達9.4億 公益團體募款雪上加霜    自由時報電子報

國民黨立委林奕華、民進黨立委邱泰源今偕多個社福團體開記者會揭露,近期有駭客入侵公益團體的中介網路軟體公司竊取捐款人個資,再以解除分期名義詐騙,今年的新型社群投資詐欺案件比去年同期增加1215件,財損高達9.4億元,疫情期間社福團體募款不易,盼大家小心之餘也繼續支持。刑事警察局、調查局表示,偵查不公開,但已全力偵辦中。         

<回到新聞條列重點>