本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- Flubot 變種假好心提醒安卓手機用戶安全更新, 當心銀行存款蒸發
- 電腦無法安裝 Windows 11 ?可能是兩個安全設定沒有開啟
- 允許了各種應用程式存取權限,之後才擔心「不知道資料會不會外洩?」
- 如何管理和組織 Google Chrome 的分頁?
- 聯合國車輛安全法規 UR R155 所列攻擊途徑的威脅模型,如何影響連網汽車演進?
- 什麼是零信任? IoT 與零信任 (Zero Trust) 不相容嗎?正好相反
- 你的電腦可以升級Windows 11嗎?
資安新聞精選
打假週報:
「你的包裹地址錯誤無法送達,請更新」假中華郵政包裹通知信,當心詐騙集團到你家 資安趨勢部落格
防五倍券詐騙 新北警提醒小心網拍、簡訊及解除分期 中時電子報網
詐騙稱系統被駭扣上萬…焦凡凡「神回應」她氣炸!狂飆15秒三字經 ETtoday新聞雲
領飆股先加LINE?小心陷入詐騙三部曲 經濟日報網
警民合作保住1億元!疫情期間詐騙不降反升 自由時報電子報
「網銀帳戶異常」他被騙走40萬!專家:連假到詐騙高峰期 三立新聞網
媒體資安重點新聞:
微軟提供 Windows 11 舊機「偷渡」升級法!但用戶將有 3 大風險 自由時報電子報
CLOUDSEC 2021 年會 掌握第一手的資安趨勢與產業實務 INSIDE
Windows 11 第一波更新釋出!修復網頁讀取太慢 Bug 自由時報電子報
微軟示範在無TPM、VBS硬體的電腦上,駭進自家Windows 11系統有多容易 T客邦
蘋果釋出iOS 15.0.2,修補已被開採的安全漏洞 iThome
IG新功能 關注青少年身心 經濟日報網
58%民族國家網路攻擊來自俄羅斯,伊朗攻擊以色列、北韓瞄準加密貨幣公司 關鍵評論網
Twitch資料外洩原因出爐,又是配置錯誤闖禍 iThome
Twitch驚爆遭駭 實況主收入看光光 LineToday
惡意程式設法關閉UEFI安全開機功能,並被用於間諜攻擊 iThome
Google 警告 1.4萬名 Gmail 用戶,恐淪為俄羅斯駭客 APT28 的目標 三嘻行動哇
微信、淘寶、QQ爆偷讀照片 微信回應:為方便用戶傳圖片 今日新聞
車輛網路安全ISO/SAE 21434標準出爐,確保產業從設計開始就考慮潛在威脅 iThome
2021上半年網路資安攻擊數量暴增 勒索病毒仍是企業資安主要威脅 網管人
OTP簡訊、來電顯示皆可駭 事件應變處置須防迂迴入侵電信系統未如想像中安全 資安防護仍應視為風險 網管人
Python勒索軟體鎖定VMware ESXi下手,起因與IT人員的管理不當有關 iThome
Android木馬程式感染千萬部手機 歹徒月入數百萬美元 網路資訊雜誌
第三方資安風險 6成企業沒把握 工商時報電子報
Google推分散式雲端服務,延伸基礎設施至邊緣和企業資料中心 iThome
1Password推出可與任何人分享密碼的Psst!工具 iThome
安全研究組織倡議修法保護白帽駭客 iThome
最快年底前上路 金管會護個資 強化三項監理 工商時報電子報
美國召集約30國談勒贖軟體攻擊 俄羅斯未獲邀 中央通訊社
四零四科技OT-NMS方案助智慧工廠提升OT網路管理效能及效率 電子時報網
微軟:Azure緩解了流量達2.4Tbps的DDoS攻擊 iThome
微軟10月Patch Tuesday修補71個安全漏洞,包含一個已被開採的零時差漏洞 iThome
VS Code的Python擴充套件強化Jupyter筆記本除錯功能 iThome
微軟與Nvidia發表全球最大含5,300億個參數的AI語言模型 iThome
微軟將關閉Excel 4.0巨集確保用戶安全 iThome
想升級微軟Windows 11?在中國你可能做不到 台灣蘋果日報網
微軟修補Azure Virtual Desktop妨礙安全更新的臭蟲 iThome
混合辦公一次到位,瑞昱半導體與微軟攜手建立營運與資安韌性 科技新報網
WSL現在廣泛支援GPU加速機器學習工作負載 iThome
「新品爆發潮」來了!蘋果、Google、三星發表會全在下週正面交鋒 自由時報電子報
科技日暖身 鴻海秀三款電動車 經濟日報網
Google宣布免費贈送一萬份實體金鑰給記者等高風險人士 提供更高等級的資訊保護服務 網路資訊雜誌
放棄密碼已成業界共識,Yubico 推出方便使用指紋辨識的硬體安全金鑰 科技新報網
中華電信攜手新竹臺大醫院建5G專網 攻5G智慧醫療 自由時報電子報
新版ISO 27002制定進度步入尾聲,距上次改版已8年的ISO 27001還沒動靜 iThome
5倍券官網原始碼有簡體字 經濟部坦言不妥 自由時報電子報
「網銀帳戶異常」他被騙走40萬!專家:連假到詐騙高峰期 三立新聞網
馬上就要到雙十國慶連假,很多人都規劃出遊或是在家好好休息,不過也要提醒您,每次連假都是詐騙集團犯案的時機,最常見的手法就是假裝網銀簡訊詐騙,甚至有人一個晚上就被騙走40萬!
防五倍券詐騙 新北警提醒小心網拍、簡訊及解除分期 中時電子報網
新北警局永和分局因應中央政府推出振興五倍券,使用信用卡、電子票證及行動支付等方式綁定及全國超商(市)受理預訂作業、領取,為防制不肖詐騙集團以通訊軟體,誘騙民眾聽從指示加入通訊帳號後,使個資遭盜用或遭詐騙匯款,並誤導民眾貼文詐騙振興五倍券,如民眾在網路社群平台發現貼文提及可協助預購五倍券或接獲來電宣稱五倍券申請流程出現錯誤,要求透過網路銀行或ATM解除分期付款等程序,其實都是詐騙集團企圖詐騙民眾手法。
詐騙稱系統被駭扣上萬…焦凡凡「神回應」她氣炸!狂飆15秒三字經 ETtoday新聞雲
藝人焦凡凡因經營YouTube走紅,近年活躍於綜藝節目,搞笑、無厘頭的風格廣受觀眾喜愛,私下也經常透過社群網站分享生活,作風親民不做作。她近日多次接到詐騙電話,對方謊稱系統被駭客攻擊,可能造成用戶被扣款上萬元,結果她一句回應直接把對方氣壞,忍不住笑翻。
領飆股先加LINE?小心陷入詐騙三部曲 經濟日報網
近來許多民眾反應在手機簡訊、臉書,或其他的社群媒體上,收到類似的 「加賴送飆股」訊息,不論是出於好奇或是想進一步了解的心態,一旦加賴,可能就已落入有心人的詐騙套路三部曲了。
警民合作保住1億元!疫情期間詐騙不降反升 自由時報電子報
警民合作!新北市警方統計今年度至今為止,有賴銀行、超商等積極協助阻詐,目前已累計保住民眾超過1億元財產。警方說,雖然疫情嚴峻連帶導致各項刑案發生數下降,但只有詐騙案類不降反升,各社群平台成為詐騙溫床,屢屢祭出「無風險、高獲利」話術讓民眾受騙,若遇類似情況務必三思。
微軟提供 Windows 11 舊機「偷渡」升級法!但用戶將有 3 大風險 自由時報電子報
儘管官方仍強調想升級 Windows 11,需要一定的硬體需求及標準,但微軟稍早仍在官網提供不同的更新及安裝方式,讓想要體驗 Windows 11 的用戶可能避開 TPM 2.0 及處理器型號等硬體檢查。
趨勢科技發布一項調查報告指出,全球企業機構平均約有 29 套資安監控工具,使得企業資安營運中心 (SOC) 作業過於複雜,無法有效過濾警示通知的優先次序並妥善管理資安風險。
CLOUDSEC 2021 年會 掌握第一手的資安趨勢與產業實務 INSIDE
2020 是加速數位轉型的一年,世界就在一夜之間發生了變化。而2021 則是典範移轉的世代,尤其未來急速轉變,光是上雲已不足夠,必須認真思考,打破既有框架,重新想像因應這日新月異的雲世代。
Windows 11 第一波更新釋出!修復網頁讀取太慢 Bug 自由時報電子報
這次 Windows 11 更新版本為 KB5006674,內部版本號 22000.258,主要修復了 Windows 11 的安全性,例如解決了 Intel(英特爾)Killer、SmartByte 網路軟體與 Windows 11 初始版本之間的支援性。
微軟示範在無TPM、VBS硬體的電腦上,駭進自家Windows 11系統有多容易 T客邦
因為硬體不相容的問題,很多舊電腦無法升級到Windows 11。但在同時,微軟也很矛盾的提供了官方解法,告訴你怎麼樣繞開安全檢查,去安裝Windows 11。不過微軟同時也警告用戶,這個方法必須「風險自負」。
蘋果釋出iOS 15.0.2,修補已被開採的安全漏洞 iThome
iOS/iPadOS 15.0.2修補的安全漏洞CVE-2021-30883,可能會允許應用程式以核心權限執行任意程式,蘋果坦承該漏洞已被駭客用來發動攻擊。
IG新功能 關注青少年身心 經濟日報網
全球社群媒體龍頭臉書(Facebook)表示,將在Instagram(IG)應用程式(App)推出好幾項新功能,促使青少年在使用時要先休息一段時間,且若青少年重複觀賞不利其身心健康的相同內容,還會溫馨提醒,以回應外界對於臉書和IG傷害青少年心理健康的批評。
58%民族國家網路攻擊來自俄羅斯,伊朗攻擊以色列、北韓瞄準加密貨幣公司 關鍵評論網
根據微軟的報告,所有來自民族國家的網路攻擊中,有58%是來自俄羅斯,除了俄羅斯以外,微軟從北韓、伊朗、中國也發現到大量的攻擊。令人憂心的是,「網路犯罪服務」在這幾年逐漸成為成熟的犯罪事業,任何人都可以線上購買網路犯罪服務甚至只需要66美元就能買一套工具。
Twitch資料外洩原因出爐,又是配置錯誤闖禍 iThome
駭客日前藉由網路論壇4chan釋出竊自遊戲影片串流平臺Twitch的125GB資料,Twitch除了證實該平臺被駭之外,也在6日公布了原因,指出是因為Twitch伺服器的配置變更錯誤所造成,而讓第三方得以存取內部伺服器。迄今Twitch仍在調查受駭範圍。
Twitch驚爆遭駭 實況主收入看光光 LineToday
亞馬遜公司旗下遊戲影音實況串流平台Twitch,是全球最熱門的遊戲直播平台,但爆出史上最大規模資料外洩,有多名實況主收益也被曝光,包括知名的企鵝妹、還有先前捲入販毒案的TOYZ等人的收益資料通通外洩,根據BBC的報導,這份高達100G的文件資料,是從2019年9月到2021年10月之間Twitch支付給直播主的分潤金額,專家懷疑駭客是為勒索不成,乾脆在網路公開資料,但消息一出也讓不少國內外的直播主相當緊張。
惡意程式設法關閉UEFI安全開機功能,並被用於間諜攻擊 iThome
透過電腦開機的統一可延伸韌體介面(UEFI)的攻擊手法,最近幾年被資安人員發現數個惡意軟體,且攻擊極為隱蔽而難以察覺、因應。例如,資安業者ESET於10月5日揭露新的惡意軟體ESPecter,它藉由EFI系統磁區(EFI System Partition,ESP),而能持續在受害電腦運作,讓攻擊者得以繞過Windows的驅動程式強制簽章機制(DSE),進而載入未簽章的驅動程式,以便進行其他攻擊行動。
Google 警告 1.4萬名 Gmail 用戶,恐淪為俄羅斯駭客 APT28 的目標 三嘻行動哇
據外媒《ZDnet》報導,Google 向 1.4 萬名 Gmail 用戶發出警示,通知他們成為俄羅斯駭客組織 APT28 的目標。Google 也將為高風險使用者提供一系列的網路安全保護功能,使用者不只透過密碼保護帳戶,更藉由雙重認證(2FA)提升資安水準。
微信、淘寶、QQ爆偷讀照片 微信回應:為方便用戶傳圖片 今日新聞
中國手機App私自瀏覽用戶文件、侵犯個人隱私時有所聞,近日又有App爆出隱私爭議。近日一名科技部落客爆料,稱微信(WeChat)、QQ、淘寶等多款中國App,在用戶未主動開啟App的情況之下,在後台數次讀取相簿,每次讀取時間最長達到1分鐘,在網路上引起熱烈討論。微信隨後回應,表示最新版本中將會取消該定期掃描用戶照片。但許多中國網友不買單,認為微信偷讀照片相當「噁心」。
車輛網路安全ISO/SAE 21434標準出爐,確保產業從設計開始就考慮潛在威脅 iThome
在車聯網的發展趨勢之下,網路安全的風險成無法迴避的挑戰,如何讓現今的汽車製造商與供應商能符合網路安全風險管理要求,ISO/SAE 21434標準受極大關注,此標準在8月底正式發布,將涵蓋車輛完整生命週期。
2021上半年網路資安攻擊數量暴增 勒索病毒仍是企業資安主要威脅 網管人
勒索病毒仍是今年上半年最主要的網路資安威脅,根據趨勢科技的偵測資料顯示,2021上半年勒索病毒攻擊以亞洲地區為大宗,占了全球的60%。其中銀行產業遭勒索病毒攻擊的數量較去年同期暴增 1,318%。
OTP簡訊、來電顯示皆可駭 事件應變處置須防迂迴入侵電信系統未如想像中安全 資安防護仍應視為風險 網管人
對所有關鍵垂直產業來說,電信基礎架構的整合是大勢所趨,這樣的整合也將延續到5G和6G所帶來的商機,影響範圍遍及技術、經濟和威脅攻擊面等層面。因此,IT與資安團隊必須隨時掌握IT資產不斷演進的風險。
Python勒索軟體鎖定VMware ESXi下手,起因與IT人員的管理不當有關 iThome
勒索軟體鎖定虛擬化平臺VMware ESXi下手的情況,陸續傳出災情。Sophos揭露一起以Python勒索軟體指令碼發動的攻擊事故,駭客不只加密檔案,為了增加復原難度,還在刪除原始檔案之前先覆寫資料。
Android木馬程式感染千萬部手機 歹徒月入數百萬美元 網路資訊雜誌
安全研究人員發現大規模惡意程式行動,至少從2020年11月就已經開始,迄今已散佈70多國,感染超過1千萬台Android智慧型手機,而且每月狠削數百萬美元。
第三方資安風險 6成企業沒把握 工商時報電子報
資誠PwC聯合會計師事務所12日發布《全球數位信任洞察報告》指出,60%的企業受訪者對第三方資訊洩露風險的了解程度有限,而20%企業幾乎是不了解第三方資訊風險。
Google推分散式雲端服務,延伸基礎設施至邊緣和企業資料中心 iThome
Google新推出的分散式雲端(Google Distributed Cloud)服務,建立在混合雲平臺Anthos之上,可將Google雲端基礎設施,擴展到網路邊緣和企業本地資料中心。
1Password推出可與任何人分享密碼的Psst!工具 iThome
1Password原本就允許用戶互相分享密碼,但若要與其他人分享密碼,絕大多數用戶都是透過口頭、紙條或是傳訊程式告知密碼,不過,1Password認為這樣的方式增加了資料外洩的風險,因而建立了Psst!工具,透過安全的密碼連結來與其他人分享密碼。
安全研究組織倡議修法保護白帽駭客 iThome
代表22國網路安全研究人員的法國非營利組織CyAN和零時差立法專案(Zero Day Legislative Project)倡議修改過時的電腦犯罪法令,讓通報安全漏洞資訊給廠商的研究人員,免於不合理的訴訟威脅。
最快年底前上路 金管會護個資 強化三項監理 工商時報電子報
金管會拚數位金融,也重視個資保護。為保護國人在銀行、保險、證券、期貨等金融機構與行動支付上的個人資料安全,建立行政院層級的個資外洩聯繫機制,金管會宣布修法,要求一旦有個資外洩時最慢要在72小時內需通報金管會。
美國召集約30國談勒贖軟體攻擊 俄羅斯未獲邀 中央通訊社
一名白宮高官表示,華府召集約30個國家於今明兩天一同開會,以強化對抗勒贖軟體的國際作戰,但俄羅斯未獲邀請。
四零四科技OT-NMS方案助智慧工廠提升OT網路管理效能及效率 電子時報網
為何工廠對OT網路管理越來越重要?四零四科技(Moxa)工業物聯網解決方案部產品行銷經理林昌翰指出,因應近年工廠導入AI、Big Data、雲端新科技,工廠自動化之後,設備與設備之間需要更多通訊,促使工廠的網路架構趨向複雜、通訊流與資料量變得更龐大。
微軟:Azure緩解了流量達2.4Tbps的DDoS攻擊 iThome
微軟本周揭露,今年8月Azure成功地緩解了針對一家歐洲客戶的分散式服務阻斷(DDoS)攻擊行動,且該DDoS攻擊的流量峰值達到2.4Tbps,也是Azure有史以來所偵測到的最大規模的DDoS攻擊。
微軟10月Patch Tuesday修補71個安全漏洞,包含一個已被開採的零時差漏洞 iThome
CVE-2021-40449漏洞存在於Win32k核心驅動程式,成功的開採將允許駭客讀取及寫入核心記憶體。卡巴斯基發現開採該漏洞的攻擊程式已衍生出許多變種,被駭客用來發動間諜行動。
VS Code的Python擴充套件強化Jupyter筆記本除錯功能 iThome
微軟釋出適用於VS Code的Python擴充套件10月更新版本,這個版本新增對Jupyter筆記本的除錯支援,並且改進了Python檔案和專案的除錯體驗,同時還加入新的Python引導教學,來指引新手上手Python開發。
微軟與Nvidia發表全球最大含5,300億個參數的AI語言模型 iThome
微軟和Nvidia合作研究語言模型,發表了目前最大的單體Transformer語言模型MT-NLG(Turing Natural Language Generation Model),具有5,300億個參數,作為Turing NLG 17B和Megatron-LM的後繼者,MT-NLG的規模是目前這類最大模型的3倍,能在完成預測、閱讀理解、常識推理、自然語言推理和詞義消歧等自然語言任務,提供極高的準確性。
微軟將關閉Excel 4.0巨集確保用戶安全 iThome
微軟即將於本月起更新Microsoft 365 Excel Trust Center巨集的設定,預設關閉Excel 4.0巨集。微軟預計10月底會先開始部署到Insider-Slow通道,11月初完成。而目前通道(Current Channel)11月初將開始部署,11月中完成。最後,每月企業通道(Monthly Enterprise Channel)版本,則預計於12月開始及完成部署。
想升級微軟Windows 11?在中國你可能做不到 台灣蘋果日報網
美國微軟公司周二(10/5)推出全新作業系統Windows 11,在全球掀起一片升級潮,不過在中國,許多用戶卻無法升級,因為他們的系統不支持或未啟動一種被中國政府禁止進口的信賴平台模組(TPM)晶片。
微軟修補Azure Virtual Desktop妨礙安全更新的臭蟲 iThome
安裝Win 10 Enterprise多連線1909平臺的Azure Virtual Desktop服務裝置,無法經由更新機制下載今年5月以後的更新,對此微軟釋出KB5005565以解決此問題。
混合辦公一次到位,瑞昱半導體與微軟攜手建立營運與資安韌性 科技新報網
疫情帶動全球半導體市場大幅成長、產能供不應求,及並未因疫情而停歇的資安攻擊頻傳,瑞昱半導體與台灣微軟與資訊解決方案廠商自由系統攜手合作,導入 Microsoft 365 E5 解決方案及「零信任」架構,階段性佈署 Microsoft Teams與資安解決方案,包括身分識別、端點防護、電子郵件、雲端環境等四大面向的全方位資安建置,並在行之數年的營運不中斷計畫(BCP)框架下實踐混合辦公目標。
WSL現在廣泛支援GPU加速機器學習工作負載 iThome
微軟宣布WSL(Windows Subsystem for Linux)中的GPU加速機器學習訓練支援,已經在Windows 11以及Windows 10 21H2正式提供。微軟在2020年中的時候,首次發布了這項新功能,經過了一年,微軟在過程中與AMD、英特爾和Nvidia中的科學家和工程師合作,使這項功能更為完善。
「新品爆發潮」來了!蘋果、Google、三星發表會全在下週正面交鋒 自由時報電子報
稍早蘋果、三星皆宣布將於下周 19 號舉辦發表會,將與 Google 搶焦點!罕見形成三大品牌連續兩天的新品發表熱潮,另外 Sony 在月底亦有新機發表會。
科技日暖身 鴻海秀三款電動車 經濟日報網
鴻海(2317)原訂下周一(18日)於科技日發表集團打造的C級距轎車、E級距轎車與電動巴士等三款電動車,昨(12)日提前在YouTube頻道上亮相,不僅外觀「全都露」,也秀出三款車種道路行駛的影像。
Google宣布免費贈送一萬份實體金鑰給記者等高風險人士 提供更高等級的資訊保護服務 網路資訊雜誌
由於愈來愈多攻擊針對知名人士與團體,包括記者及異議人士,Google將提供更進階的防護服務,並成立專門偵測與阻止「全世界手法最高明的網路罪犯」。
放棄密碼已成業界共識,Yubico 推出方便使用指紋辨識的硬體安全金鑰 科技新報網
Google 打從 5 月就對外宣布其根除密碼的計畫,並在週二表示其今年會在超過 1.5 億個帳號上強制實施 2FA 雙因素認證;上個月微軟帳號也開始支援無密碼登錄機制,再再顯示出協助使用者棄用密碼已成業界普遍共識。如今硬體安全金鑰商 Yubico 也響應這個新趨與訴求,並於週二推出該公司首支搭載指紋辨識登入機制的 YubiKey Bio 系列硬體安全金鑰。
中華電信攜手新竹臺大醫院建5G專網 攻5G智慧醫療 自由時報電子報
中華電信今日宣布,與新竹臺大分院攜手合作發展5G智慧醫療場域實證及創新應用合作,共同簽署「5G企業專網與智慧醫療實證研究合作備忘錄」,中華電信指出,在新竹臺大分院生醫醫院合作建置5G企業專網環境,實證5G智慧醫療應用,未來將結合雙方優勢資源與領先技術能量,共同加速推動5G智慧醫療服務。
新版ISO 27002制定進度步入尾聲,距上次改版已8年的ISO 27001還沒動靜 iThome
國際資安管理標準ISO 27001/ ISO 27002的上次改版發布,是在2013年10月前,近年來,ISO國際標準組織已著手推動改版計畫。例如,新版ISO 27002最終草案,已於今年8月23日開始登記,接下來就會進行版本投票,後續則將關注ISO 27001的改版時程。
5倍券官網原始碼有簡體字 經濟部坦言不妥 自由時報電子報
有網友發現五倍券官網的原始碼出現簡體字,質疑是否外包給中國及要求唐鳳政委說明一事,經濟部坦言原始碼註解出現簡體字樣確實不妥,並強調五倍券官網為關貿網路公司負責開發管理,與唐鳳政委無關,也無外包給中企。
訂閱資安趨勢電子報,每日掌握資安趨勢
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上