本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 爸媽為何要知道「CD9」?「I’m dead」≠我死了,「Gucci」不只是名牌,50 個英文最潮流行語
- 駭客使用新的 Linux 惡意程式攻擊 Huawei Cloud
- 「恭喜你獲得iphone」「你的iPhone已被嚴重損壞」跳出這11 種通知,表示你不小心訂閱了iPhone行事曆的垃圾行程
- 11月 17日 解除臉書好友日:五種建議刪除的FB 好友類型,你同意嗎?
- 一直跳出中毒警告,可能是你做了這件事
- 以更少的工具來降低 SecOps 風險並提升安全
- 強行闖入:車庫自動門安全測試
- 家庭物聯網是否會危及企業安全?
資安新聞精選
媒體資安重點新聞:
趨勢科技2022大未來:轉型成DevOps公司,營收從產品轉成SaaS為主 iThome
數位轉型催生資安需求 資產可視性為萬根之本 電子時報網
雲端架構漸普及 基礎架構複雜化之際該注意什麼? 電子時報網
趨勢科技研究:90% IT 決策者表示企業會犧牲網絡保安來達致其他目標 EZPR
打造現代化混合雲架構,金融業兼顧合規及創新需求 iThome
實作XDR平台功能 及時梳理駭客事件來龍去脈 電子時報網
【自駕車新顯學】汽車智慧座艙市場火紅 科技大老佈局多年等收割 鏡週刊
【詐騙】人才招募轉職服務?徵高起薪行政外匯助理?卻要你操作虛擬貨幣,誘使進入假投資詐騙圈套 MyGoPen
2021 平均年薪 65.6 萬元!疫情衝擊新鮮人起薪雙降 科技新報網
以HTML挾帶手法躲避偵測的網釣攻擊越來越多了 iThome
FBI外部系統遭駭寄出上萬封假郵件 官方證實「恐有網攻」! 自由時報電子報
Google揭露駭客利用macOS零時差漏洞攻擊香港使用者 iThome
Google人工智慧應用|Project Relate助語言障礙者清晰溝通 台灣蘋果日報網
新惡意程式BotenaGo具有開採超過30個安全漏洞的能力 iThome
iPhone 內容只有你自己能看,蘋果提交「隱私眼鏡」新專利 科技新報網
網路傭兵軍力曝光!趨勢科技揭露Void Balaur集團大量監控俄羅斯民眾 iThome
Meta與微軟攜手合作,整合Workplace及Microsoft Teams iThome
即將普及還是遙遙無期?一次盤點 8 大「元宇宙」臨場感難題 科技新報網
勒索軟體MirCop透過釣魚信入侵,並以殭屍圖片讓受害者心生恐懼 iThome
Nucleus Net TCP/IP堆疊13項漏洞影響眾多醫療器材、工業設備 iThome
全國中小學750萬筆學生個資 遭盜賣 自由時報電子報
自由日日shoot》駭客犯罪態樣多 最愛電子購物網 自由時報電子報
指控伊朗背後搞鬼! 美警告:駭客企圖侵入華府關鍵設施 自由時報電子報
遭美方制裁的資安業者Candiru對中東網站展開水坑攻擊 iThome
【Kylat Tech】不到一年就破解!PS5 被駭客團體攻破 INSIDE
英國點名俄中為資安主要威脅 AZ疫苗團隊飽受攻擊 中央通訊社
愛×騙×機器人:走進「交友詐騙」幕前幕後,揭穿以愛之名的養套殺騙局 雅虎奇摩
微軟緊急修補Windows Server臭蟲 iThome
台北通App恐遭歐盟重罰? 資訊局澄清:不適用 自由時報電子報
別點擊不明連結!名實況主揭「背後手法」:15年前的常識 三立新聞網
銀行防詐預警大趨勢論壇/強化IT實力 防堵金融詐騙 經濟日報網
邁向2030企業要保有世界級競爭力,BSI認為資安與永續是關鍵議題 iThome
雲林縣教育處網路遭勒索病毒綁架 全縣186所學校師生資料被鎖死 中時電子報網
前 HTC 團隊做出最佳 Android 手機,人才為何進 Google 變更強? 科技新報網
新世代資安 3 大挑戰:供應鏈安全、跨域聯防與思維轉型 科技新報網
安卓用戶有下載快刪除!7款免費App暗藏惡意木馬會「偷扣錢」 自由時報電子報
HPE的Aruba存取金鑰遭竊,客戶裝置資料曝光 iThome
趨勢科技2022大未來:轉型成DevOps公司,營收從產品轉成SaaS為主 iThome
趨勢科技執行長陳怡樺表示,趨勢科技打造整合性企業網路安全平臺,協助企業可視化數位資產和量化風險,今年第三季SaaS服務營收首度超過產品營收。
數位轉型催生資安需求 資產可視性為萬根之本 電子時報網
由資安業者趨勢科技舉辦的年度CLOUDSEC 2021高峰論壇於16日登場。趨勢科技執行長暨共同創辦人陳怡樺指出,COVID-19(新冠肺炎)疫情加速不同產業、組織的數位轉型,而在數位化的同時,資安也變得更為重要。
雲端架構漸普及 基礎架構複雜化之際該注意什麼? 電子時報網
當提及數位轉型,必然會想到雲端架構的運用,尤其在COVID-19(新冠肺炎)疫情的推波助瀾下,企業上雲的腳步更是因此加快。然而,在數位化與雲端的浪潮為企業帶來諸多效益。
趨勢科技研究:90% IT 決策者表示企業會犧牲網絡保安來達致其他目標 EZPR
指出全球 90% 的 IT 決策者表示其企業願意為了達成創新、數碼轉型、提升生產力或其他目標而犧牲網絡資訊保安。此外,有 82% 表示感受壓力而須在向董事會匯報網絡風險時淡化其嚴重程度。
打造現代化混合雲架構,金融業兼顧合規及創新需求 iThome
根據金管會公布之辦法修正案草案,金融機構將作業委託他人處理,涉及使用雲端服務時,需遵循八大項規定,此篇報導以Azure Stack HCI為例,說明將公有雲服務以容器打包到地端的執行流程。
當提及數位轉型,必然會想到雲端架構的運用,尤其在COVID-19(新冠肺炎)疫情的推波助瀾下,企業上雲的腳步更是因此加快。然而,在數位化與雲端的浪潮為企業帶來諸多效益之際,也為企業帶來更多需要顧及的資安問題。
實作XDR平台功能 及時梳理駭客事件來龍去脈 電子時報網
回顧8月中舉行的趨勢科技LetsTalk Online線上系列,當時提及重要概念,企業長期倚重的一套一套資安監測工具,好比各自獨立的資訊穀倉,很難橫向串聯所有訊息,完整勾勒駭客攻擊鏈;唯有借助「延伸式偵測及回應」(XDR),方能海納百川,從端點、E-mail、伺服器、雲、網路、IoT等不同Log理出頭緒,實現全面性威脅偵測。
【自駕車新顯學】汽車智慧座艙市場火紅 科技大老佈局多年等收割 鏡週刊
各產業看準智慧座艙大潮,包括鴻海集團、公信電子,以及大眾電腦,陸續都在相關領域傳出捷報,讓人感受到台廠已成全球智慧座艙市場崛起的新勢力,其中提到智慧座艙相關零組件領域廠商,包含趨勢科技也陸續在該領域插旗。
【詐騙】人才招募轉職服務?徵高起薪行政外匯助理?卻要你操作虛擬貨幣,誘使進入假投資詐騙圈套 MyGoPen
近期出現許多打著徵才名義,以轉職就業補助、高時薪月薪吸引民眾應徵,主動連絡後便聲稱在找行政外匯助理,要求幫忙操作假投資平台,其實都是假投資的詐騙圈套,趨勢科技也提醒網路上求職建議透過104 人力銀行、人力派遣公司,並且在應徵前實際前往該公司了解是否正常營運,若被要求錄取後先行提撥款項、或是郵寄繳交存摺、身分證等正本證件多為詐騙。
2021 平均年薪 65.6 萬元!疫情衝擊新鮮人起薪雙降 科技新報網
年終大盤點,104 人資學院在今日公布《2021~2022 台灣地區薪資福利調查報告》,揭露今年整體年薪平均 65.6 萬元,年增 1.6 萬元,創六年新高,但年中受到本土疫情衝擊,新鮮人成為最大受害者,學士、碩士起薪雙降,學士平均起薪 3.1 萬元、碩士平均起薪 3.5 萬元,為五年來首度下滑。
以HTML挾帶手法躲避偵測的網釣攻擊越來越多了 iThome
HTML挾帶是利用HTML5和JavaScript的高度隱匿攻擊手法。攻擊者製作挾帶惡意JavaScript的HTML網頁,並傳送含有URL或附檔的釣魚信件,誘使用戶點選並開啟附件。主流瀏覽器解碼JavaScript、載入網頁,從網站下載惡意程式,並在用戶裝置上組合成惡意檔案,如銀行木馬或勒索軟體。
FBI外部系統遭駭寄出上萬封假郵件 官方證實「恐有網攻」! 自由時報電子報
近日網路安全國際組織「Spamhaus Project」指出,有駭客入侵美國聯邦調查局(FBI)的外部系統,藉由FBI的信箱,寄出上萬封假電郵,警告外界可能有一起網路攻擊行動;FBI隨後也發聲明證實此事。
Google揭露駭客利用macOS零時差漏洞攻擊香港使用者 iThome
Google威脅分析小組在今年8月發現,某個國家支持的駭客集團攻擊了香港當地媒體以及民主團隊的官網,再開採一項蘋果今年9月修補的macOS漏洞,以於受害者裝置植入木馬。
Google人工智慧應用|Project Relate助語言障礙者清晰溝通 台灣蘋果日報網
Google今11/11日於線上舉辦Google Inventors活動,找來Google在AI工程、健康、軟體、AI量子等團隊的工程師,分享人工智慧、量子科學實驗室在醫學、洪水預測、計算領域的新應用。其中,展示Project Relate應用程式,如何協助語言障礙人士溝通;以及在健康醫學方面,透過人工智慧揪出乳房攝影X光片中的癌細胞研究。
新惡意程式BotenaGo具有開採超過30個安全漏洞的能力 iThome
AT&T的安全實驗室Alien Labs本周揭露了一個新的惡意程式BotenaGo,它以熱門的開源碼程式語言Golang撰寫,具備開採逾30種安全漏洞的能力,可能鎖定數百萬的路由器或IoT裝置,且在VirusTotal上的62款防毒軟體中,目前只有6款可偵測到它。
iPhone 內容只有你自己能看,蘋果提交「隱私眼鏡」新專利 科技新報網
美國專利商標局本週公佈了由蘋果提供的一項新專利,在這項專利技術中搭載了隱私保護功能,如果未來這項技術成真,iPhone 用戶可以透過配戴特殊的眼鏡設備來查看自己手機的內容。
網路傭兵軍力曝光!趨勢科技揭露Void Balaur集團大量監控俄羅斯民眾 iThome
趨勢科技針對網路犯罪集團Void Balaur發布調查報告,指出Void Balaur除了兜售俄羅斯民眾的機密資料,也受雇針對政治人物、情報機構前主管、記者與人權鬥士等特定對象進行網路攻擊。
Meta與微軟攜手合作,整合Workplace及Microsoft Teams iThome
Workplace定位為企業版臉書,它具備臉書的基本功能,包括動態消息、社團、聊天與直播等,另外它還整合了單一簽入與分析儀表板等企業功能,從2016年上線以來,該平臺已有超過700萬個付費的訂閱用戶。
即將普及還是遙遙無期?一次盤點 8 大「元宇宙」臨場感難題 科技新報網
不論元宇宙究竟是舊瓶新裝,還是終究無疾而終的話題炒作,在 Roblox、Meta / Facebook、Nvidia、騰訊、字節跳動、微軟及諸多遊戲及 VR / AR 裝置廠商推波助瀾下,已成「箭在弦上,不得不發」之勢,可確定的是,元宇宙正在進行,但發展初期有不少關鍵問題待解決,其中尤以如何兼顧技術、成本與可行性實現 3D 臨場感的體驗最關鍵。
勒索軟體MirCop透過釣魚信入侵,並以殭屍圖片讓受害者心生恐懼 iThome
駭客發動勒索軟體攻擊,不只加密檔案,還同時竊取受害者儲存於瀏覽器的帳密,並使用極為嚇人的圖片進行恐嚇。例如,資安業者Cofense最近揭露新的MirCop勒索軟體攻擊,駭客假藉先前曾經聯繫的名義,誘騙收信人打開附件檔案,進而觸發MirCop執行。
Nucleus Net TCP/IP堆疊13項漏洞影響眾多醫療器材、工業設備 iThome
資安廠商Forescout Research Labs和Medigate合作下,發現13項影響Nucleus TCP/IP堆疊的安全漏洞,類型橫跨遠端程式碼執行、阻斷服務攻擊及資料外洩,研究團隊將之總稱為Nucleus:13。
全國中小學750萬筆學生個資 遭盜賣 自由時報電子報
調查局台南市調查處今年七月獲報,有民眾利用指考完、補習班開始招生之際,持人頭電話兜售學生個資,經調查後發現,為補教業者夥同兩名駭客入侵各地教育局、學校網站,取得包括學生年級、班級、姓名、身分證號、父母姓名,甚至會考成績等個資,總共得手750萬餘筆,再以每筆10至20元轉賣給業者。
自由日日shoot》駭客犯罪態樣多 最愛電子購物網 自由時報電子報
務部歸類駭客偷個資可能衍生的犯罪,包括入侵政府機關網站,竊取機密文件,影響國安;入侵高科技產業系統,妨害電腦使用,盜取營業秘密,勒索高額贖金,甚至轉賣牟利,影響企業競爭力;個資販售給不法份子,進行電信詐欺、恐嚇、妨害名譽、散布個資、侵害隱私權或騷擾行為。
指控伊朗背後搞鬼! 美警告:駭客企圖侵入華府關鍵設施 自由時報電子報
美國聯邦政府週三(17日)與盟友英國和澳洲聯合發出警告,指伊朗政府資助的一個駭客組織正試圖利用「勒索軟體」(Ransomware)入侵美國幾個關鍵的基礎設施,企圖在「特定情況」下啟動軟體,對美國政府部門造成打擊。
遭美方制裁的資安業者Candiru對中東網站展開水坑攻擊 iThome
ESET觀察到去年至今有兩波網路攻擊,駭客在伊朗、葉門、敘利亞當地媒體及政府單位網站植入惡意程式,以試圖取得造訪網站用戶的系統權限,而相關攻擊使用的C&C伺服器及惡意網址註冊公司,都跟以色列資安業者Candiru有關。
【Kylat Tech】不到一年就破解!PS5 被駭客團體攻破 INSIDE
駭客組織 Fail0verflow 公布了一段程式碼截圖,稱已經破解 PS5 遊戲主機。不過索尼目前未對此回應,尤其在 PS5 產能仍吃緊的現在也許沒資源分神去提起訴訟。
英國點名俄中為資安主要威脅 AZ疫苗團隊飽受攻擊 中央通訊社
英國國家網路安全中心(NCSC)今天發布2021年度報告,不但點名俄羅斯與中國是主要的惡意行為者,且化解777起重大網攻,數量創歷年新高,多數涉及疫苗研發生產,牛津大學也受害。
愛×騙×機器人:走進「交友詐騙」幕前幕後,揭穿以愛之名的養套殺騙局 雅虎奇摩
根據媒體調查指出2021上半年,台灣受害者財產損失直逼新台幣9億元,幾乎是2020年全年被詐騙總額,除了監察院立案調查,警政署署長也高調召開記者會,呼籲國人提高警覺,其中趨勢科技全球消費市場開發暨行銷協理劉彥伯表示,對網路犯罪者來說,交友軟體在內的社交平台是進行社交工程最好的場域,能透過註冊人留下的個人資料、互動過程中主動揭示的隱私,進一步理解目標對象的喜好進行攻擊。
行政院國家資通安全會報最新資安月報顯示,駭客大量寄送含有釣魚網站連結的社交工程電子郵件,在10月政府機關資安聯防情資中比例高達45%,企圖透過網頁攻擊行為,騙取政府機關人員郵件的帳號密碼。
微軟緊急修補Windows Server臭蟲 iThome
根據微軟的解釋,此一驗證失敗源自於透過S4u2self所取得的Kerberos票證(Kerberos Tickets),被用來作為轉換協定的證據票證,並委派給簽名驗證失敗的後端服務。因此,在仰賴前端服務替使用者取得Kerberos票證以存取後端服務的Kerberos委派場景中,Kerberos驗證將會失敗。
台北通App恐遭歐盟重罰? 資訊局澄清:不適用 自由時報電子報
台北市政府力推「台北通」App,藉此收集約5000萬民眾個資,引發侵害個資及牴觸歐盟《通用資料保護規則》(GDPR)等疑慮。台北市資訊局解釋,台北通整合北市府核發各式卡證作為市政服務單一平台,嚴格遵守個資法規定,且運用範圍及內容並不在歐盟規範內,也無商業目的之資料監控或個人分析行為,不適用GDPR。
別點擊不明連結!名實況主揭「背後手法」:15年前的常識 三立新聞網
現今網路發達的時代,一個動作就很可能導致個人資料外洩。對此,知名網路實況主「魯蛋」就特別發文宣導觀念,「不要點擊任何不明連結,不要下載任何不明檔案!」並感嘆,大概是15年前的常識,沒想到2021年卻還是有很多人不知道,讓他非常驚訝。
銀行防詐預警大趨勢論壇/強化IT實力 防堵金融詐騙 經濟日報網
銀行遭詐騙手法不斷翻新,金融業無不卯足全力,強化IT資訊能力,加強徵信流程,以強化金融業防禦詐騙能力。經濟日報在11月4日舉行「銀行防詐預警機制大趨勢論壇」,邀請金管會副主委邱淑貞、美商鄧白氏台灣區總經理孫偉真、永豐金控法遵長林淑閔、安永諮詢執行副總經理曾韵參與討論。
邁向2030企業要保有世界級競爭力,BSI認為資安與永續是關鍵議題 iThome
在今年的英國標準協會(BSI)舉辦的國際資安標準年會上,BSI東北亞區總經理蒲樹盛指出,科技到了2030年將有更大變化,擔心資安而遲遲沒有進行數位轉型的公司,該採取行動,並指出2030年將有四大科技變化值得關注,包含行動網路進入6G時代、自駕車將實現Level 5水準、再生能源車在2030年將達市佔率20%、AI將成熟並提供服務機器人。
雲林縣教育處網路遭勒索病毒綁架 全縣186所學校師生資料被鎖死 中時電子報網
雲林縣政府教育處縣網中心本月4日遭駭客入侵,全縣186所國中小網頁被綁架無法開啟,不僅家長無法上網查詢公告,學校與師生的資料都被鎖死,教育處表示已救回8、9成資料,目前各校網頁由網管人員重新建構,並檢討後續資安防毒工作。
資安領導人終於接受了今日威脅情勢的現況,也就是改變自己的心態,假設駭客已經入侵,然後專注於資安事件的偵測及回應。然而,承認駭客早晚會入侵是一回事,但建置一套有效的資安營運 (SecOps) 應變措施又是另一回事。打造資安營運中心 (SOC) 只算完成了一半的工作,正如趨勢科技之前所證明的,您需要的是正確的工具,不然,您的分析師將被大量的警示通知所淹沒而不知如何過濾其優先次序。
前 HTC 團隊做出最佳 Android 手機,人才為何進 Google 變更強? 科技新報網
過去被形容為「雷聲大、雨點小」的 Google Pixel 手機,推出 5 年來,在北美市占僅不到 2%。但今年 10 月剛推出的最新系列手機 Pixel 6,卻頗有挑戰蘋果和三星兩大手機巨頭的意味。
新世代資安 3 大挑戰:供應鏈安全、跨域聯防與思維轉型 科技新報網
面對後疫情時代之數位經濟浪潮,物聯網 IoT、AI、5G 技術快速發展,強韌安全的數位應用已成為當下重要的顯學。TWNIC 財團法人台灣網路資訊中心及 TWCERT/CC 台灣電腦網路危機處理暨協調中心於 11 月 3 日線上、線下舉辦「2021 台灣資安通報應變年會」。TWNIC 李育杰董事長開場時提到,近來資安事件已從企業辦公室資訊設備延展到區域的基礎建設場域、通訊環境與工控設備等,其影響層面,已擴大到企業組織、國家層級的安全。
安卓用戶有下載快刪除!7款免費App暗藏惡意木馬會「偷扣錢」 自由時報電子報
據外媒PhoneArena報導表示,卡巴斯基旗下的安全研究人員近期在Google Play商店平台上,揪出7款免費App暗藏會偷扣款竊個資的「Joker」木馬病毒,呼籲已下載這些惡意App的安卓手機或平板用戶盡快從裝置中刪除。
HPE的Aruba存取金鑰遭竊,客戶裝置資料曝光 iThome
HPE與旗下的子公司Aruba Networks本周坦承,有一未經授權的第三方透過遭竊的存取金鑰,入侵了Aruba Central雲端管理網路,造成客戶的裝置資料外洩。
訂閱資安趨勢電子報,每日掌握資安趨勢
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上