本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- IoT+勒索病毒:駭客癱瘓企業的祕方
- 分析惡意程式所用的 SSL/TLS 憑證
- 如何保護智慧家庭 IoT 裝置、路由器與智慧喇叭?
- 如何保護你的網路遊戲帳號?
- 黑五購物節網路詐騙開跑,別等開箱才後悔!
- 如何從Chrome、Firefox和Edge換掉Bing?
- 假任天堂網站為「黑五購物節」暖身!
- 免費股票交易和投資平台 Robinhood 遭駭,700萬用戶資料外洩
- 爸媽為何要知道「CD9」?「I’m dead」≠我死了,「Gucci」不只是名牌,50 個英文最潮流行語
資安新聞精選
媒體資安重點新聞:
「老同學早安!」熱情加LINE好友邀投資 匯款痛失千萬 聯合新聞網
逾4千家線上商店沒修補Magento已知漏洞,導致客戶刷卡資料曝光 iThome
iPhone用戶隱私遭侵害 蘋果控告以色列間諜軟體製造公司 台灣蘋果日報網
2021 最常用密碼排行榜揭曉!台灣人最愛前 3 名都有「這組數字」 自由時報電子報
駭客正利用微軟Exchange Server漏洞於企業內部寄送惡意文件 iThome
看好雲端軟體市場 趨勢科技啟動四大領域、徵才計畫 經濟日報網
趨勢科技預警:汽車駭客鎖定車用公版系統伺機埋入惡意程式,臺灣汽車供應鏈業者需留心 iThome
電子看板竟播不雅片 麗寶樂園:疑遭駭客入侵 中央通訊社
元宇宙資安真相:廠商攔隱私,駭客劫個資 科技新報網
元宇宙討論熱度高 台灣仍缺乏法規管制 公視新聞網
自由日日shoot》買來路不明個資 當心吃官司 自由時報電子報
【詐騙】人才招募轉職服務?徵高起薪行政外匯助理?卻要你操作虛擬貨幣,誘使進入假投資詐騙圈套 LineToday
研究人員繞過微軟11月的修補,發布概念性驗證攻擊程式 iThome
搶占PC市場 高通攜手微軟推Windows on Snapdragon PC開發者套件 CTWANT
Windows更新後傳災情!微軟建議用戶下載最新版本 新頭殼
微軟推出可用來建構即時網頁應用程式的Azure Web PubSub服務 iThome
微軟開源多語言分散式機器學習函式庫SynapseML iThome
桃機與調查局簽署合作備忘錄 攜手資安聯防 中央通訊社
VMware在AWS市集上架Tanzu和Carbon Black Cloud跨雲服務 iThome
GoDaddy的WordPress代管服務被非法存取兩個月 iThome
校園內暗藏挖礦廠 桃園光啟高中資訊技正竊電被起訴 自由時報電子報
詐騙網站太多 工信部約談阿里雲百度雲 中央通訊社
日益迫切的金融業資安風險 工商時報電子報
美國法規要求銀行需在36小時內通報網路攻擊事件 iThome
Tesla伺服器大當機 全球電動車車主紛傳災情 電子時報網
adidas將SAP環境遷移至AWS,實現核心業務數位轉型 iThome
最新研究:SophosLabs 發現 BazarBackdoor 操作者濫用 Windows 10 應用程式安裝程式來傳播惡意軟體 ── 一種在攻擊中很少見的新手法 iThome
駭人者,人恆駭之! 中國駭客遭北韓鎖定以竊取駭客技術 台灣蘋果日報網
關心兒少身心健康 社交平台推保護機制 中時電子報網
Instagram 打擊假帳號,將要求用戶自拍影片驗證身分 科技新報網
交友×PUA×假投資:分解「沉浸式詐騙」手法,你需要的4個反制手段 報導者
聯卡中心規劃區塊鏈+FIDO身分認證 工商時報電子報
Appier一口氣招聘上百名工程師、資料科學家與Martech人才,更引進職涯階梯框架讓員工適性發展 iThome
安永重塑行業未來調查:疫情影響 52% 企業增加對 5G 投資興趣 網管人
美、英、澳共同發聲:伊朗駭客正在開採微軟Exchange及Fortinet漏洞 iThome
王浩宇控品田牧場「個資外洩太扯」 假客服連用餐時間都清楚 ETtoday新聞雲
鴻海建電動車聚落 徵才千人 經濟日報網
網路攻擊增加 近七成企業有感 工商時報電子報
Chrome 96來了,Back-Forward Cache進駐桌面版 iThome
面對日益嚴峻的資安威脅,臺高科技業商討資安治理作為與產業聯防 iThome
GitHub修補可讓駭客更新任何套件的Npm漏洞 iThome
「老同學早安!」熱情加LINE好友邀投資 匯款痛失千萬 聯合新聞網
詐騙集團近期在通訊軟體上隨機加入好友,自稱「老同學」邀約投資虛擬貨幣、外匯等投資平台顯示獲利取信,騙取民眾上千萬元,刑事局也建議民眾可下載趨勢科技防詐達人電腦版及手機版,辨識可疑網站。
逾4千家線上商店沒修補Magento已知漏洞,導致客戶刷卡資料曝光 iThome
英國國家網路安全中心發現4千多家遭駭的線上商店中,多數業者因為沒升級電子商務平臺系統進行安全更新,而被駭客成功開採電商平臺Magento等系統的已知漏洞,可能造成客戶的財務損失以及個資淪落黑市。
iPhone用戶隱私遭侵害 蘋果控告以色列間諜軟體製造公司 台灣蘋果日報網
美國蘋果公司23日宣布已對以色列網路業者NSO集團及其母公司OSY科技公司提告,因為該公司開發的「飛馬」間諜軟體,可能用於竊取iPhone用戶的手機資料,侵犯用戶隱私。
2021 最常用密碼排行榜揭曉!台灣人最愛前 3 名都有「這組數字」 自由時報電子報
NordPass 共蒐集 4TB 的外洩資料檔案,統計最常見的密碼,第一名的是「123456」全球至少超過 1 億人都是如此設定,加長版的「123456789」則名列第二,累積仍高達 4600 萬以上,第三名則是「12345」。英文字母方面以順著鍵盤按的「qwerty」最高,其次是 password。
Meta宣布,為臉書Messenger及Instagram用戶訊息加密的計劃將延後至2023年,由於兒童安全專家警告,加密技術會讓執法機關和服務供應商難以追蹤和調查可能的兒童施虐者,讓他們在網路上不容易被發現。
駭客正利用微軟Exchange Server漏洞於企業內部寄送惡意文件 iThome
趨勢科技於上周指出,研究團隊分析了幾個發生在中東的Squirrelwaffle感染案例,相信駭客同時使用了ProxyLogon與ProxyShell攻擊程式,滲透企業的Exchange Server,再濫用其回覆郵件的功能讓受害者上勾。
看好雲端軟體市場 趨勢科技啟動四大領域、徵才計畫 經濟日報網
全球網路資安解決方案領導業者趨勢科技宣布,為回應未來全球雲端軟體服務市場發展榮景,正式啟動近年來最大規模人才招募計畫,預計開放包含「雲端開發」、「軟體開發」、「DevOps 工程師」、「資料科學家」等四大熱門領域共500個職缺,積極向有志於朝向軟體領域發展的人才招手。
趨勢科技預警:汽車駭客鎖定車用公版系統伺機埋入惡意程式,臺灣汽車供應鏈業者需留心 iThome
趨勢科技鎖定過去30起駭客入侵汽車攻擊手法發現,駭客最喜歡設法「讓汽車失控」,最近半年有許多汽車駭客開始鎖定車用公用系統,希望能趁機埋入後門程式,而全球有95%車用零組件供應鏈業者在臺灣,都應該對此汽車駭客攻擊手法謹慎以對。
電子看板竟播不雅片 麗寶樂園:疑遭駭客入侵 中央通訊社
麗寶樂園探索世界電子看板21日下午疑似遭駭客入侵,看板出現不雅片的片段,麗寶樂園22日表示,嚴正譴責駭客散播不雅影片行為,已報案進入司法偵查程序。
勒索病毒(Ransomware)攻擊賴以生存的要素包括即時性、致命性與不可逆性。而駭客在勒索病毒攻擊行動當中加入物聯網元素,可藉由骨牌效應來放大攻擊效果,尤其是對關鍵基礎架構的衝擊。不僅如此,物聯網裝置更擴大了企業的受攻擊面,讓勒索病毒有更多入侵機會,這些都會讓營運中斷的問題加劇。
元宇宙資安真相:廠商攔隱私,駭客劫個資 科技新報網
由於 Metaverse 元宇宙被視為 3D 版的次世代網際網路,所以不但會完全承接當前網際網路上的各種安全威脅與漏洞,預計駭客也將會很快發展出元宇宙專屬的各式攻擊。但最可怕的是,元宇宙安全威脅的來源不僅止於駭客,連廠商也會大張旗鼓地湊一腳,他們會舉起提升服務及體驗品質的大旗,間接地和駭客分頭造就出一個毫無個人隱私的 3D 數位國度。
元宇宙討論熱度高 台灣仍缺乏法規管制 公視新聞網
元宇宙在近來討論熱度高,但也有學者指出台灣擁有先進的軟硬體基礎建設,但對於數位社會的管制規範卻呈現牛步化,建議要加速跨部會溝通了解,讓資訊安全及隱私有保障。
自由日日shoot》買來路不明個資 當心吃官司 自由時報電子報
購買並營利使用不法取得的個人資料,有沒有違法?曾任檢察官的律師鄭遠翔分析,補教業者明知個資不應成為買賣標的,卻認為可以花錢買到,顯然其可以預料是非法取得的資料,若能證明駭客竊取個資是源於補教業者的「要約」甚至教唆,則補教業者購買個資的行為,可能會被認定是刑法妨害電腦使用罪或違反個資法的共犯。
【詐騙】人才招募轉職服務?徵高起薪行政外匯助理?卻要你操作虛擬貨幣,誘使進入假投資詐騙圈套 LineToday
你也在網路找工作嗎?看到高額的「人才招募轉職服務」、「就業補助計劃」的社群貼文嗎?還一堆人留言「想瞭解」,要當心這些詐騙圈套了!近期有許多打著徵才名義,以轉職就業補助、高時薪月薪吸引民眾注意,民眾主動連絡後便聲稱在找行政外匯助理,要求幫忙操作假投資平台,部分甚至冒名知名企業,其實都是誘導假投資的詐騙圈套唷!
11月26日就是黑色星期五(Black Friday)購物節,當初由美國零售店家帶頭舉行的降價促銷活動如今已遍及多國,不少消費者會把握時機大肆採購。資安專家提醒,這段期間也是詐騙集團活動最熱絡之時,甚至還有名為Friday 13th的電腦病毒,民眾可透過7招識別詐騙網站,避免淪為受害者。
研究人員繞過微軟11月的修補,發布概念性驗證攻擊程式 iThome
微軟在今年11月9日修補的CVE-2021-41379漏洞,已被揭露它的安全研究人員Abdelhamid Naceri繞過,而且Naceri還在本周透過GitHub公布了開採該漏洞的概念性驗證程式,他向《BleepingComputer》透露,是因為不滿微軟抓漏獎勵專案的獎金不斷調降才有此一行動。
搶占PC市場 高通攜手微軟推Windows on Snapdragon PC開發者套件 CTWANT
在手機晶片市場已經占有一席之位的高通(Qualcomm),如今把目標瞄準個人電腦市場,宣布為搶攻個人為Windows on Snapdragon PC 推出開發者套件(Snapdragon Developer Kit),打開對獨立軟體供應商的大門,未來搭載Snapdragon晶片的個人電腦的,將具備常時啟動、常時連網的使用體驗。
Windows更新後傳災情!微軟建議用戶下載最新版本 新頭殼
近期微軟加速推送 Windows 11 更新的速度,但官方也承認了 2 項災情,包括藍白當機、程式不斷閃退或無法正常開啟,微軟建議,若是遇上此狀況,用戶可以嘗試透過重新安裝受影響的程式,或是等待微軟下一波更新修正。
微軟推出可用來建構即時網頁應用程式的Azure Web PubSub服務 iThome
WebSocket為一個標準化協定,能提供全雙工通訊,微軟提到,WebSocket是建構高效能即時網頁互動功能的關鍵,目前所有主要瀏覽器和網頁伺服器都已經支援該協定。而Azure Web PubSub讓用戶能夠使用WebSockets,以及發布訂閱模式,輕鬆地建構即時網頁應用程式,像是即時監控儀表板、跨平臺即時聊天,以及地圖即時位置等功能。
微軟開源多語言分散式機器學習函式庫SynapseML iThome
微軟發布分散式機器學習開源函式庫SynapseML,該函式庫的特色在於能夠大規模創建機器學習工作管線,SynapseML標準化各種機器學習框架,支援以不同的機器學習生態系元件,組成全新類別的機器學習系統。SynapseML讓開發人員,不需要擔心分散式機器學習工作管線的實作細節,在不需要更改程式碼的情況,就能簡單地部署至各種資料庫、叢集和程式語言中。
桃機與調查局簽署合作備忘錄 攜手資安聯防 中央通訊社
桃機公司今天與法務部調查局簽署「國家資通安全聯防與情資分享備忘錄」,期望透過合作有效運用雙方資源,提升桃機資安防護及對資安威脅事件處理能力,維持機場運作正常。
VMware在AWS市集上架Tanzu和Carbon Black Cloud跨雲服務 iThome
VMware增加用戶在AWS取用VMware服務的方便性與可用性,在AWS市集上架新的跨雲服務(Cross-Cloud),包括網路安全工具Carbon Black Cloud,以及應用程式現代化工具Tanzu。VMware的跨雲服務,賦予IT人員靈活部署工作負載的能力,像是更快地將工作負載搬遷上雲,或是加速應用程式現代化,甚至是以安全且高效的方式,將分散式工作資源連接到雲端。
GoDaddy的WordPress代管服務被非法存取兩個月 iThome
專門提供網域名稱註冊及網站代管服務的GoDaddy,在本周一(11/22)提交給美國證券交易委員會(SEC)的文件中指出,受該公司管理的WordPress環境自今年的9月6日到11月17日之間,遭到未經授權的第三方存取,波及了120萬名客戶。
校園內暗藏挖礦廠 桃園光啟高中資訊技正竊電被起訴 自由時報電子報
桃園市光啟高中36歲官姓資訊技正,涉嫌在學校儲藏室打造「挖礦室」竊電逾14萬元,桃園地檢署今偵結,認涉嫌重大,依竊盜罪嫌起訴;另,同校葉姓衛生組長雖協助維護設備,但因無前科,且犯後態度良好,予以緩起訴處份。
詐騙網站太多 工信部約談阿里雲百度雲 中央通訊社
根據工信部官方微博,工信部網路安全管理局和公安部刑事偵查局在約談中,通報了近期這兩家企業在防範治理電信網路詐騙工作中存在的接入涉詐網站數量居高不下等問題,要求企業切實履行網路與資訊安全主體責任,嚴格落實「網絡安全法」要求,對相關問題限期予以整改;拒不整改或整改不到位的,將依法依規從嚴懲處。
日益迫切的金融業資安風險 工商時報電子報
在後疫情時代,普羅大眾對數位化需求有增無減,資安風險也更加殷切。為統籌全國金融機構的資安工作進度,金管會先於去年公布「金融資安行動方案」,今年九月,金管會所屬銀行局、保險局及證期局也完成修法,明定符合條件的金融機構須設置「資安長」(CISO);以銀行業為例,須指派副總經理或職責相當的管理人員擔任此職,六個月緩衝期屆滿後,38家本國銀行的資安長都要到位。
美國法規要求銀行需在36小時內通報網路攻擊事件 iThome
美國聯邦存款保險公司、貨幣總稽核辦公室及聯邦準備理事會公布《網路安全通知最終規則》草案,規定金融業者如何向主管機關通報網路安全事件。
Tesla伺服器大當機 全球電動車車主紛傳災情 電子時報網
根據Electrek報導,許多人將智慧型手機用於解鎖和啟動Tesla電動車。Tesla車主還能透過Tesla App使用許多控件。但美國和加拿大Tesla車主在11月19日遭遇App連線完全中斷的問題。Electrek在11月19日下午稍晚接到幾份車主回報該問題,有4名Tesla車主無法透過Tesla App連線到其電動車。
adidas將SAP環境遷移至AWS,實現核心業務數位轉型 iThome
AWS宣佈全球最大體育品牌之一的adidas選擇AWS作為其SAP工作負載的首選雲端供應商,將SAP環境遷移至AWS並構建現代化的SAP S/4HANA平台。在AWS雲端執行關鍵業務的SAP工作負載,將使adidas能夠將價值鏈上的核心業務流程數位化,提供更好的顧客體驗,成為更卓越的資料驅動型企業,並支援直接與消費者互動的新商業模式。
最新研究:SophosLabs 發現 BazarBackdoor 操作者濫用 Windows 10 應用程式安裝程式來傳播惡意軟體 ── 一種在攻擊中很少見的新手法 iThome
SophosLabs 研究人員發表了一篇部落格文章,詳細介紹 BazarBackdoor (或稱 BazarLoader) 惡意軟體家族所發起的新攻擊,而該攻擊始於一個針對性很強的惡意垃圾郵件活動。據 SophosLabs 研究人員稱,該活動透過一種新穎的機制來傳播惡意軟體:濫用 Windows 10 應用程式安裝程式使用的 appxbundle 格式,而這種手法似乎尚未被廣泛使用。
駭人者,人恆駭之! 中國駭客遭北韓鎖定以竊取駭客技術 台灣蘋果日報網
根據美國媒體報導,北韓國家級駭客因承受替國家賺錢的巨大壓力, 現在正針對中國國家級駭客下手,希望從中國同行手中,竊取更好的駭客技術與工具。
「黃金策略」、「複利計畫」、「強勢飆股」、「虛擬貨幣」⋯⋯這些看起來誘人的投資宣傳方案,像從天而降的一紙古老藏寶圖,在疫情之下大量地透過社群平台、通訊軟體、傳統簡訊,發送到許多人的手機裡,暗示只要跟著指示就能獲得財富。
關心兒少身心健康 社交平台推保護機制 中時電子報網
根據兒福聯盟調查,今年因疫情影響,學校課程轉往線上教學後,七年級到高三的兒少每周上網時間高達到42.7小時,而iWIN「110年兒少使用網際網路行為觀察報告」也顯示,11至18歲青少年高達9成以上擁有自己的行動裝置,如今保護兒少資安是家長的新課題。對此,Instagram攜手兒福聯盟推出「Instagram家長指南」,協助家長了解Instagram,與孩子接軌。
Instagram 打擊假帳號,將要求用戶自拍影片驗證身分 科技新報網
為了打擊殭屍帳號和冒用他人的假帳號,Instagram 將會要求一口氣追蹤大量帳號、在短期內向大量貼文按讚的可疑帳號,提供自拍影片去確認帳號是由真人登記和使用。而社群媒體顧問 Matt Navarra 對這項新措施表示憂慮,擔心 Instagram 藉此收集用戶的臉部特徵。
交友×PUA×假投資:分解「沉浸式詐騙」手法,你需要的4個反制手段 報導者
本篇報導為《報導者》根據6位受害者親身經歷,還原人們遭網路詐騙的過程,並於文末指出破解歹徒圈套的建議,其中建議民眾可透過趨勢科技防詐達人,檢查可疑網站、LINE ID是否已有民眾回報,第一時間破解詐騙集團的假身分。
聯卡中心規劃區塊鏈+FIDO身分認證 工商時報電子報
疫情改變購物習慣,針對網路數位交易使用者身分確認不易,聯合信用卡處理中心研議規劃以信用卡為載具導入區塊鏈技術、結合FIDO生物辦識共通標準,並運用EMV 3DS網路交易驗證的身分識別機制,使身分識別訊息具可信度及不可否認性,確保資料安全並無法被篡改,讓民眾透過手機即可完成身分識別。
Appier一口氣招聘上百名工程師、資料科學家與Martech人才,更引進職涯階梯框架讓員工適性發展 iThome
臺灣AI新創獨角獸Appier展開大規模徵才,要招募上百名工程師、資料科學家與Martech人才,從實習生、新鮮人到資深開發人員全都有職缺釋出,更導入職涯發展階梯要讓人才適性發展。
安永重塑行業未來調查:疫情影響 52% 企業增加對 5G 投資興趣 網管人
根據「2021年安永重塑行業未來調查」顯示,71%受訪企業認為新冠病毒疫情加速了現有的數位化轉型計畫,52%企業表示對5G和物聯網(IoT)更感興趣。這項對全球1,000多家企業的研究發現,74%受訪者認為,未來5年將是重塑5G流程的機會。
美、英、澳共同發聲:伊朗駭客正在開採微軟Exchange及Fortinet漏洞 iThome
美國的聯邦調查局(FBI)、網路安全及基礎設施安全局(CISA)、澳洲的網路安全中心(ACSC),以及英國的國家網路安全中心(NCSC)在本周發表了共同聲明,揭露由伊朗政府所支持的駭客團隊正在開採Microsoft Exchange Server與Fortinet的安全漏洞,提醒各界應小心防範。
王浩宇控品田牧場「個資外洩太扯」 假客服連用餐時間都清楚 ETtoday新聞雲
民進黨前桃園市議員王浩宇21日在臉書PO文指控,幾個月前在台東的品田牧場用餐,前幾天卻接到假冒的客服電話,對方連他的用餐時間、餐點、金額都知道,「是不是有點誇張?」希望業者可以給出一個明確說法。
鴻海建電動車聚落 徵才千人 經濟日報網
鴻海將進駐新北市新店寶高智慧產業園區,打造電動車聚落,鎖定自動駕駛、智慧座艙等領域軟硬體設計開發,並將大舉徵才,目標要找上千名高階工程師,初期先招募超過250人,並將當地定位為集團軟體研發與半導體設計中心,全力衝刺電動車布局。
網路攻擊增加 近七成企業有感 工商時報電子報
勤業眾信聯合會計師事務所發布《2021年網路資安大調查》報告指出,在數位轉型加速發展下,近七成(69%)受訪企業表示,今年遭受的網路攻擊較往年有顯著增加之趨勢。
Chrome 96來了,Back-Forward Cache進駐桌面版 iThome
Google在11月15日釋出了Chrome 96,它在桌面版新增了Back-Forward Cache功能,改善了剪貼簿,也修補25個安全漏洞,卻也傳出Chrome 96讓Twitter等服務無法正常呈現。
面對日益嚴峻的資安威脅,臺高科技業商討資安治理作為與產業聯防 iThome
高科技業資安事件不斷,如何有效因應成為國內業者關注的議題,儘管多年來,資安界已經提出許多不同面向的資安防護策略,例如,資安標準的全公司導入與驗證,打造企業內部的CSIRT團隊,設置資安長,建立企業資安成熟度評估機制,以及紅藍隊攻防演練等,但如何持續強化資安管理與防護,仍是企業持續關注的議題。
GitHub修補可讓駭客更新任何套件的Npm漏洞 iThome
GitHub安全長Mike Hanley說明,第一個漏洞肇因於例行性的維護任務,在維護此一公開的複製Npm服務的資料庫時,所建立的記錄曝露了私有套件的名稱,因而允許使用者可自公開變更訊息中查看私有套件的名稱,但並無法存取套件的內容。