本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 明年3天以上連假有8個,駭客也在準備假期攻略?!
- 五種Disney+ 騙局強勢登台 ,如何保護自己?
- 何時該使用 VPN?
- IoT+勒索病毒:駭客癱瘓企業的祕方
- 分析惡意程式所用的 SSL/TLS 憑證
- 懷疑電腦中毒時該怎麼辦?不小心按了可疑連結,必須要做的兩件事
資安新聞精選
媒體資安重點新聞:
Twitter禁止用戶分享未取得他人同意的照片及影片 iThome
回撥電話手機資料秒被盜取?LINE瘋傳詐騙手法:接這組號碼要付7.9萬 中時電子報網
駭客滲透Ikea內部及供應商,寄送網釣郵件 iThome
芬蘭警告Android用戶要小心簡訊攻擊 iThome
中信薪轉戶爆金融卡遭盜刷,約140人受害!銀行回應:不法人士惡意測試卡號 數位時代
微軟新漏洞「所有Windows恐遭殃」 20秒就能駭入電腦權限 ETtoday新聞雲
Google 下架 151 款詐騙 App!騙你千元訂閱後立刻裝死 自由時報電子報
Google 企業雲端用戶也不放過!報告:86% 遭駭帳號被盜來挖礦 區塊客
「被下單」自動買港股 元大證、統一證複委託系統遭駭 自由時報電子報
又有駭客攻擊!期交所:接獲凱基期貨通報資安事件 自由時報電子報
Linux木馬CronRAT躲在2月31日行事曆中竊取電商消費者資訊 iThome
7.5萬人粉專被盜!肉骨茶店憂顧客受騙急報案 民視新聞網
台灣IT決策者難為!趨勢科技:企業資安風險大 自由時報電子報
全球超過500名特斯拉車主回報出現「500 Server Error」被鎖車外,網友:有些東西就不該經過網路 T客邦
偽裝方式更高明的三種木馬現身:採用多種迴避機制,用戶難以察覺異狀 iThome
資安威脅成為商業治理的關鍵風險 企業須積極調整商業風險管理策略 iThome
Google、蘋果雙雙因使用用戶資料在義被罰1,000萬歐元 iThome
別再縱容與擱置不當組態設定!Google發現這類高風險執行個體最快半小時就會遭侵入 iThome
這組號碼要注意!LINE瘋傳「接這通電話要付7.9萬」 三立新聞網
順時中竟個資外洩?1922傳詐騙簡訊 指揮中心回應了 tvbs新聞網
超過30萬Android用戶自Google Play下載了含有後門的行動程式 iThome
HP 推出更新修復安全漏洞,影響範圍涵蓋 150 款旗下多功能事務機 電腦王阿達
據傳中國駭客打算收集已加密的高價值資料,待量子電腦取得重大突破後立即解密 iThome
2021親子天下教育創新年會 12萬人線上線下共探SDGs 國立教育廣播電台
券商爆重大資安事件 金管會清查3家曾遭撞庫攻擊 中央通訊社
Panasonic證實網路遭駭 iThome
防下單系統遭駭!證券期貨單位成立應變支援小組24小時待命 ETtoday新聞雲
詐騙病毒、個資販賣猖獗!趨勢科技 PC-cillin 2022 防毒軟體推薦開箱體驗|行動安全防護、個資保鑣、勒索病毒|科技狗 科技狗 3C DOG
總統:台灣要打造被世界信賴的資安系統及產業鏈 中央通訊社
2025年全球數位轉型支出上看2.8兆美元 COMPUTEX年度系列論壇12月起跑 首場將聚焦數位轉型浪潮下資安發展趨勢 中央通訊社
金管會再修法,擴大要求千家上市櫃公司設資安長、資安專責單位 數位時代
逾20家四五星飯店遭殃! 全台最大票券商遭駭客竊個資 tvbs新聞網
聯發科語音晶片出現安全漏洞 !全球37%手機恐被竊聽 數位時代
全球包括台灣保險業 最擔心網路犯罪 工商時報電子報
駭客把華為AppGallery當跳板來散布木馬程式 iThome
傳蘋果警告泰社運人士 手機遭國家級駭客入侵 中央通訊社
Twitter禁止用戶分享未取得他人同意的照片及影片 iThome
Twitter原本的私人資訊政策,便嚴禁使用者分享未取得同意的他人個資,從地址、身分文件、電話號碼、金融帳號資訊、生物資訊或醫療紀錄等,也禁止使用者威脅要公布他人個資,本周則擴大到禁止使用者分享未取得他人同意的照片及影片。
回撥電話手機資料秒被盜取?LINE瘋傳詐騙手法:接這組號碼要付7.9萬 中時電子報網
近期在網路社群平台、通訊軟體流傳一則訊息,表示有詐騙會利用你回撥電話詐取錢財及個資,以及若接到這組手機號碼「0918-715-002」就會支付7萬9千元,引起民眾恐慌紛紛轉傳。而台灣事實查核中心解答,是有回撥境外電話的詐騙手法,但還做不到竊取手機資料,而且一定要用戶主動打過去才會被扣款,因此不可能接到電話就要付費。
駭客滲透Ikea內部及供應商,寄送網釣郵件 iThome
總部設於瑞典的居家用品製造商Ikea近日傳出遭到駭客鎖定,駭客藉由滲透Ikea、供應鏈及合作夥伴的電子郵件,在郵件中的回覆鏈上嵌入惡意連結,類似趨勢科技日前提出警告的攻擊模式。
芬蘭警告Android用戶要小心簡訊攻擊 iThome
芬蘭的國家網路安全中心(NCSC-FI)在上周警告,駭客已針對該國用戶發動第二波的FluBot簡訊攻擊行動,傳送夾帶連結的文字簡訊,誘導使用者連至第三方網站來下載惡意程式,進而竊取裝置資料或傳送其它的惡意簡訊。
中信薪轉戶爆金融卡遭盜刷,約140人受害!銀行回應:不法人士惡意測試卡號 數位時代
日前傳出某企業員工的中信薪轉戶出現金融卡遭到盜刷的狀況,銀行局副局長林志吉在30日表示,共有140張簽帳金融卡遭到盜刷,整體盜刷金額約3萬3000元,每張卡被盜刷金額約200多元。這次的盜刷事件,疑似是有不法人士隨機惡意測試客戶卡號、卡片有效日期等資料,試圖在網路上交易,中信指出,內部在偵測到異常狀況後,已經主動通知客戶,消費者務必隨時留意銀行消費訊息通知,並確實核對每月銀行寄送之對帳單。
微軟新漏洞「所有Windows恐遭殃」 20秒就能駭入電腦權限 ETtoday新聞雲
微軟傳出最新零日漏洞,根據資安團隊指出,此漏洞使攻擊者可透過一系列程式代碼,獲取管理員權限,外媒更釋出影片,證實20 秒駭客就能利用漏洞獲取電腦管理員權限。
Google 下架 151 款詐騙 App!騙你千元訂閱後立刻裝死 自由時報電子報
Avast 稱這系列詐騙為 UltimaSMS,由特定集團仿冒一系列工具 App,像是掃描 QR 碼、相機濾鏡、小遊戲等等,安裝後會自動檢查手機的所在位置、IMEI 碼,並進行詐騙的「在地化」設定,會更改使用的語言,以利用戶更加相信 App。
Google 企業雲端用戶也不放過!報告:86% 遭駭帳號被盜來挖礦 區塊客
據 Google 透露,資安團隊觀察到惡意行為者在受感染的雲端實例中進行加密貨幣挖礦,而且在最近被入侵的 50 個 GCP 實例中,竟有多達 86% 的帳號隨後被用於執行加密貨幣挖礦;也就是說,駭客將從挖礦中獲利,但被盜的受害者仍需為 GCP 服務付費。
「被下單」自動買港股 元大證、統一證複委託系統遭駭 自由時報電子報
複委託電子下單驚傳被駭!據了解,11月25日下午包括元大證券、統一證券等券商發現有異常的港股委託交易,確認非本人交易後,複委託交易改以人工接單;券商公會理事長賀鳴珩分析,複委託電子下單系統沒有第三方認證、太過簡易,再加上民眾將網路購物與金融交易的帳號密碼共用,只要一方被盜,連帶金融交易也會有問題!
又有駭客攻擊!期交所:接獲凱基期貨通報資安事件 自由時報電子報
臺灣期貨交易所今日表示,11月26日下午5點37分接獲凱基期貨資安事件通報,該公司網頁版交易平台疑似遭受駭客攻擊,凱基期貨表示已立即將駭客攻擊來源封鎖,並加強提醒客戶經常變更及妥善保管密碼,且近期憑證申請採人工加強驗證等措施因應,以確保客戶權益。
Linux木馬CronRAT躲在2月31日行事曆中竊取電商消費者資訊 iThome
由於年底是電商旺季,安全廠商發現多宗以竊取消費者信用卡資訊的惡意程式。安全廠商Sansec威脅研究小組繼上周揭露利用linux_avp可執行檔發動的網頁側錄(Web skimming)攻擊後,本周又公佈鎖定電商網站的最新惡意程式,名為CronRAT遠端存取木馬(remote access trojan,RAT)。
7.5萬人粉專被盜!肉骨茶店憂顧客受騙急報案 民視新聞網
使用社群媒體,看到不明連結最好不要點,以免被竊取帳號密碼。新北市板橋區一間馬來西亞人經營的肉骨茶店,7.5萬人按讚的粉絲專頁遭駭客盜帳號,還被對方盜刷信用卡,由於店家在網路上有販售肉骨茶「冷凍包」,就怕會顧客受騙,匯款給對方,店家趕快出面澄清,粉絲頁被駭,已經報案處理。
台灣IT決策者難為!趨勢科技:企業資安風險大 自由時報電子報
11月25日發佈的「資安威脅成為商業治理的關鍵風險 企業須積極調整商業風險管理策略」新聞稿,今日共監測到4則新聞露出,含自由時報電子報、CompoTech Asia 電子與電腦、電腦硬派月刊、台灣新論等,截至目前為止,4則露出。
全球超過500名特斯拉車主回報出現「500 Server Error」被鎖車外,網友:有些東西就不該經過網路 T客邦
不是出現這個「500 Server Error」,或者就是開啟畫面一直在那裡轉圈圈,根本無法連接到汽車。這一突發情況迅速在國內外多個社群平台引發熱議,各大媒體也接連報導。
偽裝方式更高明的三種木馬現身:採用多種迴避機制,用戶難以察覺異狀 iThome
使用木馬程式攻擊安卓用戶的現象,近來不時有事故發生,且手法越來越複雜,往往假冒應用程式來誘騙使用者安裝,且能躲避研究人員使用沙箱檢測,程式碼亦透過演算法混淆處理。但這些對於現在的木馬程式只是「基本款」,攻擊者也採用一些進階的手法來讓受害者蒙在鼓裡,不知道駭客正暗中竊密甚至是盜領存款。
資安威脅成為商業治理的關鍵風險 企業須積極調整商業風險管理策略 iThome
趨勢科技英國技術總監 Bharat Mistry 指出:「IT 領導人在董事會面前都會小心斟酌、避免過度繁冗或負面的發言,而且幾乎有三分之一的受訪者認為自己無時無刻都感受到這股壓力。然而,這只會讓高層領導人持續忽視此風險而讓情況繼續惡化。因此,我們必須透過新的方式來談論風險,讓資安成為驅動企業成長的基本動力,讓 IT 和企業領導人能彼此合作,畢竟他們其實都為了共同的目標而努力。」
Google、蘋果雙雙因使用用戶資料在義被罰1,000萬歐元 iThome
義大利競爭與市場管理署(Competition and Market Authority,CMA)於11月底完成對Google愛爾蘭分公司及蘋果(Apple Distribution International)的調查,並做出懲處。
別再縱容與擱置不當組態設定!Google發現這類高風險執行個體最快半小時就會遭侵入 iThome
網路攻擊者總是虎視耽耽尋找可趁之機。尤其是企業開始將應用搬上雲端。AWS執行個體因組態不當導致資料外洩的新聞屢見不鮮。Google Cloud發現,組態不當的執行個體,可能最快22秒就會被駭入,用來挖礦、代管惡意程式或是攻擊其他系統等惡意行為。
這組號碼要注意!LINE瘋傳「接這通電話要付7.9萬」 三立新聞網
近期在 LINE、臉書瘋傳一則訊息,表示不要回撥任何未接來電,若打回去會損失 15-30 美元,甚至還有一組電話「0918-715-002 」接起來就要付7萬9。對此,趨勢科技全球行銷資深經理劉彥伯指出,訊息內寫接了0918-715-002 這支電話就要付$79,000 元,這種狀況是不可能發生的,因為若是活動型電話的詐騙手法,一定要用戶主動「打回去」才會被扣款,不會是「接到電話」就要付費。
今年稍早,在研究惡意軟體如何使用傳輸層安全(TLS)通訊來隱藏命令和控制的流量和下載時,發現流向Google雲端服務的流量多得不成比例,而且從遙測中發現目的地有大量的Google表單(Google Forms)頁面。
順時中竟個資外洩?1922傳詐騙簡訊 指揮中心回應了 tvbs新聞網
為了防範疫情擴大肆虐,現在出入各大場所都得掃描QR-Code發送實聯制簡訊,怎料現在爆出有民眾收到假冒1922詐騙簡訊,內容竟然是紓困資格,還被媒體揶揄「順時中」還收到詐騙簡訊。對此,指揮中心今(30)日回應,這件事和1922是否有洩漏個資是無關的。
超過30萬Android用戶自Google Play下載了含有後門的行動程式 iThome
荷蘭資安業者ThreatFabric在本周警告,儘管Google Play的安全把關愈來愈嚴格,但駭客依然能夠成功進駐該行動程式市集,利用具備完善功能的行動程式夾帶後門,再藉由偽造的更新來植入金融木馬程式,在4個月內就有超過30萬次的安裝,讓使用者成為潛在的受害者。
HP 推出更新修復安全漏洞,影響範圍涵蓋 150 款旗下多功能事務機 電腦王阿達
雖說多功能事務機在一般家庭中的普及度不像電腦、手機來得高,但這類型產品在工作室、企業行號裡面卻是非常重要的辦公設備,多功能事務機具備有列印、掃描與傳真等功能,因此可說是文件傳遞、轉換的重要管道之一。近日安全研究人員發現知名品牌 HP 旗下至少 150 款多功能事務機受到幾個漏洞的影響,甚至可追溯到 8 年前的機種。
據傳中國駭客打算收集已加密的高價值資料,待量子電腦取得重大突破後立即解密 iThome
這些指控來自美國政府的委外IT業者Booze Allen Hamilton新發表的《量子時代的中國威脅》(Chinese Threats in the Quantum Era)報告。報告分析了量子電腦現有與未來在安全上發展可能、時程,以及中國政府支持的駭客帶來的威脅。
2021親子天下教育創新年會 12萬人線上線下共探SDGs 國立教育廣播電台
親子天下舉辦「2021教育創新國際年會」,邀請各領域講師,跨界、跨域交流,培養改變世界的行動者。其中在12月4號還有相關議程可上線報名觀看,包含趨勢科技講師朱芳薇等線上學習內容。
券商爆重大資安事件 金管會清查3家曾遭撞庫攻擊 中央通訊社
近期券商成駭客撞庫攻擊目標,49家受理網路下單的券商,有3家遭撞庫攻擊。金管會採取4大應變措施,包含責成證交所全面檢視券商app登入認證機制防護力,將要求不合格業者立刻改善,否則要暫時停止服務。
Panasonic證實網路遭駭 iThome
Panasonic發現非法存取的情形時,已經通報主管機關並採取行動,包括切斷外部存取管道。初步調查發現,一臺檔案伺服器的部份資料遭駭客存取。目前Panasonic已找來外部單位進行調查,了解是否還有客戶個資或和「社交基礎架構」相關的敏感資訊外洩。
防下單系統遭駭!證券期貨單位成立應變支援小組24小時待命 ETtoday新聞雲
金管會近年積極推動金融資訊安全,證券期貨相關機構為厚植證券期貨相關業者日常資安事件應變處理能量,於11月30日共同成立「證券暨期貨市場電腦緊急應變支援小組」,24小時全天候協助證券期貨業者應變資安事件。
詐騙病毒、個資販賣猖獗!趨勢科技 PC-cillin 2022 防毒軟體推薦開箱體驗|行動安全防護、個資保鑣、勒索病毒|科技狗 科技狗 3C DOG
趨勢科技推出 PC-cillin 2022 雲端版,這次不只是守護電腦和網路的系統安全,連購物詐騙、社群媒體隱私權設定,以及對子女手機管理也做進去了,更多了個資保鑣 App 守護個資。可以說防範的不只是電腦病毒,而是涵蓋我們整個人身的雲端與網路安全。
總統:台灣要打造被世界信賴的資安系統及產業鏈 中央通訊社
總統蔡英文於26日出席「台灣駭客年會HITCON 2021」開幕式時致詞表示,台灣目標很清楚,就是要打造被世界信賴的資安系統及產業鏈,不僅可以保護國家資通訊安全,也能符合國際對「乾淨供應鏈」的要求。
2025年全球數位轉型支出上看2.8兆美元 COMPUTEX年度系列論壇12月起跑 首場將聚焦數位轉型浪潮下資安發展趨勢 中央通訊社
面對後疫情時代,數位轉型已成為全球企業與政府組織改造趨勢,COMPUTEX主辦單位之一TCA(台北市電腦公會)表示,市調機構IDC研究報告顯示,預估2025年全球數位轉型支出將高達2.8兆美元,比2020年支出規模成長翻倍,雖然2021年受COVD-19疫情影響支出增幅略有減緩,但2021-2025年複合成長率(CAGR)仍將高達16.4%。
金管會再修法,擴大要求千家上市櫃公司設資安長、資安專責單位 數位時代
金管會表示,為了強化上市櫃公司資訊安全管理機制,研擬修正「公開發行公司建立內部控制制度處理準則」,要求上市櫃公司依據營運的規模程度,配置一定比例的資安人員。
逾20家四五星飯店遭殃! 全台最大票券商遭駭客竊個資 tvbs新聞網
全台最大的票券商「墨攻」系統遭俄羅斯駭客入侵,全台超過20家知名飯店顧客資料外洩,許多民眾陸續在這一周收到詐騙電話,並提到個人的交易資料遭到錯刷要求提供卡號或轉帳等詐騙指示。
聯發科語音晶片出現安全漏洞 !全球37%手機恐被竊聽 數位時代
以色列資安公司Check Point近日發布一份報告,披露了一系列曾經存在聯發科晶片當中,不過已於今年10月修復的漏洞。該報告聲稱,他們在聯發科晶片中發現的漏洞,可能導致全球37%的智慧型手機、IoT設備面臨被竊聽的風險。
全球包括台灣保險業 最擔心網路犯罪 工商時報電子報
資誠PwC聯合會計師事務所於25日發布《2021全球保險業風險調查報告》指出,「網路犯罪」仍是全球保險業受訪者認為主要的風險,而「氣候變遷」則首次躍升為前五大風險之一,成為全球保險業者對各項威脅的新共識。
駭客把華為AppGallery當跳板來散布木馬程式 iThome
俄羅斯資安業者Doctor Web本周揭露,他們發現有一木馬程式透過華為的AppGallery程式市集散布。Doctor Web將此一木馬程式命名為Android.Cynos.7.origin,它被嵌入於190款的遊戲中,可蒐集裝置資訊及電話號碼,估計至少有930萬名Android用戶安裝了相關的程式。
傳蘋果警告泰社運人士 手機遭國家級駭客入侵 中央通訊社
泰國法政大學(Thammasat University)政治學家帕乍(Prajak Kongkirati)表示,他已經收到兩封蘋果的警告電郵稱,據信他的手機與雲端帳號已被當做網攻目標,同時他的蘋果帳號也有威脅通知。
訂閱資安趨勢電子報,每日掌握資安趨勢
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上