本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 什麼是 Catfishing ? 從三部網戀影片,看現實世界裡的網路愛情騙!
- 專門攻擊 NAS 裝置的四種威脅,如何強化 NAS 安全性?
- APT 攻擊:White Rabbit 勒索病毒與其躲避偵測技巧
- Samba 漏洞 CVE-2021-44142 分析與修補
- 企業開工日首要任務:立即修補Samba 開放原始碼軟體漏洞
- 如何清除 Google 搜尋記錄?
資安新聞精選
推動預設開啟兩步驟驗證,Google 揭用戶帳號被盜減少一半 科技新報網
LINE爽收「千元紅包」!點開結果超可怕 三立新聞網
專門攻擊 NAS 裝置的四種威脅 資安人
2021年國內上市櫃公司14件資安事件重大訊息,平均每月一起 iThome
Samba 漏洞 CVE-2021-44142 分析與修補 資安人
Samba 修補高風險漏洞,不讓攻擊者藉此以root權限遠端執行程式碼 iThome
Log4j漏洞引爆開源軟體安全議題,OpenSSF基金會扛起重擔,推動修補大量軟體漏洞的計畫 iThome
蘋果推出「Tap to Pay」功能,讓iPhone直接化身便利收款工具 數位時代
【關鍵圖表】2年疫情期間台灣「假愛情交友」、「投資詐欺」案件續創新高 關鍵評論網
全球1.03億人「123456」當密碼 遭駭客攻破 民視新聞網
別為了急於省電而犧牲安全性,微軟建議Windows電腦至少要持續連網8小時,否則無法完整安裝更新 iThome
iPhone 用戶不用打密碼了!新版 iOS 將支援「口罩版Face ID」 自由時報電子報
面對OAuth程式也須驗證真偽!惡意活動OiVaVoii以假冒的OAuth程式鎖定C級高階主管 iThome
付費詐騙App日益猖獗,出現已下載到1億支Android手機進行斂財的惡意軟體 iThome
北韓駭客Lazarus利用Windows Update躲避偵測、還以GitHub遠端控制 iThome
看似安全卻是危險,這款 Android 第三方雙重驗證 App 會偷你錢 科技新報網
使用前詳閱隱私說明書,盤點各種 App 個資使用狀況 科技新報網
DeFi 史上第二大遭駭事件!區塊鏈橋「蟲洞」損失超過 3.2 億美元 科技新報網
不只虛擬鄧麗君 趨勢科技:未來「數位分身」爭議將更多 ETtoday新聞雲
(100科技微趨勢)網路與資訊安全 駭客眼中新肥羊:聯網汽車 數位時代
【2025科技微趨勢】Web 3.0來了!聯網汽車變駭客眼中新肥羊?11個資安必懂趨勢 數位時代
年後轉職夯! 盤點2022十大亮點職務、年薪大解析 ETtoday新聞雲
2022十大科技產業脈動 工商時報電子報
安全危機擴大,5 款 Cisco 路由器有「致命」漏洞 科技新報網
強化資安防護 證交所要券商落實5措施 中央通訊社
元宇宙近在咫尺 2026年全球25%人口每日沉浸一小時 新通訊元件
微軟2月Patch Tuesday修補51個安全漏洞,無重大漏洞 iThome
5款Office程式預設將封鎖網路巨集 iThome
微軟SIEM平臺Sentinel整合GitHub,可持續監控企業儲存庫安全 iThome
微軟擴增Azure Firewall最大吞吐量,還在日誌添加網路規則名稱 iThome
微軟發現新一波多階段釣魚攻擊,多因素身分驗證成為組織防禦關鍵 iThome
UEFI韌體程式碼爆23項漏洞,影響微軟、Dell、HPE等業者 iThome
LINE Pay 開放加密貨幣支付!日本用戶可於指定線上商店用LINK消費 自由時報電子報
Google推出VM無代理威脅偵測功能,防止挖礦劫持和勒索軟體等攻擊 iThome
Google雲端成立數位資產團隊,鎖定企業區塊鏈應用需求 iThome
詐騙花招層出不窮 刑事局秀3軟體防詐 中央通訊社
「華燈初上」變「防詐至上」 「虎恁發」金句提醒民眾防詐 自由時報電子報
詐騙被害人唯一共通點竟是… 刑事局女警官推薦好用反詐工具 ETtoday新聞雲
中國駭客集團以xPack後門鎖定臺灣金融與製造業 iThome
解決人才荒!陽明交大首批學員結訓投入半導體大廠 科技新報網
Lenovo分享2022年科技發展趨勢!混合工作模式、永續發展、個人化體驗將成為主流 電腦DIY雜誌
【限額招募】PC-cillin 2022 雲端版:一起防毒、防詐騙,安心暢遊我的網路世界!快來報名分享體驗心得,最大獎 Xbox Series S 等你帶回家 T客邦
Ignite 獲得 11 億美元的投資,提升沙特數碼內容創作及媒體製作 TTNews大台灣旅遊網
Gogolook 跨足企業端SaaS服務 雅虎奇摩
推動預設開啟兩步驟驗證,Google 揭用戶帳號被盜減少一半 科技新報網
Google 在 2021 年 10 月宣布為當時未使用「兩步驟驗證」的 1.5 億用戶預設開啟功能,並且要求多達 200 萬名 YouTuber 必須使用,以防碰上帳號被盜、頻道遭竊等狀況。Google 官方部落格日前發布文章指出,由於這些措施,觀察到被盜用的帳號減少 5 成。
LINE爽收「千元紅包」!點開結果超可怕 三立新聞網
過完年剛開工,這時若你的LINE突然收到「開工紅包」,小心是詐騙,有網友就分享自己收到1000元的LINE紅包,想領取時發現自己被加入某個群組,懷疑是詐騙集團要來騙個資。
專門攻擊 NAS 裝置的四種威脅 資安人
隨著使用者和企業越來越依賴物聯網裝置來隨時保持連網、存取資訊和資料,並維持工作流程的運作,其相關的威脅也不斷演進。使用者和企業現在都使用網路儲存 (NAS) 裝置來儲存和備份檔案,以確保使用者在工作過程當中都能持續保持連線。最近,由於 NAS 裝置儲存了大量的珍貴資料,但這類裝置的資安功能並非強制性,因此有越來越多網路犯罪集團開始將目光轉向 NAS 裝置。
2021年國內上市櫃公司14件資安事件重大訊息,平均每月一起 iThome
網路攻擊事件頻傳,國內上市櫃公司也發布多起重大資安事件訊息,2021年至少14家公司在證交所發布公告,說明自家公司或子公司遇資安事件,特別是3月4月有兩起說明媒體報導揭露,10到11月事件最密集。
Samba 漏洞 CVE-2021-44142 分析與修補 資安人
本篇報導取自趨勢科技資安部落格文章,內容詳盡分析Samba 漏洞 CVE-2021-44142與修補資訊,並提及趨勢科技 Zero Day Initiative (ZDI) 揭露 Samba 軟體的記憶體讀寫超出邊界 (OOB) 漏洞,且漏洞的 CVSS 嚴重性等級達到 9.9 分。
Samba 修補高風險漏洞,不讓攻擊者藉此以root權限遠端執行程式碼 iThome
1月底,跨平臺開放原始碼網路芳鄰檔案存取軟體Samba,公布風險程度高達9.9分的漏洞CVE-2021-44142,使用這元件的Linux作業系統伺服器,以及儲存伺服器、路由器的廠商與用戶,請儘快更新。
Log4j漏洞引爆開源軟體安全議題,OpenSSF基金會扛起重擔,推動修補大量軟體漏洞的計畫 iThome
由微軟、Google大力支持的開源軟體安全基金會OpenSSF,推出Alpha-Omega計畫,將協助尋找並修補1萬項開源軟體的漏洞,希望能夠改善1萬個開放原始碼專案的軟體供應鏈安全性。
蘋果推出「Tap to Pay」功能,讓iPhone直接化身便利收款工具 數位時代
蘋果宣布首先於美國推出「Tap to Pay」功能,讓使用者能直接將iPhone變成收款工具,可接受Apple Pay、感應晶片信用卡或金融卡付款。
【關鍵圖表】2年疫情期間台灣「假愛情交友」、「投資詐欺」案件續創新高 關鍵評論網
年節將至,許多人的年終獎金或紅包陸續入袋,卻同時也是詐騙集團最想下手的時機。台灣各式詐欺案件過去十年來成長2成,但其他與治安直接關聯的刑事案件類型近年則有下滑趨勢。
全球1.03億人「123456」當密碼 遭駭客攻破 民視新聞網
數位時代,資安成為最常見的問題之一!根據統計,全球外洩資料檔案中,最常見密碼,前三名分別是1到6、1到9,還有1到5,連續數字的密碼很方便、很好記,是不少人的首選,但也經常被駭客盯上,專家建議,可以搭配自己喜歡的詩詞,或是其他喜好,拼出英文或數字,以免被盜。
別為了急於省電而犧牲安全性,微軟建議Windows電腦至少要持續連網8小時,否則無法完整安裝更新 iThome
想要讓個人電腦的Windows Update完整發揮作用,及早取得各種必要的更新,並不是等到系統提醒你更新或是媒體有相關報導的那刻,才要進行,平時也要有夠久的連網與系統運作時間。微軟建議,一臺Windows機器必須保持連網至少6小時,才能獲得完整安全及功能更新。
iPhone 用戶不用打密碼了!新版 iOS 將支援「口罩版Face ID」 自由時報電子報
甫釋出 Beta 測試版的 iOS 15.4 證實,蘋果將提供用戶「口罩版本」的 Face ID,可以單獨辨識用戶眼睛周圍的重要特徵,以完成身份認證。這也意味著用戶即使戴著口罩,也能使用完整的 Face ID 功能,包括解鎖 iPhone 或以 Apple Pay 付款。
面對OAuth程式也須驗證真偽!惡意活動OiVaVoii以假冒的OAuth程式鎖定C級高階主管 iThome
擔心會被鍵盤側錄程式擷取帳號與密碼資訊而改用OAuth來授權,不一定百分之百安全!有資安業者發現駭客假造了惡意OAuth程式進行網路釣魚,而且透過這樣的手法已奪得許多企業高階主管的帳號權限。
付費詐騙App日益猖獗,出現已下載到1億支Android手機進行斂財的惡意軟體 iThome
有一群以騙取金錢為目的的惡意行動App Dark Herring,正在透過線上軟體市集散布,根據資安廠商Zimperium的估計,超過1億臺Android裝置已下載使用這些詐財惡意軟體。
北韓駭客Lazarus利用Windows Update躲避偵測、還以GitHub遠端控制 iThome
Malwarebytes揭露Lazarus網釣攻擊新手法,包括利用Windows Update用戶端執行惡意程式碼,在其掩護下躲避安全軟體偵測。
看似安全卻是危險,這款 Android 第三方雙重驗證 App 會偷你錢 科技新報網
對於大部分的使用者來說,為自己的帳號開啟雙重驗證機制已是基本常識,除了蘋果或 Google 這些大廠自身提供的雙重驗證機制外,有部分用戶也會選擇下載第三方的雙重驗證應用程式來幫助自己的個資更加安全。
使用前詳閱隱私說明書,盤點各種 App 個資使用狀況 科技新報網
連假期間閒暇時間變多了,使用手機的時間或許也會比平時還要久,是時候看看手機中各種常用 App 收集個資與使用情形了,雲端儲存公司 pCloud 先前針對 App Store 上的 App 進行分析,讓大家了解個資使用狀況。
DeFi 史上第二大遭駭事件!區塊鏈橋「蟲洞」損失超過 3.2 億美元 科技新報網
幣圈又出現駭客事件!綜合外媒報導,連接以太坊和 Solana 兩大區塊鏈的重要橋接「蟲洞」(Wormhole)2 日遭駭客攻擊,損失超過 3.2 億美元,成為 DeFi 史上第二大遭駭事件。
趨勢科技日前在Vision One平台上增添零信任風險評估(Zero Trust Risk Insights)與零信任安全存取(Zero Trust Secure Access)機制,透過持續地監看與分析操作行為,一旦風險數值超過水平,立即執行隔離、限縮存取等保護動作,以免爆發資安事故。
不只虛擬鄧麗君 趨勢科技:未來「數位分身」爭議將更多 ETtoday新聞雲
科幻變的未來都可能變成真實,趨勢科技表示,過去一兩年,不管是名人被「挖臉」、逝者重建,其實都凸顯「數位分身」(Digital Twin)將是未來重要議題,也會引起對於數據保護的重視,因為在虛實難分下,如何確保資料不被竄改、加密正版都會成為關鍵技術。
(100科技微趨勢)網路與資訊安全 駭客眼中新肥羊:聯網汽車 數位時代
數位時代2月針對2025年的科技趨勢進行的100科技微趨勢專題報導,其中在網路資安領域,在探討車聯網資安議題時,引述趨勢科技全球核心技術部資深協理張裕敏預測,電動車的車用娛樂系統,將是首當其衝的攻擊弱點。另外也在Deepfake詐騙中,引述趨勢科技資深技術顧問簡勝財指出,Deepfake有可能被應用在製作假新聞、假影音,甚至誤導警政單位辦案的方向。
【2025科技微趨勢】Web 3.0來了!聯網汽車變駭客眼中新肥羊?11個資安必懂趨勢 數位時代
勒索軟體(Ransomware)近年來肆虐全球,從科技企業到公共基礎設施(如電力供應、供水、油管等)都受到攻擊,像是美國最大輸油管公司「殖民管線」(Colonial Pipeline)在2021年5月就因此管線服務停擺近1周。
全球壟罩在COVID-19疫情大流行至今已超過兩年,最新變異株Omicron仍持續延燒,當企業為了因應防疫讓員工得以遠端工作,加快數位化、雲端化發展腳步的同時,強化資安韌性亦可說是永續發展的重要課題。
年後轉職夯! 盤點2022十大亮點職務、年薪大解析 ETtoday新聞雲
COVID-19疫情肆虐全球至今已兩年多,而回顧2021年,國內更首度經歷了疫情帶來的三級警戒震撼,不僅改變了大眾的工作型態,更加速翻轉了各行各業的營運模式,為商機帶來更多可能性。以下1111人力銀行盤點2022年「十大亮點職務」,讓想要年後轉職的朋友思考抉擇。
2022十大科技產業脈動 工商時報電子報
2022年Micro LED技術雖然存在許多瓶頸,以至於整體成本居高不下,但參與Micro LED上中下游廠商依舊熱度不減,積極建立Micro LED生產線,在Micro LED自發光顯示應用產品方面,電視產品是目前Micro LED顯示技術主要開發的產品之一,最主要的原因是電視相較於IT產品其規格門檻較低,有利於Micro LED技術的發展,因此,三星推出110吋商業型Micro LED被動式趨動方案的顯示器後,預估將持續發展88吋以下家庭用主動式趨動方案的電視,亦即由大型顯示商業應用延伸至家庭場景的應用,進而擴展Micro LED整體應用的市場。
安全危機擴大,5 款 Cisco 路由器有「致命」漏洞 科技新報網
在全部有疑慮的產品中,有三款存在 RCE 漏洞(Remote Code Execution),讓駭客可以遠端執行命令,並且能夠遠端提升入侵者的權限,是所有資安漏洞中最嚴重的級別。
強化資安防護 證交所要券商落實5措施 中央通訊社
台灣證券交易所今天宣布,已要求證券商使用自行開發或資訊業者提供的網路下單系統,於客戶登入帳戶及電子憑證下載時,應落實執行5項相關控管措施。
臉書母公司Meta日前將會擬定全新的反惡意駭客(Anti Doxxing)政策,防範駭客竊取用戶的個人資訊與其他資料,並在違反個人意願下公開。Meta與其建立的全球獨立監督委員會(Oversight Board)以用戶的資訊安全為主進行討論政策的細項。
元宇宙近在咫尺 2026年全球25%人口每日沉浸一小時 新通訊元件
2021年,由臉書(Facebook)創辦人Mark Zuckerberg所提出的元宇宙(Metaverse)框架席捲全球,掀起一波熱潮。市場研究機構Gartner最新報告指出,直至2026年,全球25%的人口,每日將至少花一小時在元宇宙中工作、購物、教育、社交、娛樂,展現全新的生活型態。
微軟2月Patch Tuesday修補51個安全漏洞,無重大漏洞 iThome
雖然微軟2月Patch Tuesday沒有出現重大等級的安全漏洞,但趨勢科技旗下ZDI團隊認為這次修補的Windows DNS Server遠端程式攻擊漏洞,其嚴重性仍不可小覷。
5款Office程式預設將封鎖網路巨集 iThome
微軟將針對Access、Excel、PowerPoint、Visio及Word這5款Office程式,預設直接封鎖來自網路的VBA巨集。
微軟SIEM平臺Sentinel整合GitHub,可持續監控企業儲存庫安全 iThome
微軟現在讓GitHub企業用戶,可以將儲存庫連接到雲端安全性資訊與事件管理員(SIEM)平臺Microsoft Sentinel工作區,以獲得GitHub稽核日誌,紀錄像是儲存庫創建和刪除、儲存庫複製次數等資訊。
微軟擴增Azure Firewall最大吞吐量,還在日誌添加網路規則名稱 iThome
為使Azure Firewall Premium能夠應付更大流量的雲端部署,微軟將最大吞吐量從原本的30 Gbps加大到100 Gbps。
微軟發現新一波多階段釣魚攻擊,多因素身分驗證成為組織防禦關鍵 iThome
最新的網路釣魚攻擊者會透過竊取憑證,在組織網路註冊自己的裝置,進一步向組織內外部發送惡意信件,微軟指出,多因素身分驗證為中斷這類釣魚攻擊的關鍵手段。
UEFI韌體程式碼爆23項漏洞,影響微軟、Dell、HPE等業者 iThome
安全廠商Binarly發現臺灣廠商系微的InsydeH2O韌體含有23項安全漏洞,影響採用該韌體的眾多筆電、伺服器、路由器及工控系統業者。
LINE Pay 開放加密貨幣支付!日本用戶可於指定線上商店用LINK消費 自由時報電子報
LINE Pay宣布,自3月16日至12月26日試營運期間,LINE用戶在日本可持LINE加密資產「LINK」於部分線上商店消費,並預告未來將計畫開放比特幣、乙太幣等加密資產作為支付選項。
Google推出VM無代理威脅偵測功能,防止挖礦劫持和勒索軟體等攻擊 iThome
Google擴充雲端安全指揮中心(Security Command Center,SCC),加入虛擬機器威脅偵測功能,防禦挖礦、資料洩漏與勒索軟體等攻擊。
Google雲端成立數位資產團隊,鎖定企業區塊鏈應用需求 iThome
Google因應區塊鏈趨勢,宣布建立專門的數位資產團隊(Digital Assets Team),希望在區塊鏈發展中,扮演重要的角色,提供更具可擴展性、安全性和永續性的基礎設施,供用戶運用區塊鏈技術實現數位轉型。隨著以區塊鏈平臺為基礎的技術需求不斷增加,所以,Google組建這樣的新團隊,來滿足這項新興需求。Google雲端金融服務副總裁Yolande Piazza表示,由於受到用戶在數位資產領域成果的啟發,因此Google決定提供基礎設施和技術,來支援區塊鏈技術的發展。
詐騙花招層出不窮 刑事局秀3軟體防詐 中央通訊社
歹徒詐騙話術及工具層出不窮,刑事局預防科偵查員魏愷嫻表示,民眾可善用「Whoscall」 APP、「趨勢科技防詐達人」及165防騙宣導LINE好友等免費軟體,輕鬆即時防詐。
「華燈初上」變「防詐至上」 「虎恁發」金句提醒民眾防詐 自由時報電子報
時下熱門影集「華燈初上」引起社會熱議和觀賞,台北市刑警大隊為趕上議題熱潮,特別邀請「最正MV女神」票選女藝人金允喬,搭配刑事警察大隊高顏質戰警,以「猜猜我是誰」、「假投資詐欺」、「假愛情交友」等主題,聯合拍攝「防詐至上」-人間清醒「虎恁發」金句,作為宣傳海報,以便讓民眾能時時刻刻提醒自己避免遭詐。
詐騙被害人唯一共通點竟是… 刑事局女警官推薦好用反詐工具 ETtoday新聞雲
專責刑事局預防詐騙犯罪宣導的預防科偵查員魏愷嫻指出,警方發現所有詐騙個案中「民眾會被騙,主要是因為資訊量的不足,導致民眾當事人處於一個無助的情況」魏愷嫻認為:民眾可透過多閱讀相關詐騙社會新聞及警方定期的案例宣導,或透過刑事局設立的社交通路包含CIB局長室、165反詐騙平台的臉書粉專、LINE群組、吸收反毒品反詐騙的相關資訊。
中國駭客集團以xPack後門鎖定臺灣金融與製造業 iThome
博通旗下資安部門Symantec偵測到中國駭客集團Antlion在2020年底對臺攻擊行動,利用xPack後門程式等工具,成功潛伏在某家金融業者系統長達250天以竊取機密。
解決人才荒!陽明交大首批學員結訓投入半導體大廠 科技新報網
為台灣半導體人才荒,陽明交通大學與勞動部勞動力發展署攜手合作共辦「2021 產業新尖兵計畫」,期許為國內半導體產業挹注新的人才能量,而第一梯次的多元半導體產業人才養成班學員在今日舉行線上結訓,並舉辦力積電專屬人才媒合會。
Lenovo分享2022年科技發展趨勢!混合工作模式、永續發展、個人化體驗將成為主流 電腦DIY雜誌
農曆春節剛剛結束,為掌握2022虎年科技趨勢,全球科技領導品牌Lenovo總結過去一年來對亞太區市場的觀察,發表4項2022年科技發展的重大預測,包括日益普及的混合工作模式、重視碳中和及環境保護、以及追求更舒適直觀的科技使用方式等,確立Lenovo產品與服務的未來發展方向,為長遠的轉型奠定基礎。
【限額招募】PC-cillin 2022 雲端版:一起防毒、防詐騙,安心暢遊我的網路世界!快來報名分享體驗心得,最大獎 Xbox Series S 等你帶回家 T客邦
因為疫情,相信大家對於「數位轉型」和「線上服務」有更深刻的體會,除了包括公司的線上會議,學校的遠距協作,有越來越多網路服務開始走入大家的生活,像是網路銀行轉帳、線上購物或是外送 APP 等。BUT,對於網路使用的依賴,也代表我們正暴露在資安威脅之中。於是,T客邦再次攜手 PC-cillin 2022 雲端版,與最強的防毒軟體 ,帶來更全面的防護,更完整的防護,各位,馬上加入網路安全特攻隊,一同對抗病毒、駭客、惡意程式!
Ignite 獲得 11 億美元的投資,提升沙特數碼內容創作及媒體製作 TTNews大台灣旅遊網
沙特阿拉伯今天宣佈數碼內容創作及製作新計劃 Ignite,為下一代連接及通訊基礎設施提供新投資及支援;與 Trend Micro 合作在利雅德開設地區總部。這些公告在利雅得舉行的全球科技平台 LEAP22 上公佈。
Gogolook 跨足企業端SaaS服務 雅虎奇摩
疫情造成全球動盪,更成為詐騙的破口,專攻防詐業務的台灣科技新創Gogolook創辦人暨執行長郭建甫指出,疫情顛覆了世界,未來人與人的互動轉往線上已是不可逆的趨勢,相關的詐騙勢必有增無減。看準未來數位世界中的「信任」議題將持續擴散,Gogolook將營運觸角延伸至企業端防詐SaaS服務,期望在三~五年內,可以在C端(消費者)、Fintech、B端(企業)建立撐起營運的三大樑柱。
訂閱資安趨勢電子報,每日掌握資安趨勢
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上