本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- OpenSea 帳號被盜走價值 2 百萬美元的 NFT
- 七種冒牌 QR Code 詐騙手法,可能一秒騙走你的錢
- 「中國菜市場 100 多攤付款QR Code 一夜被掉包!」 FBI 建議這樣使用 QR Code
- 區塊鏈( Blockchain)是什麼?它如何運作?它的工業物聯網(IIOT)應用是什麼?
- 2022年最新假加密貨幣網站及交易平台列表
- 《上週資安新聞周報》快升級!Zoom Mac版臭蟲在會議結束後仍存取麥克風 iThome/NFT 假貨猖獗,交易平台 Cent 緊急凍結所有交易/Windows 10用戶快升級!5月開始不再進行安全更新 /別只是花錢消災,企業內部資安整合成降低被駭風險關鍵
資安新聞精選
華碩子公司NAS設備遭DeadBolt勒索軟體攻擊 iThome
【資安日報】2022年2月23日,華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server iThome
新興「勒索軟體組織」攻擊重出江湖!FBI建議用6招防範電腦遭駭 自由時報電子報
駭客利用虛擬會議發動變臉詐騙攻擊 iThome
◼延伸閱讀:更多 BEC 變臉詐騙文章
全球最大NFT平台OpenSea遭釣魚攻擊!254件NFT偷竊損失170萬美金 新頭殼
◼延伸閱讀:NFT是什麼?常見的五種NFT騙局以及九個安全建議
瞄準Windows的新殭屍網路程式Kraken,除了竊取用戶PC資訊還偷走加密貨幣錢包 iThome
製造業資安告急 工廠網路佈防 網管人
國家駭客開採Zoho漏洞攻擊紅十字會 iThome
欣興電子、台泥都要增設!資安長是什麼?跟資訊長不一樣在哪? 數位時代
微軟SQL Server漏洞遭駭客以滲透測試工具Cobalt Strike鎖定 iThome
微軟對Windows Server Azure Edition提供熱修補安全更新 iThome
2萬資安人才缺口從這找!一個暑期營隊,如何變國內資安人才搖籃? 數位時代
上市櫃資安 金管會四路防駭 工商時報電子報
Google設立秘密專案研發虛擬現實設備,展現進軍元宇宙的野心 T客邦
Google雲端推出Timeseries Insights API供企業從時序事件中偵測異常 iThome
Google擬祭隱私新規 跟進蘋果 打算限制Android手機App追蹤行為 將支援現有辨別碼至少兩年 經濟日報(臺灣)
Windows11終於支援Android應用程式、遊戲了!還多了這些新變化 數位時代
【資安日報】2022年2月21日,WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體 iThome
MWC實體展 科技大咖雲集 28日巴塞隆納登場 高通總裁、諾基亞執行長等高層出席 宏達電王雪紅任演講嘉賓 經濟日報(臺灣)
【資安日報】2022年2月17日,惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者 iThome
群創徵千人!碩士月薪上看58K 首推「元宇宙」廠區體驗 財訊雜誌網
台灣半導體產值去年首破 4 兆元,今年估續增 17.7% 中央通訊社
「買越多回饋越多」? 痴情男電腦工師墜愛情陷阱遭詐350萬 台灣蘋果日報網
投資詐騙層出不窮 金管會:1至2月中旬檢舉案達60件 自由時報電子報
謠言終結站》填寫問券可得全聯1萬元禮品卡? 查核中心:詐騙 自由時報電子報
調查:8成兒少社群恐慌 接觸「冰棒」App更嚴重 美麗島電子報
家長當心!收家教費後搞失蹤 疑詐欺集團行騙全台詐千萬 台視全球資訊網
常見詐騙手法與防範方法懶人包 電腦王阿達
情人節禮物竟是詐騙 銀行與警方聯手阻詐 自由時報電子報
百萬粉動畫創作者「Onion Man 洋蔥」靠自學走上網紅路,深入分享趨勢 PC-cillin 2022 使用心得! T客邦
Crypto 的世界如同黑暗森林,你的身邊可能潛藏著無數危機。近日,就有駭客趁著 OpenSea 合約升級之時,發送了一封釣魚郵件給所有使用者,而不少使用者錯把其當作官方郵件,而將自己的錢包在假網站上進行授權,進而導致錢包被盜。據統計,這一封郵件至少導致 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 被盜,按照地板價估算,駭客收入已高達 416 萬美元。
常見詐騙手法與防範方法懶人包 電腦王阿達
本篇報導引用內政部統計數據,並整理出常見的六種詐騙手法,其中也提到當民眾收到來路不明的假投資詐騙訊息時切勿隨意點擊,並建議安裝趨勢科技防詐達人瀏覽器擴充功能來防範可疑的詐騙網站。
駭客利用虛擬會議發動變臉詐騙攻擊 iThome
美國聯邦調查局提醒企業留意可疑的線上會議邀請通知,防範駭客在視訊協作平臺以商業電郵詐騙(BEC)慣用手法,假冒公司高層身分要求員工匯款。
華碩子公司NAS設備遭DeadBolt勒索軟體攻擊 iThome
華碩集團旗下華芸科技(Asustor)NAS設備遭DeadBolt勒索軟體攻擊,官方發出公告,呼籲遭攻擊用戶立即拔除乙太網路連線,長按電源鍵關閉NAS,同時不要啟動NAS以免資料被刪除。
全球最大NFT平台OpenSea遭釣魚攻擊!254件NFT偷竊損失170萬美金 新頭殼
根據外媒《Gizmodo》報導,駭客利用惡意、不實的協議,使32位平台用戶與駭客之間達成協議,使駭客可以在沒有任何以太幣的情況下轉移NFT,而那些用戶並沒有意識到自己被騙。OpenSea創辦人兼執行長Devin Finzer表示,他無法判斷釣魚攻擊是在哪個地方、什麼時間發生的,為了盡快解決這個問題,公司正在努力調查當中。
新興「勒索軟體組織」攻擊重出江湖!FBI建議用6招防範電腦遭駭 自由時報電子報
FBI近日發出警告指出,曾於去年七月首次現身的「BlackByte」勒索軟體服務組織(Raas),已再次重出江湖。截至目前為止,美國至少已有三個關鍵基礎設施領域的部門遭BlackByte 入侵攻擊,該組織還鎖定全球多個企業目標,準備發起漏洞攻擊活動與惡意入侵等威脅,提醒企業公司務必提高警覺。
FBI指出,該組織團隊利用已知的 Microsoft Exchange Server 漏洞,來訪問某些受害者的網路,一旦成功入侵取得網路訪問許可權後,就會展開部署工具以執行橫向移動並提升許可權,進而竊取和加密文件。並建議企業和政府機構,可遵循實踐下列六項要點,以降低遭勒索軟體攻擊的風險:
一、使用獨特且高強度的密碼
二、執行多重身份驗證
三、操作系統和軟體需保持在最新版本
四、刪除對管理網路共享不必要的訪問
五、使用基於主機的防火牆
六、為搭載Windows系統的電腦啟用文件的受保護的檢視機制。
國家駭客開採Zoho漏洞攻擊紅十字會 iThome
今年1月紅十字會遭網路攻擊,導致51萬筆人道救援對象個資外洩,官方調查後發現駭客藉由開採電子郵件系統Zoho去年9月修補的安全漏洞,在去年11月入侵紅十字會網路,並採用複雜手法及工具來隱藏惡意程式。
欣興電子、台泥都要增設!資安長是什麼?跟資訊長不一樣在哪? 數位時代
近年來企業遭勒索病毒攻擊頻傳,金管會今年起要求上市櫃公司,依照公司的規模程度增設資安長與資安人員,強化資安管控機制,降低營運風險,報導也詳細說明資安長與資訊長的差異。
2萬資安人才缺口從這找!一個暑期營隊,如何變國內資安人才搖籃? 數位時代
43歲的鄭欣明是AIS3計畫主持人,他培訓出的學生都在資安領域中默默耕耘,有的人準備創業、也有人想當老師,成為資安教育的生力軍,究竟AIS3如何成為台灣最大資安暑期技術營隊,讓學生感受到資安的魅力?
組態設定錯誤看似單純且可避免,但卻是目前雲端環境最常見的風險。因為各式各樣的設定、政策、資產,以及環環相扣的服務和資源,使得雲端變成一個非常複雜的環境。事實上,有65%至70%的雲端資安事故都是因為組態設定錯誤而引起。
上市櫃資安 金管會四路防駭 工商時報電子報
於近年上市櫃公司、券商系統屢遭駭客攻擊,金管會兵分四路祭強化管理措施,包括修正法規、建立內控及資通安全制度、強化上市櫃公司資通安全資訊公開、鼓勵資安情資分享。
Google設立秘密專案研發虛擬現實設備,展現進軍元宇宙的野心 T客邦
面板廠群創光電21日宣布全面啟動線上、線下校園徵才活動,大學畢業關鍵職位最高可至46,000元,碩士畢業關鍵職位最高可至58,000元,同時推出虛擬實境「未來招募中心」,吸引求職者可親臨元宇宙空間,透過沉浸式虛擬體驗,一窺廠區虛擬現實之全貌。
製造業資安告急 工廠網路佈防 網管人
台灣製造在全球供應鏈中扮演關鍵要角,但也面臨著全球三大新型態網路攻擊趨勢,首先是國際駭客組織已集團化,其次是供應鏈攻擊持續增加,第三是關鍵基礎設施已成為被鎖定的標的,恐危及生產線正常運行。對於製造業而言,最無法承受的即是停工導致營運損失。
資訊安全儼然成為各產業必須重視的議題。時間進入2022年,各地COVID-19(新冠肺炎)疫情趨緩,逐步進入與疫情共存的新常態之際,資安狀況卻背道而馳持續升溫,過去數年來的主流攻擊手法預期會延續至2022年,資安業者也紛紛呼籲各界不可忽視資安攻擊為營運與聲譽帶來的負面影響。
謠言終結站》填寫問券可得全聯1萬元禮品卡? 查核中心:詐騙 自由時報電子報
近日網傳訊息宣稱「恭喜!全聯福利中心送福利!通過問卷,您將有機會獲得一張價值1萬新臺幣的禮品卡」,並附上問券,吸引民眾前往該網站回答問題,趨勢科技全球市場開拓資深協理劉彥伯提醒,網傳連結為釣魚網站,目的是引導民眾將詐騙訊息傳散,騙取民眾個人資訊,應避免點選不明連結,也不要留下個資。
調查:8成兒少社群恐慌 接觸「冰棒」App更嚴重 美麗島電子報
兒少使用網路頻繁,兒福聯盟調查發現,有逾8成兒少曾有社群恐慌狀況,近來更有俗稱「冰棒」的社交App讓兒少隱私無所遁形,調查也顯示,兒少接觸此App後負面情緒更嚴重。
家長當心!收家教費後搞失蹤 疑詐欺集團行騙全台詐千萬 台視全球資訊網
為人師表最壞榜樣!新竹一名家教涉嫌利用預收學費、家人生病等理由向家長收費,甚至連五倍券都騙,受害家長求助無門,只好上網尋求幫助,結果赫然發現老師是一名詐欺慣犯,姓名也是假的,而且受害者幾乎遍布全台,累積金額至少數千萬。
情人節禮物竟是詐騙 銀行與警方聯手阻詐 自由時報電子報
嘉義縣水上鄉黃姓女子,在網路上認識男網友,男網友稱要送她手機做為情人節禮物,但包裹被海關扣留,要暫付6萬8000元才能領貨,黃女日前到京城銀行水上分行欲匯款,機警行員察覺有異,向警方通報,警方到場瞭解,發現黃女與男網友透過「WeChat」聊天,以中文簡體對話,明顯是假交友詐騙模式,趕緊阻止匯款,攔阻詐騙。
百萬粉動畫創作者「Onion Man 洋蔥」靠自學走上網紅路,深入分享趨勢 PC-cillin 2022 使用心得! T客邦
圖文創作者洋蔥和趨勢科技旗下「PC-cillin 2022」合作打造影音創作「漫畫裡用毒的對手都是廢物!」,以動漫宅的角度將生活中常見的資安威脅化身大家熟知的角色,甚至將防毒工具對抗病毒的過程以王道漫畫的戰鬥場景來呈現,一上線觀看人數就突破了 60 萬之多,而洋蔥也提到透過這次業配合作,也讓他對於資安防護有了更多的認識。
Google雲端推出Timeseries Insights API供企業從時序事件中偵測異常 iThome
Google雲端用戶現在可以使用新推出的Timeseries Insights API,便可以即時分析數兆筆時序事件,進而從中發現趨勢或是異常。
Google擬祭隱私新規 跟進蘋果 打算限制Android手機App追蹤行為 將支援現有辨別碼至少兩年 經濟日報(臺灣)
Google準備採用新的隱私權措施,限制Android手機上的跨應用程式(App)追蹤,並表示打算和業界廣泛合作,開發更重視隱私的替代產品,可能使廣告商和App開方商所面臨的挑戰更加全球化。
【資安日報】2022年2月23日,華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server iThome
勒索軟體DeadBolt再度肆虐,並鎖定華芸科技(Asustor)的NAS設備而來;而針對微軟SQL Server資料庫下手的攻擊行動,也相當值得留意。
微軟SQL Server漏洞遭駭客以滲透測試工具Cobalt Strike鎖定 iThome
南韓資安業者AhnLab本周警告,最近有一波Cobalt Strike攻擊行動鎖定的是尚未修補的SQL Server安全漏洞,或者是透過暴力破解與字典攻擊以取得SQL Server的存取憑證。
微軟對Windows Server Azure Edition提供熱修補安全更新 iThome
微軟宣布正式以熱修補(hotpatch)遞送Windows Server 2022 Azure版本的安全更新,強調不用重新啟動,安裝更新更方便而不擾亂公司作業。
Windows11終於支援Android應用程式、遊戲了!還多了這些新變化 數位時代
去年Windows 11公佈時,最受關注的無疑是支援Android應用,只是,很長一段時間以來,微軟都沒在正式版系統中提供這一特性,對於注重穩定性的用戶來說,嚐鮮新功能不免有些猶豫。
瞄準Windows的新殭屍網路程式Kraken,除了竊取用戶PC資訊還偷走加密貨幣錢包 iThome
安全研究人員觀察到Kraken去年10月開始,利用名為SmokeLoader的後門散布,以在Windows 電腦安裝竊密程式及挖礦軟體等惡意程式,還能躲避Microsoft Defender偵測以長駐在受害電腦中。
【資安日報】2022年2月21日,WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體 iThome
網站內容管理平臺WordPress的外掛程式出現影響重大的漏洞,近期研究人員發現備份外掛程式UpdraftPlus的嚴重漏洞,可讓僅有低權限的用戶取得網站的備份資料,進而影響網站安全。值得留意的是,WordPress強制網站更新這項外掛程式,來修補這項漏洞,這樣的做法相當不尋常,也突顯WordPress對於此漏洞相當重視。
MWC實體展 科技大咖雲集 28日巴塞隆納登場 高通總裁、諾基亞執行長等高層出席 宏達電王雪紅任演講嘉賓 經濟日報(臺灣)
IC設計大廠聯發科受到疫情限制,今年沒有指派高階主管參與MWC,參展人員是以業務行銷人員為主,著重於與客戶間的交流,並沒有舉辦大型官方活動。
「買越多回饋越多」? 痴情男電腦工師墜愛情陷阱遭詐350萬 台灣蘋果日報網
台中市一名40歲的林姓男電腦工程師,在網路交友平台認識一名女網友「家怡」,以為遇到真愛,聽信對方所言陸續投資「跨境易購商城」共350萬元,卻都未獲利,日前欲再匯100萬元,行員查覺有異報警替他擋下這筆錢,避免越陷越深、難以收拾。
投資詐騙層出不窮 金管會:1至2月中旬檢舉案達60件 自由時報電子報
國內投資詐騙案件層出不窮,金管會表示,根據統計,民眾今年1至2月中旬向金管會提出檢舉案件共60件,呼籲民眾若收到不明簡訊、不法詐騙狀況,可向內政部刑事警察局或金管會反應檢舉。
【資安日報】2022年2月17日,惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者 iThome
惡意程式Emotet、TrickBot在全球攻擊升溫的情況,使得資安研究人員提出警告。其中,駭客採用更為複雜的手段將Emotet傳送到受害電腦,而TrickBot則是廣泛鎖定60個知名美國企業的客戶下手。
群創徵千人!碩士月薪上看58K 首推「元宇宙」廠區體驗 財訊雜誌網
群創(3481)透過「未來招募中心」,將可快速發掘及網羅智能製造、研發、AI、大數據及跨域菁英人才。群創今年更預計擴大招募逾千名生力軍及推出一系列校園深耕計畫,將「齊心合力」攜手打造新世代人才舞台。
台灣半導體產值去年首破 4 兆元,今年估續增 17.7% 中央通訊社
半導體產業景氣暢旺,晶圓代工產能供不應求,包括晶圓代工與晶片報價全面調漲,全球半導體業去年產值突破5000億美元關卡,達5559億美元,年增26.2%。