本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 防疫詐騙網址偵測數量暴增20倍!單月高達665種變形網址已流竄全台
- 五個新加密貨幣的危險訊號
- 不想 IG 被盜?當心 2022 年的這三大網路詐騙!
- 趨勢科技車用資安新公司VicOne攜手台達電子,為電動車充電基礎設施提供強大資安防禦 助電動車產業供應鏈合規及永續發展 完整佈局國際市場藍圖
- 分析使用環境變數來管理無伺服器環境的風險
- SolidBit 勒索病毒跨足勒索病毒服務 (RaaS) 並使用新的變種瞄準遊戲玩家與社群媒體使用者
- 「404錯誤頁面」是什麼?常見的五種 HTTP 狀態碼含義
- 《上週資安新聞周報》盤點未來汽車 6 大趨勢!車內元宇宙、客製功能訂閱制,哪些真的可能會實現? / 資安人員:iOS VPN 壞了,蘋果知情但不修 /比特幣ATM危險!General Bytes爆漏洞遭駭客竊幣已2年,全台灣有18台服役中/播放Janet Jackson音樂影片造成數款老舊筆電掛點
資安新聞精選
聯名金管會公文催繳保證金?證交所:這是詐騙 中央通訊社
充電樁恐成資安破口 VicOne攜手台達建起防護網 電子時報
車聯網保險的機會與挑戰 經濟日報
英國將允許「自動駕駛車輛」上路,專家憂:安全性問題不能單靠科學回答 關鍵評論網
特斯拉全自駕電動車 拚年底問世 工商時報電子報
自駕巴士率先導入車用 IDPS 勤崴國際與 VicOne 攜手強化資安 樂聯網
(Daily Issue)ADAS與自動駕駛急加速 往Level 5技術領域邁進 電子時報網
FBI警告,駭客愈來愈愛開採DeFi漏洞 iThome
虛擬地產掀炒房熱糾紛頻傳 專家:恐花大錢買空氣 中央通訊社
外媒:到2030年,NFT市場的估值可能達到2300億美元 鉅亨網
NFT詐騙爭議頻傳 恐釀泡沫化與消費權益黑洞 中央通訊社
NFT詐騙亂象/周杰倫價值千萬NFT被消失 只因一條釣魚網址惹禍 中央通訊社
iPhone 上網出現不是私人連線或不安全連線怎麼辦?試試看 8 種解決的方法 蘋果仁
蘋果iOS 16將推Lockdown全新安全模式 安卓陣營近33%用戶願為此跳槽! 匯流新聞網
駭客以幣安高層Deepfake影像詐騙加密貨幣專案團隊 iThome
方便盜取還能洗錢,NFT 成為加密犯罪首選 科技新報網
正視身分管理擺脫資安債 網管人
新研究顯示:面對複雜的IT環境,企業對資安防護信心下降 T客邦
總計有163家Twilio客戶遭駭客事件波及 iThome
趨勢科技與 Schneider Electric 結盟加速實現工業物聯網 (IIoT) 防護 iThome
OT 安全防護六大計劃 CIO IT經理人
專訪台灣首任數位發展部長唐鳳:「腦波控制」不是我的業務|天下雜誌 天下雜誌網
《原神》防作弊系統出現漏洞 駭客將藉其「殺死」防毒放勒索軟體大舉入侵 聯合新聞網
未連網也能駭 以色列學者警示新駭客技術 電子時報網
Google遭爆比臉書還會偷收集用戶數據!一舉一動都被追蹤 自由時報電子報
GitLab DevOps大調查顯示,超過半數DevOps團隊已採用安全掃描工具 iThome
《中介法》涉言論限制爭議,企業、NPO 如何運用科技防治假訊息? 未來商務
趙立堅沒否認! 網路安全公司稱陸駭客攻擊美南海公司及澳政府 中國批 : 美政府白手套 新頭殼
Google針對旗下開源軟體祭出抓漏獎勵 iThome
Google Cloud宣布在台推出「雲端人才搖籃計畫 工商時報電子報
網路上還有8萬臺Hikvision監視器尚未修補一年前的重大漏洞 iThome
【資安日報】2022年8月31日,惡意Chrome擴充套件竊取受害者上網資料、駭客入侵受害電腦一個月後才部署挖礦軟體 iThome
擘畫台灣資本市場藍圖 櫃買四大要務 壯大雲端服務產業 工商時報
MIH執行長鄭顯聰:Web3將扮演EV生態系關鍵角色 自由時報電子報
以智慧車為產業舖路 南韓欲成智慧城市發展先驅 電子時報網
童子賢:車用晶片大趨勢不會停 元宇宙帶來新經濟平台 自由時報電子報
SEMI:2028年全球汽車電子市場將突破4,000億美元 經濟日報網
鴻海Model C來了!電動車整車工業 啟動 經濟日報網
華邦成全球首家ISO/SAE 21434道路車輛網路安全管理體系認證 電子時報網
NO MORE RANSOM 收錄超過 100 種勒索軟體解密工具,提供線上掃描勒索軟體類型功能 電腦王阿達
藍新金流在兩週內遭遇數波DDoS攻擊,國內至少十多家線上平臺期間暫時無法交易或付款 iThome
偽造運彩中獎照片保證穩贏 逾18人被騙上百萬 中時新聞網
全球主要圖書館供應商Baker & Taylor遭勒索軟體攻擊 iThome
洛克威爾自動化以IIOT平台提供企業進行IT、OT整合 迎向淨零碳排轉型 佈建未來工廠藍圖 CompoTech Asia 電子與電腦
【資安日報】2022年8月30日,駭客以測試遊戲為幌子散布竊密軟體、美國警告台達電子ICS軟體漏洞已被用於攻擊行動 iThome
扮假買家騙賣家帳戶被凍結! 小心賣東西帳戶被掏空 tvbs新聞網
要整合不同醫院醫療系統!衛福部計畫推次世代數位醫療平臺 iThome
簡訊認證碼代收 成防詐破口 工商時報電子報
駭入詐騙網站!他刪3千多筆受害者資料 網讚:謝謝你英雄 自由時報電子報
超商取貨詐騙升級?「3詳細個資」全通知 他嚇傻:別上當 tvbs新聞網
買IPHONE收到濕紙巾 刑事局籲網購勿私下交易 .mp3. 內政部警政署警察廣播電台
【謠言風向球】紓困詐騙郵件和簡訊濫發 亂點小心「人財兩失」 台灣事實查核中心
北韓駭客集團Kimsuky會再三確認受害者身分才部署惡意程式 iThome
另一個Twilio駭客事件受害者出面了,Okta:用戶的一次性密碼遭存取 iThome
美國陸軍招募國家駭客 iThome
Atlassian修補Bitbucket風險值9.9的指令注入漏洞 iThome
【資安日報】2022年8月29日,伊朗駭客利用IT服務管理系統Log4Shell漏洞攻擊以色列組織、Twilio公布遭駭事故的受影響規模 iThome
沃爾瑪網站出現只要 39 美元「30TB」行動 SSD,別上當!是假貨 科技新報網
Google雲端正式推出虛擬機器威脅偵測服務,可發現挖礦和核心竄改等惡意行為 iThome
投資詐騙猖獗!金管會前七月接獲檢舉385件 超過去年一整年 自由時報電子報
Meta將推旗下最強元宇宙頭盔 眼部、臉部追蹤更進化 匯流新聞網
(Daily Issue)人才短缺、供電不足、環境壓力 資料中心商機無限 產業挑戰也多 電子時報網
Cloud周報第154期:富邦金控展開集團上雲計畫,優先把辦公OA應用搬上公雲 iThome
眾至「內網零信任」資安框架,強化企業內網防護力 iThome
資安威脅迫在眉睫,美國防部要在五年內全面零信任架構化 科技新報網
攜手工研院、中光電,7-ELEVEN 測試移動機器人、無人機外送 科技新報網
網路戰爭無國界,以俄烏網路戰為鏡提升全民資安防護意識 數位時代
防中國網攻 專家:政府應協助強化中小企業資安 中央通訊社
數位發展部揭牌 開搶資安資訊人才 中央通訊社
立法通過 加州2035前禁售汽油車 工商時報電子報
DuckDuckGo 的免費隱私電郵服務正式開放使用 Engadget中文版
友帳號被盜稱iphone便宜賣 她私訊懷疑詐騙反入陷阱 HiNet
【資安日報】2022年8月26日,駭客鎖定Gmail企業用戶發動AiTM網釣攻擊、PyPI套件開發者遭到釣魚郵件攻擊導致套件遭竄改 iThome
LastPass遭入侵,程式碼被盜 iThome
VMware Tools 驚現本地權限提升漏洞,恐將引發虛擬機器資料大外洩 科技新報網
超過 1,500 萬名 Plex 串流平台用戶資料遭竊,但因密碼有雜湊保護,Plex 老神在在 科技新報網
電費詐騙猖獗 7、8月5700件 自由時報電子報
駭客竊取歐洲軍事武器檔案 還拍賣至論壇 包含俄烏戰爭「武器藍圖」 新頭殼
凡運算皆能駭…從核電廠到販賣機 都能上演資安戰 聯合新聞網
Check Point報告顯示全球網路攻擊增加 42% 電子時報網
自動化展聚焦三大看點 低碳、資安躍升熱門議題 電子時報網
微軟報告:80%勒索軟體攻擊出自雲端服務配置錯誤 iThome
GitLab修補重大RCE漏洞 iThome
串流媒體平臺Plex外洩用戶帳號與加密密碼 iThome
【資安日報】2022年8月25日,駭客鎖定Microsoft 365用戶發動AiTM攻擊、GitLab修補CVSS評分達9.9分的重大漏洞 iThome
《中介法》涉言論限制爭議,企業、NPO 如何運用科技防治假訊息? 未來商務
近期《數位中介服務法》(簡稱《中介法》)草案釋出,引起各界的廣泛討論,更衍生出對於言論自由限制的爭議。公權力的介入是否能有效抑制假訊息的傳播?現今又有哪些資訊科技,可以有效辨識並防治假訊息呢?
iPhone 上網出現不是私人連線或不安全連線怎麼辦?試試看 8 種解決的方法 蘋果仁
近來有不少人反應,透過 iPhone、iPad 的 Safari 上網時,會跳出「此連線並非私人連線」或是以英文顯示「Could Not Establish a Secure Connection」、「無法建立安全連線」的警告訊息。為什麼會出現這個非私人連線、不安全連線的警告訊息呢?如果看到非私人連線或是不安全連線的警告訊息該如何處理?
蘋果iOS 16將推Lockdown全新安全模式 安卓陣營近33%用戶願為此跳槽! 匯流新聞網
國外研調機構Beyond Identity指出,有高達49%的Android用戶考慮改用iPhone,最主要的原因為蘋果的手機有較高的隱私安全保護。而下個月蘋果將推出全新的iOS 16作業系統,將再度加強隱私安全性,因此在受訪者當中,有33%的Android用戶為了此原因想要將手機換成iPhone。
簡訊認證碼代收 成防詐破口 工商時報電子報
三竹資訊(8284)表示,網購平台便利,營造出數位世代獨有的商機,不過卻意外成為詐騙溫床。三竹資訊表示,網路上各種產品、各項服務無所不賣,連代收認證碼服務也能在網路上買到,恐間接助長詐騙集團利用假帳號、人頭帳號行騙的行為更加氾濫。
駭入詐騙網站!他刪3千多筆受害者資料 網讚:謝謝你英雄 自由時報電子報
近期民眾常收到顯示為「衛生福利部網站」的網址,網站內容顯示紓困方案申辦內容,儘管衛福部已澄清這是詐騙簡訊,但仍有縣民信以為真而受詐騙,如今有網友就在社群平台上分享,成功駭入詐騙網頁後台,並將受害民眾的資料全數刪除,讓網友紛紛大讚。
超商取貨詐騙升級?「3詳細個資」全通知 他嚇傻:別上當 tvbs新聞網
詐騙集團橫行,不僅有人蛇集團詐騙、簡訊詐騙氾濫,現在又有網友指出有新的詐騙方式。一名網友在臉書社團分享經歷,表示自己到超商領包裹卻突然「多一個包裹」,與合作的廠商確認後才知道是詐騙,他指詐騙集團不僅知道他的全名、電話,甚至還能知道買東西的金額,讓包裹可以在同一天抵達,他也警示其他網友,要大家小心別輕易上當。
買IPHONE收到濕紙巾 刑事局籲網購勿私下交易 .mp3. 內政部警政署警察廣播電台
詐騙集團看準IPHONE 14即將上市,抓住民眾認為IPHONE13降價心理,盜用民眾社群帳號轉貼手機降價售資訊,不少人已經上當受騙,刑事局提醒網購切勿私下交易。 記者 尤柔淳 報導 北部張小姐在臉書看到朋友貼文說有其他朋友出價1萬元賣IPHONE13,覺得太便宜,還私訊好友確認真實性,好友再三保證不是詐騙,沒想到張小姐付款下訂3支,隨即遭賣家封鎖,這才發現好友的臉書帳號也遭盜用。
近期網路流傳不明訊息,以簡訊傳送領取防疫補貼等相關詞彙,中央流行疫情指揮中心發言人莊人祥今(25)日澄清,此為詐騙訊息,衛生福利部無發送此類訊息,若民眾收到勿點擊也不要輸入個人資料。
聯名金管會公文催繳保證金?證交所:這是詐騙 中央通訊社
證交所表示,近期接獲投資人反應,收到金管會與證交所聯名公文,稱因某外資證券機構帳戶涉不法情事,用戶證券帳戶將暫停交易,投資人需繳納20%保證金才能提領資金,證交所表示,這些是不實資訊,「千萬別被騙了」。
充電樁恐成資安破口 VicOne攜手台達建起防護網 電子時報
美國與歐盟先後宣布將電動車充電網納入全國基礎建設計畫中,英國也頒布要求電動車充電樁必須符合資安相關法規。而充電樁本身兼具能源調度、遠端監控、計費功能,其資安漏洞恐將成為駭客或不肖人士眼中的切入點。如日前莫斯科充電樁曾傳出遭烏克蘭駭客入侵,並在螢幕顯示反戰與反普丁資訊。
車聯網保險的機會與挑戰 經濟日報
全球重要國家在節能減碳政策的推動之下,限縮原有燃油車的生產,電動車的時代即將來臨。不久的將來,自動駕駛汽車會改變許多產業,包括金融保險業。車險業務是許多產險公司最重要的業績來源,如何因應自駕車的到來,便成為最重要的研究議題。
英國將允許「自動駕駛車輛」上路,專家憂:安全性問題不能單靠科學回答 關鍵評論網
英國一份最新由政府出資贊助的調研報告顯示,儘管人工智慧科技發展迅速,但是自動駕駛汽車全面取代人工駕駛汽車的日子似乎尚未完全到來,因為前者的安全性如何定義並「沒有簡單的答案」。
特斯拉全自駕電動車 拚年底問世 工商時報電子報
電動車大廠特斯拉(Tesla)執行長穆斯克(Elon Musk)29日表示,特斯拉期望能在年底前完成全自駕技術研發,並在美國或甚至歐洲市場廣泛推出。
自駕巴士率先導入車用 IDPS 勤崴國際與 VicOne 攜手強化資安 樂聯網
台灣電子地圖市占龍頭「勤崴國際」(6516) 與趨勢科技車用資安新公司VicOne共同宣布,成功在桃園虎頭山創新園區內由勤崴國際所開發的自駕巴士車輛控制系統中導入VicOne車用入侵檢測和保護系統 (IDPS)- xCarbon,藉由完整保護車輛關鍵電子控制單元(ECU),與即時蒐集車內偵測記錄與遙測資料發送到VSOC Platform進行分析,能大幅強化自駕巴士系統資訊安全性,協助相關營運人員掌握最新車輛運行狀態,擴大資安防禦視野並適應未來法規變化。雙方下一階段並將著手規劃於勤崴其他場域的自駕巴士技術合作,在智慧運輸領域再添成功應用實證。
(Daily Issue)ADAS與自動駕駛急加速 往Level 5技術領域邁進 電子時報網
搭載各等級自動駕駛功能的汽車,正在增加中。MarketsandMarkets在2022年2月曾估計,2021年自動駕駛車輛的市場規模2,030萬輛,2030年預料將達到6,240萬輛。
FBI警告,駭客愈來愈愛開採DeFi漏洞 iThome
美國聯邦調查局周一(8/29)警告,駭客愈來愈愛開採去中心化金融(DeFi)平臺上的智慧合約安全漏洞,以竊取加密貨幣,進而造成投資人金錢上的損失。而智慧合約是基於買賣雙方的協議,直接寫入既有的去中心化區塊鏈網路,而且會自動執行,隨著投資人對加密貨幣的興趣漸增,再加上DeFi平臺的開源屬性與複雜的跨鏈功能,都讓DeFi日益成為駭客的目標。
外媒:到2030年,NFT市場的估值可能達到2300億美元 鉅亨網
一份報告顯示,到2030年,NFT市場的估值可能達到2300億美元,是2021年的20倍以上。文章表示,在上一個加密周期中,NFT市場狀況在很大程度上與加密市場相關,並依賴於加密市場。隨著技術和數字資產估值飆升,個人和投資者更容易證明投機新興NFT資產類別的合理性,通常支付高昂的溢價,並堅信未來某個時間點可能會產生一些有形的效用和價值。
NFT詐騙爭議頻傳 恐釀泡沫化與消費權益黑洞 中央通訊社
本篇報導以天王周杰倫的NFT「無聊猿」因一條釣魚網址而被偷走,損失高達新台幣千萬元案例為題。透過專題報導的方式介紹NFT不同的詐騙事件與場景,讓消費者瞭解該如何避免落入陷阱,以防數位資產成海市蜃樓。並提及資安業者趨勢科技全球消費市場開發暨行銷協理劉彥伯表示,台灣警方目前對新型態的NFT、區塊鏈、加密貨幣詐騙,都還非常陌生,建議應實施相關教育訓練。
NFT詐騙亂象/周杰倫價值千萬NFT被消失 只因一條釣魚網址惹禍 中央通訊社
名人被駭事件層出不窮,以往多半是臉書、粉專被盜帳號,如今駭客轉向「非同質化代幣」(Non-Fungible Token,NFT)詐騙,連天王周杰倫的「無聊猿」NFT都被偷走,損失高達新台幣千萬元,上當原因竟只從一條釣魚網址開始。
虛擬地產掀炒房熱糾紛頻傳 專家:恐花大錢買空氣 中央通訊社
5月中旬,一個名為「空投夢想家」的網站,聲稱購買NFT可抽價值新台幣1300萬元的捷運住宅,網站更把國內外多家知名建商列為合作夥伴,卻遭遠雄、長虹、麗寶等建商企業嚴正澄清「無合作關係」。
駭客以幣安高層Deepfake影像詐騙加密貨幣專案團隊 iThome
加密貨幣交易平臺幣安(Binance)公關主管本月被不肖人士以deepfake全息影像(hologram)發送Zoom會議通知,以詐騙不知情的加密貨幣專案團隊。
方便盜取還能洗錢,NFT 成為加密犯罪首選 科技新報網
自那年後,超過 800 萬美元非法活動收益透過 NFT 創建、購買和銷售平台洗錢。另 3.28 億美元是來自混淆服務(obfuscation services),如讓用戶匿名下交換加密貨幣混合器,可能包括非法製造的錢。
正視身分管理擺脫資安債 網管人
數位化既帶來了新的機遇,也帶來了網路安全的漏洞。每項措施往往創造了大量彼此連動的數位身分,其中包含了與之相關的人類或機器的憑據。數位化應用所帶來的連接設備數量的增加,帶來的是嚴厲的挑戰。威脅者或惡意內部人員只需要一個外洩的身分就可以發起攻擊,並進一步提升權限,深入企業內部搜刮有價值的資產。
新研究顯示:面對複雜的IT環境,企業對資安防護信心下降 T客邦
全球雲端資安領導廠商趨勢科技日前最新的全球研究報告指出,全球 54% 的企業認為內部網路資安風險評估不夠縝密,讓自身曝露於勒索軟體、網路釣魚、供應鏈、物聯網攻擊等多種威脅。受訪者也表示過於複雜的技術部署,以及管理高層缺乏風險意識,都讓問題更形嚴重。
近年來,數位化浪潮前仆後繼,加上疫情推波助瀾、大幅改變人們生活,線上會議取代實體,App外送取代上餐館,加速催化數位人才需求。如數位轉型專家、客戶成功經理、線上互動教師、資料科學家、資安工程師、生理訊號工程師、沉浸式體驗工程師、商務拓展經理、DevOps工程師、全端工程師等,成為符合當前浪潮的2022年十大新興熱門職務。
總計有163家Twilio客戶遭駭客事件波及 iThome
雲端通訊平臺Twilio本月初揭露資安意外,坦承駭客以網釣簡訊騙走了多名員工的憑證,進而危及客戶資料,該公司上周公布了統計資料,表示有163個客戶的資料曾遭駭客存取,且駭客也存取了93名Authy使用者的帳號,並於相關帳號中註冊了額外的裝置。
趨勢科技與 Schneider Electric 結盟加速實現工業物聯網 (IIoT) 防護 iThome
全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 今天宣布與 Pro-face by Schneider Electric 簽署一項新的合作,象徵其守護工業 4.0 與工業物聯網 (IIoT) 的努力又邁向另一個里程碑。
OT 安全防護六大計劃 CIO IT經理人
在數位化過程中,關鍵基礎設施和生產設備逐漸成為網路攻擊者關注的焦點。 營運技術(OT)對於出自國家或經濟動機的黑客而言,是利潤豐厚的目標,因為攻擊可能破壞營運並削弱整個公司與企業組織。資安廠商趨勢科技最近的一項研究指出,過去十二個月,電力、石油和天然氣供應和製造領域有 90% 的德國公司都受到網路攻擊的影響。
專訪台灣首任數位發展部長唐鳳:「腦波控制」不是我的業務|天下雜誌 天下雜誌網
唐鳳:眼前的挑戰,最大的我想是資通安全的挑戰,隨著越來越多的服務透過網絡來遞送,它要怎麼樣不中斷、不受到干擾,沒有洩密的問題、沒有篡改的問題,這個是大家都關心的。
非營利人工智慧研究機構OpenAI推出的GPT-3自然語言轉換器在科技界掀起波瀾,由於GPT-3也曾針對電腦程式碼做訓練,因此OpenAI也釋出專為協助程式設計師的特殊引擎版本Codex,本文將測試這樣的程式碼產生功能到底能夠發揮到多少實用性。
《原神》防作弊系統出現漏洞 駭客將藉其「殺死」防毒放勒索軟體大舉入侵 聯合新聞網
米哈遊網路(HoYoverse)旗下開放世界多平台動作 RPG《原神》(Genshin Impact)按照時程進行了各種更新,如最近實裝的 3.0 版本須彌添加了新角色、擴展故事線和其他功能。
未連網也能駭 以色列學者警示新駭客技術 電子時報網
駭客技術五花八門,就算未連接網路的電腦都未必能夠倖免於難。據The Register報導,以色列Ben-Gurion University網路安全研究實驗室的研發負責人Mordechai Guri再度發表報告,指出智慧型手機陀螺儀的Gairoscope技術,與網路卡(NIC)LED燈的EtherLED技術,將如何讓有心駭客透過更難以察覺的手段,威脅氣隙(Air-gapped)系統的資安。
Google遭爆比臉書還會偷收集用戶數據!一舉一動都被追蹤 自由時報電子報
這不是秘密,被大型科技公司搜集個人數據已是常態,對使用者來說,大多是在不知情或未經同意下被追蹤,但哪家科技公司收集最多數據?
GitLab DevOps大調查顯示,超過半數DevOps團隊已採用安全掃描工具 iThome
GitLab針對5,000位DevOps專業人士進行DevOps調查,在2022年,自動化、發布節奏和新興技術的採用三方面的趨勢勁升,同時企業也更加仰賴DevOps所帶來的安全益處,有超過一半的受訪者表示,團隊已經採用各式安全掃描工具,甚至已經運用人工智慧/機器學習技術來檢查程式碼。
網路上還有8萬臺Hikvision監視器尚未修補一年前的重大漏洞 iThome
中國監視攝影設備大廠海康威視(Hikvision)在去年9月修補了藏匿在逾70款監視器中的重大安全漏洞CVE-2021-36260,該漏洞將允許駭客直接接管監視器,甚至危害整個網路,而且已出現多個鎖定該漏洞的攻擊程式,然而,資安業者Cyfirma近日指出,公開網路上尚有超過8萬臺監視器尚未修補該漏洞。
趙立堅沒否認! 網路安全公司稱陸駭客攻擊美南海公司及澳政府 中國批 : 美政府白手套 新頭殼
網路安全公司 Proofpoint 認為,中國駭客可能對在南海運營的能源公司和澳洲政府發動了攻擊。對此,中國外交部發言人趙立堅稱, Proofpoint 是美國政府的白手套,配合美國政府散播毫無專業性和可信度訊息」。Proofpoint發表《漲潮:追逐南中國海的間諜潮流》研究報告。報告指出,對於中國南海的能源公司、澳洲政府近日受到的攻擊與中國駭客有關。
Google針對旗下開源軟體祭出抓漏獎勵 iThome
Google本周二(8/30)針對旗下的開源軟體祭出抓漏獎勵計畫 OSS VRP(Open Source Software Vulnerability Rewards Program),該計畫初期將鎖定Bazel、 Angular、Golang、Protocol buffers與Fuchsia等軟體,獎金從100美元到31,337美元不等,Google亦強調,不尋常及有趣的漏洞可能會獲得較高的獎勵,歡迎安全研究人員發揮創意。
Google Cloud宣布在台推出「雲端人才搖籃計畫 工商時報電子報
Google Cloud今(31)日宣布推出「雲端人才搖籃計畫」,首波與元智大學、東海大學以及高雄科技大學共同推動雲端學程,並協助院校導入Google Cloud Platform(GCP)應用平台,完善雲端教育環境,預計在三年內協助1500位學生取得國際認可的Google Cloud雲端基礎認證,而獲得認證的學生也將列入Google人才庫,並成為Google Cloud合作企業夥伴未來徵才的優先考量對象。
【資安日報】2022年8月31日,惡意Chrome擴充套件竊取受害者上網資料、駭客入侵受害電腦一個月後才部署挖礦軟體 iThome
駭客以提供具備實用功能的應用程式來竊密、散布惡意軟體的手法,相當值得留意。研究人員發現了駭客藉著提供Chrome擴充套件、Windows小軟體的方式發動攻擊,使得一般使用者難以察覺異狀。
擘畫台灣資本市場藍圖 櫃買四大要務 壯大雲端服務產業 工商時報
外資今年大賣台股逾1兆元,櫃買中小型股成台股中流砥柱。櫃買中心總經理李愛玲表示,櫃買將積極推動四項重要工作,來積極發掘市場創新動能,在現有半導體、電子(除半導體外)、生技三大產業後,推動數位雲端服務成下一個產業聚落。
MIH執行長鄭顯聰:Web3將扮演EV生態系關鍵角色 自由時報電子報
鴻海(2317)主導的MIH電動車開放平台今天預告將於將在9月16日舉行「專利貨幣化」網路研討會 ,並於11月8日舉辦年度Demo Day,執行長鄭顯聰今天指出,未來Web3應用程式將在電動車生態系中扮演關鍵角色。
童子賢:車用晶片大趨勢不會停 元宇宙帶來新經濟平台 自由時報電子報
和碩(4938)董事長童子賢昨出席玉山科技論壇,提及人工智慧運算決策高速發展,小小車子裡塞入許多晶片的趨勢不會停歇。此外,童子賢談及元宇宙時,形容它如同人類潛意識的冰山一角,底下還有非常廣大的世界。
SEMI:2028年全球汽車電子市場將突破4,000億美元 經濟日報網
SEMI全球行銷長暨台灣區總裁曹世綸今(31)日表示,汽車科技的發展,勢必是朝向智慧化及電動化方向前進,從引擎到電源晶片,相關製造仰賴半導體晶片以及相關電子零件的需求日漸提高。SEMI預估到2028年,全球汽車電子市場規模將突破4,000億美元,年複合成長率達7.9%,深具發展潛力。
鴻海Model C來了!電動車整車工業 啟動 經濟日報網
鴻海(2317)與裕隆旗下鴻華先進打造的首款量產電動車Model C將正式登場,這是第一輛鴻海打造的標準化、平台化與模組化的電動車款,不僅象徵鴻海集團在電動車產業開始邁大步,更重要的是,象徵台灣電動車整車工業正式啟動。
以智慧車為產業舖路 南韓欲成智慧城市發展先驅 電子時報網
南韓起亞(Kia)汽車台灣總代理森那美起亞總裁李昌益表示,南韓致力於發展電動車與自駕車,都是為了讓智慧城市的願景更加完善,而其中將牽涉到通訊、精準地圖、交通控制、道路等多個層面。在這方面,現代集團也將發展UAS、各式氫燃料電池載具、精進自駕與空中下載(OTA)等技術,並致力於研發PBV,以符合各種使用情境。
華邦成全球首家ISO/SAE 21434道路車輛網路安全管理體系認證 電子時報網
ISO/SAE 21434概述了汽車從概念、開發、生產、使用和報廢過程中所需的安全標準,要求汽車系統應具備更強的資訊安全功能以抵禦網路攻擊。ISO/SAE 21434適用於微型電腦及其元件,並要求汽車行業採用滿足該標準的零組件,以提供足夠的網路安全防護。因此,許多汽車製造商及其零件供應商都將通過ISO/SAE 21434 認證作為強制標準,以有效改善車輛對網路威脅的管理能力。
NO MORE RANSOM 收錄超過 100 種勒索軟體解密工具,提供線上掃描勒索軟體類型功能 電腦王阿達
近年來勒索病毒、勒索軟體可說越來越多,也因此無論是個人使用還是企業,都不能忽略防毒防駭,不過如果真的不小心中標了,檔案被不明勒索軟體加密,這篇就要推薦一個可能可以救你的 NO MORE RANSOM 網站,收錄超過 100 種勒索軟體的解密工具,如果你已經知道是中哪一種勒索軟體的話,就可以直接找找看有沒有,不知道也沒關係,這網站還有提供線上掃描功能,來幫你判斷出你中的勒索軟體是哪一種。
藍新金流在兩週內遭遇數波DDoS攻擊,國內至少十多家線上平臺期間暫時無法交易或付款 iThome
在8月26日藍新科技公司發布公告,說明藍新金流因IDC機房遭受數波來自海外惡意攻擊,導致金流服務暫時中斷,事實上,這已經是藍新金流最近兩周內第六次因DDoS攻擊導致服務中斷或不穩的情形,以至於業者的因應有效性備受外界關注,同時有多家線上中小型平臺表示交易付款受影響。
偽造運彩中獎照片保證穩贏 逾18人被騙上百萬 中時新聞網
以李姓男子為首的詐欺集團,在IG等社群軟體刊登偽變造的運彩中獎照片,營造分析神準、高中獎率假象,藉此向民眾詐取「賽事分析費」及「賽事投注金」。刑事局偵查第二大隊循線將李嫌等8人拘提到案,李嫌遭法院裁定羈押禁見。
全球主要圖書館供應商Baker & Taylor遭勒索軟體攻擊 iThome
成立於1828年的全球主要圖書館供應商Baker & Taylor在上周二(8/23)宣稱伺服器故障,影響該公司的所有系統與應用,但本周一(8/29)即改口表示遭到勒索軟體攻擊,已進一步聘請外部專家來協助,首要之務是恢復系統並進行消毒,之後才會陸續恢復各項服務。目前Baker & Taylor並未公布勒索軟體名稱,也尚未有駭客出面認領。
洛克威爾自動化以IIOT平台提供企業進行IT、OT整合 迎向淨零碳排轉型 佈建未來工廠藍圖 CompoTech Asia 電子與電腦
隨著產業不斷的演進,工廠場域及設備之間趨於複雜,企業及工廠由於管理便利,陸續佈局於智慧化管理。全球工業自動化和資訊企業龍頭洛克威爾自動化藉由產業洞察,積極發現企業需求,提供IT、OT整合秘方,並運用IIoT平台攜手客戶進行淨零排碳的數位轉型,快速實踐廠房的維運與巡檢、數據化的管理分析和網路資安系統的建立等。
【資安日報】2022年8月30日,駭客以測試遊戲為幌子散布竊密軟體、美國警告台達電子ICS軟體漏洞已被用於攻擊行動 iThome
測試遊戲有可能是陷阱!有駭客以此名目來散布數款竊密軟體,進而洗劫受害人加密貨幣錢包;去年揭露的台達電子工控軟體DOPSoft 2漏洞CVE-2021-38406,美國CISA指出已被用於攻擊行動。
扮假買家騙賣家帳戶被凍結! 小心賣東西帳戶被掏空 tvbs新聞網
網路詐騙現在又有新手法!以前都是鎖定買家,現在賣家也要注意,因為會有人假裝要跟你買東西,最後跟你說,他為了付款給你,轉帳結果帳戶莫名被凍結,這時候賣家們都會很緊張,可能因此步入他們設計的圈套。
要整合不同醫院醫療系統!衛福部計畫推次世代數位醫療平臺 iThome
衛福部部長薛瑞元表示,衛福部計畫推動次世代數位醫療平臺,要解決臺灣醫院醫療系統各自為政的痛點,進而發展有效的商業模式,讓ICT大廠與醫院開發出的好系統,能快速被其他醫院使用。醫事司司長劉越萍則點出,衛福部目前推動採用國際醫療資料交換標準FHIR,要作為國內醫療資料交換規格。
【謠言風向球】紓困詐騙郵件和簡訊濫發 亂點小心「人財兩失」 台灣事實查核中心
「疫情紓困,線上審核,無須碰面, 線上撥款10萬元…加賴ID…..」、「恭喜您,您的防疫補助請線上領取,點網址領」、「確診者補助申請 5.0方案啟動」這些訊息,你收到了嗎?千萬別急著點開,這些可都是詐騙訊息!若點入循著詐騙話術前進,不僅個資安全不保,銀行帳戶全都露、存款也可能轉瞬成空,真正「人財兩失」。
北韓駭客集團Kimsuky會再三確認受害者身分才部署惡意程式 iThome
資安業者卡巴斯基(Kaspersky)近日揭露了北韓駭客集團Kimsuky的攻擊途徑,顯示此一專門鎖定南韓實體的駭客組織會再三確認受害者身分之後,才會進一步部署惡意程式。
另一個Twilio駭客事件受害者出面了,Okta:用戶的一次性密碼遭存取 iThome
繼Signal之後,另一個被Twilio駭客事件殃及的受害者出面了,專門提供身分認證與存取管理服務的Okta上周指出,駭客盜走了Twilio員工的憑證,用以存取了Okta客戶的電話號碼,以及透過Twilio服務傳送的一次性密碼。
美國陸軍招募國家駭客 iThome
美國陸軍網頁指出,21世紀的戰爭已經轉移到網路,惡意網路流量、複雜的釣魚攻擊、病毒和其他虛擬攻擊,正對美國關鍵基礎架構及民眾安全產生直接威脅。
Atlassian修補Bitbucket風險值9.9的指令注入漏洞 iThome
Bitbucket是一Git儲存庫管理及CI/CD平臺,可以代管服務或本地部署方式提供。最新漏洞編號CVE-2022-36804,則是影響本地部署的Bitbucket Server及Data Center版本。它是一個指令注入漏洞,發生在這2項軟體的多項API端點,可讓具備公開儲存庫或讀取私有Bitbucket權限的攻擊者,藉由傳送惡意HTTP呼叫開採,並執行任意程式碼。Atlassian將該漏洞列為9.9。
【資安日報】2022年8月29日,伊朗駭客利用IT服務管理系統Log4Shell漏洞攻擊以色列組織、Twilio公布遭駭事故的受影響規模 iThome
利用Log4Shell漏洞的攻擊行動近期似乎較少傳出,但相關攻擊是否就此銷聲匿跡?答案顯然是否定的。例如,伊朗駭客組織MuddyWater現在鎖定了以色列組織的IT服務管理系統SysAid來入侵,其利用的漏洞正是Log4Shell。在此之前,這些駭客就已經利用此漏洞發動攻擊,但不同的是,他們鎖定的目標是遠距辦公平臺VMware Horizon。
沃爾瑪網站出現只要 39 美元「30TB」行動 SSD,別上當!是假貨 科技新報網
面對種類繁多、品項眾多又方便的網路購物,許多賣家往往忽略缺點。網路購物不像實體店面購買前可親眼看到、親手摸到商品,所以成為網路詐騙犯販賣假貨的天堂。即使在知名購物網站購物,也要認明有良好信譽的賣家才行。最近沃爾瑪網站開賣容量高達「30TB」的 AliExpress 行動 SSD 固態硬碟,竟然只需「39 美元」(約新台幣 1,195 元),玩家光看容量及價格,就能確定又是騙很大的假貨。
Google雲端正式推出虛擬機器威脅偵測服務,可發現挖礦和核心竄改等惡意行為 iThome
Google宣布在其安全命令中心加入虛擬機器威脅偵測(VMTD)功能,並正式推出供所有用戶使用,該功能融入虛擬化堆疊中,在背景持續掃瞄用戶工作負載中存在的安全威脅。Google官方提到,VMTD可發現執行個體中一些特別的攻擊,像是發現用戶的防毒代理實則為虛擬貨幣挖礦程序等案例,除了可以發現挖礦行為外,也可以辨識和回報挖礦活動的特定過程。
投資詐騙猖獗!金管會前七月接獲檢舉385件 超過去年一整年 自由時報電子報
國內投資詐騙猖獗,根據證期局最新統計,今年前七月接獲檢舉案件已達385件,比起去年一整年的336件還要多。根據證期局統計,違法投資詐騙主要類型有7大項,包括:「以簡訊或LINE群組勸誘購買股票」、「冒名金融機構詐騙」、「非法金融交易平台、「推銷販賣買未上市櫃股票」、「虛擬貨幣交易平台」、「經營非法期貨」、「經營非法投顧」等。
Meta將推旗下最強元宇宙頭盔 眼部、臉部追蹤更進化 匯流新聞網
綜合外媒報導,自祖克柏宣布將推出全新VR頭盔後,有消息指出,其產品代號為Project Cambria,將配備更高階的眼部和臉部追蹤功能,將加強使用者表情變化追蹤,讓元宇宙的虛擬替身可以更完整的複製,以提供用戶更進階的社交互動能力。
(Daily Issue)人才短缺、供電不足、環境壓力 資料中心商機無限 產業挑戰也多 電子時報網
諮詢機構SkyQuest估計,2021年全球資料中心市場達到2,200億美元規模,且預估到2028年,將以每年平均5.10%的速度,成長至3,116億美元。然而,在龐大商機的背後。
Cloud周報第154期:富邦金控展開集團上雲計畫,優先把辦公OA應用搬上公雲 iThome
臺灣近來有許多金融企業開始擁抱雲端,不只國泰金控要將集團上百套系統搬上公雲,來打造金融混合雲架構,富邦金控近日也宣布要展開集團上雲計畫,第一步先從辦公OA應用上公雲開始做起,他們計畫導入微軟Microsoft 365雲端產品,包含使用Azure AD、多因素驗證機制以及Exchange郵件收發服務打造混合辦公OA雲端環境,以提升工作彈性與行動力,同時也要確保帳號建置、裝置、應用程式與內容都能合規和隱私保護。
眾至「內網零信任」資安框架,強化企業內網防護力 iThome
儘管行政院通令全國公務機關於2021年底前禁用中國網通產品,但是今年爆出部分單位依舊使用中國開發的資安軟體系統,如日前台鐵顯示器就因使用陸製軟體,導致遭到駭客入侵。由於不斷有政府部門及企業組織頻頻爆發遭受駭客網路攻擊事件,雖然多數單位都有導入相關的防護設備,但是隨著駭客組織不斷精進攻擊手法,讓駭客可以閃避這些資安設備的偵測進而滲透到單位內部,竊取機密資料或癱瘓重要主機營運。
資安威脅迫在眉睫,美國防部要在五年內全面零信任架構化 科技新報網
零信任架構(Zero Trust Architecture, ZTA)最早是由 Forrester Research 公司副總裁兼首席分析師金德威格(John Kindervag)於 2010 年提出,是一種 IT 安全性方法,除了假設受信任的網路周邊並不存在,也會先行驗證每一筆網路交易,再予以放行。
攜手工研院、中光電,7-ELEVEN 測試移動機器人、無人機外送 科技新報網
看好未來外送無人化趨勢,7-ELEVEN 串聯集團旗下外送平台 foodomo,領先同業在 2022 下半年積極投入兩大無人外送測試計畫:一、積極參與工研院「AMR 無人智慧物流技術」送餐服務,推動在地首創的自主移動機器人直送門口新服務;二、整合統一集團旗下 7-ELEVEN、foodomo、康是美、黑貓宅急便四大品牌資源,並攜手中光電智能機器人,推動全新無人機外送模式。
網路戰爭無國界,以俄烏網路戰為鏡提升全民資安防護意識 數位時代
自8月初開始,台灣各界遭受網路駭客攻擊的次數遽增至數百萬,受到攻擊的對象包括中央政府、地方政府、學術單位及企業,相較於過往的單一、零星攻擊,此次的攻擊更廣泛且集中,我們建議政府、企業組織及人民需要正視此次的網路攻擊,並借鏡於俄烏戰爭的經驗,全面提升資安防護意識,並進行通盤的戒備。
防中國網攻 專家:政府應協助強化中小企業資安 中央通訊社
台灣資安鑄造公司副執行長王仁甫今天表示,美國眾議院議長裴洛西訪台期間,中國網軍選擇攻擊超商看板等設施,顯示中小企業資安不夠完善,建議政府未來應該協助中小企業強化資安能量。
數位發展部揭牌 開搶資安資訊人才 中央通訊社
數位發展部長唐鳳今天表示,接下來主要向資安、資訊領域人才招手,年底將成立行政法人國家資通安全研究院,還會有更新一波的技術專業徵才,敘薪上會更彈性一點,並會跟各部會密切合作。
立法通過 加州2035前禁售汽油車 工商時報電子報
加州空氣資源委員會(CARB)25日表決通過,規定加州在2035年前禁售汽油新車,屆時新車銷售必須是電動車或氫能車,僅容許少部分油電混合車,而其他州也將跟進立法。
DuckDuckGo 的免費隱私電郵服務正式開放使用 Engadget中文版
強調保護個資的 DuckDuckGo 在去年預告了會在網頁瀏覽器中加入免費的電郵保護服務,其賣點是能擋住藏在電郵裡的追蹤器,藉此隱藏自己的網路足跡。今天這個 Email Protection 功能正式由邀請制改為公測階段,讓所有人都可以立馬獲得保護。
友帳號被盜稱iphone便宜賣 她私訊懷疑詐騙反入陷阱 HiNet
近期民眾因防疫在家常利用網路購物,造成假網路拍賣詐騙案件層出不窮,警方發現,詐騙集團盜用民眾社群平臺帳號後,轉貼他人販賣商品文章,讓民眾好友就算懷疑是詐騙,進一步詢問也是問到詐騙集團成員,讓民眾更容易掉入詐騙陷阱。
【資安日報】2022年8月26日,駭客鎖定Gmail企業用戶發動AiTM網釣攻擊、PyPI套件開發者遭到釣魚郵件攻擊導致套件遭竄改 iThome
我們最近報導了數起鎖定Microsoft 365企業用戶的AiTM中間人攻擊行動,但使用Google Workspace的企業也成為了目標。與先前的AiTM攻擊有所不同之處,在於駭客採用網址放任重新導向弱點等規避偵測的機制,而難以察覺其惡意行為。
LastPass遭入侵,程式碼被盜 iThome
密碼管理服務LastPass周四(8/25)坦承,該公司在兩周以前於開發環境中偵測到不尋常的活動,調查後發現有未經授權的第三方,透過一個外洩的LastPass開發者帳號存取了該環境,並盜走部分的程式碼與私有技術資訊,但並未危及使用者資料或是加密的密碼庫。
VMware Tools 驚現本地權限提升漏洞,恐將引發虛擬機器資料大外洩 科技新報網
Vmware 本週發布安全公告指出,該公司在 VMware Tools 中發現 CVSS 漏洞嚴重程度被評為 7.0 的「重要」級安全漏洞(漏洞編號 CVE-2022-31676)。原本只能以本地端非管理權限存取 Guest OS 的惡意攻擊者,能藉由該漏洞在虛擬機器(Virtual Machine,VM)中提升自我權限成為根使用者,進而完全接管內含重要企業資料、使用者資訊、憑證及應用程式的虛擬機器。
超過 1,500 萬名 Plex 串流平台用戶資料遭竊,但因密碼有雜湊保護,Plex 老神在在 科技新報網
串流媒體平台 Plex 24 日主動發信通知客戶,某資料庫發現可疑活動,調查發現信件、使用者名稱及加密密碼等「有限」資料子集遭「第三方」竊取,公司專用資料庫遭入侵,駭客帶走超過 1,500 萬名用戶(占 3,000 萬名用戶一半多)資料。
電費詐騙猖獗 7、8月5700件 自由時報電子報
詐騙手法層出不窮,最近更變本加厲!台電統計,七、八月已有高達五千七百件民眾通報,反映收到電費詐騙訊息。台電提醒,絕不會要求民眾前往操作ATM轉帳,也不會以網址連結要求辦理退款,民眾收到相關訊息要提高警覺,也可向台電客服專線一九一一詢問確認。
駭客竊取歐洲軍事武器檔案 還拍賣至論壇 包含俄烏戰爭「武器藍圖」 新頭殼
據英國廣播公司(BBC)26 日報導,駭客組織竊取了與歐洲主要武器製造商相關數據後,正在出售這些外洩機密軍事檔案,其中包括北約盟國在烏克蘭戰爭中的武器藍圖,歐洲一家跨國導彈開發商和製造商「MBDA 導彈系統」公司也承認數據被洩露,但表示駭客出售的機密文件不屬於該公司。目前,北約已就此事進行調查,並且評估其機密文件被洩露的影響。
凡運算皆能駭…從核電廠到販賣機 都能上演資安戰 聯合新聞網
數位新時代到來,人們生活裡的一切事務,小到飲料販賣機、無人商店、咖啡機器人,甚至大到自來水廠、核電廠,全都有IT(資訊科技)程式掌控;雖然這樣的生活很便利,但如果有一天,這些IT程式全被駭客破解了,有沒有想過,我們的生活,會發生哪些劇變?
Check Point報告顯示全球網路攻擊增加 42% 電子時報網
Check Point發布《網路攻擊趨勢:2022 年中資安報告》,指出錯綜複雜的網路攻擊已上升為國家級武器,包含新的攻擊手段「國家勒索」和由國家支持的駭客激進主義,而勒索軟體蔓延也將成為頭號威脅。
自動化展聚焦三大看點 低碳、資安躍升熱門議題 電子時報網
距離上次展出不到1年,台北國際自動化工業大展暨智慧製造系列展再度以實體登場,2022年集結包括自動化、智慧機器人、物流、冷鏈、智慧模具與成型、3D列印、雷射、流體傳動與智慧控制等九大主題。隨著後疫情時代產業面臨多重挑戰,業界一再強調「製造服務化」轉型所帶來的高價值,值得注意的是,近年產業也紛紛以生態系為導向,跨域整合從製造端到應用端所需的軟硬體設備及系統,提供終端用戶更全面改善製程或提升產品附加價值的轉型升級策略。
微軟報告:80%勒索軟體攻擊出自雲端服務配置錯誤 iThome
微軟最新的《Cyber Signal》報告是根據微軟蒐集的43兆個安全訊號,以及8,500位安全專家提供的意見整理而成。今年的計畫把重點放在勒索軟體即服務(Ransomware-as-a-service, RaaS)以及網路犯罪經濟。
GitLab修補重大RCE漏洞 iThome
GitLab指出,最新漏洞和GitLab Import API有關。Import API讓開發人員可從外部服務如GitHub、Bitbucket Cloud將專案搬到GitLab執行個體。這項編號CVE-2022-2884的漏洞可讓具授權的用戶從GitHub API端點,經Import在GitLab遠端執行程式,風險值達CVSS 9.9。
串流媒體平臺Plex外洩用戶帳號與加密密碼 iThome
提供既有免費內容串流服務的Plex近日傳出遭到駭客入侵,駭客存取了該公司逾半用戶的電子郵件帳號及加密密碼,連Have I Been Pwned(HIBP)創辦人Troy Hunt都是受害者。
【資安日報】2022年8月25日,駭客鎖定Microsoft 365用戶發動AiTM攻擊、GitLab修補CVSS評分達9.9分的重大漏洞 iThome
採用Microsoft 365的企業再度遭到鎖定!資安業者發現有人對這些企業發動AiTM中間人攻擊,目的是挾持Microsoft 365帳號來進行商業郵件詐騙。這樣的攻擊手法已有先例,但不同的是,這次駭客專門針對高階主管而來。
加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上