《資安新聞周報》  蘋果Mac小心!Windows銀行木馬程式偽裝普通文檔攻擊/全民發6000詐騙集團蠢動 行政院:政府不會用簡訊通知 /7分鐘損失3.5億美元 TWNIC黃勝雄:企業發生資安風險,一下就回到石器時代

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

7分鐘損失3.5億美元 TWNIC黃勝雄:企業發生資安風險,一下就回到石器時代   天下雜誌網

2022 年 22 項全球各國政府重要的網路安全措施     CIO IT經理人

展望2023 CIO必看10大趨勢      iThome Weekly電腦報

證實遭匿名勒贖 華航:未影響航班.會員個資      華視全球資訊網

趨勢再成立子公司!CTOne 資安加入 5G 企業內網市場,提供專業解決方案          INSIDE

VicOne在CES 2023推出全新車用資安方案 展示安全智慧座艙環境          iThome

線上服務不能只靠一次簡訊驗證 依特徵可偵測假帳號 SMS PVA隔空冒用簡訊 手機認證碼恐不再安全 (下)        網管 人

美國數位車牌驚爆系統漏洞,可追蹤車輛甚至刪除車牌          科技新報網

美科技廠大裁員 亞馬遜、思科重砍後下一家指向Google    ETtoday新聞雲

斷言Web3將成Google殺手!美國未來學家:人們會重奪資料所有權     數位時代

銀行員涉配合詐團 金管會:通案有4大因應措施    自由時報電子報

為車輛打造「航空樞紐」,意法強攻軟體定義汽車商機  科技新報網

5G、AI構建產業新生態 智慧物聯龐大商機快速浮現       電子時報網

強力落實軟/硬體防護 供應鏈全面把關車用資安       網管人

多家汽車製造商系統存在API漏洞暴露車主個資,甚至可讓攻擊者遠端接管車輛          iThome

工控物聯網資安照步來 國際化準則融合OT/IT安全         網管人

雲端原生平台維護IoT高等級安全      網管人

只需 3 秒音訊,微軟新 AI 模型就能模仿某人聲音念稿 科技新報網

安全專家揭露訓練AI建議撰寫危險程式的攻擊手法TrojanPuzzle           iThome

Word 文件AI功能大躍進?傳微軟擬為Microsoft 365 導入 ChatGPT 技術 自由時報電子報

痛苦到 2025 年,微軟 CEO:AI 引領下一波成長週期     科技新報網

有問必答的AI聊天機器人ChatGPT 被發現遭駭客用來協助開發惡意程式          網路資訊雜誌

物聯網成長大爆發 5G AIoT啟動資安數位轉型       新電子網

獨/中國博弈網站流竄 200萬冊書QRcode遭「駭」     東森電視網

別上當!全民發6000詐騙集團蠢動 行政院:政府不會用簡訊通知     ETtoday新聞雲

出現假冒寶可夢特許的 NFT 卡牌遊戲網站!駭客恐接管電腦、竊取資料          科技新報網

詐騙APP橫行 刑事局:Google Play下載多小心        自由時報電子報

安卓惡意軟體GodFather「盜取2FA驗證碼」,逾200種加密錢包遭攻擊          BLOCKTEMPO

快刪掉!這8款APP會竊取銀行帳密 小心錢被盜光        東森電視網

蘋果iMessage詐騙訊息多 刑事局提醒升級iOS 16.2過濾攔截        聯合新聞網

荷航、法航疑客戶個資外洩,通知用戶變更密碼     iThome

出現 Dridex 變種惡意軟體,運用全新感染手法攻擊 macOS 系統           科技新報網

趨勢科技訓練工程師 「德州撲克」較高下         1111產經新聞網

蘋果Mac小心!Windows銀行木馬程式偽裝普通文檔攻擊   自由時報電子報

【資安日報】2023年1月11日,微軟1月份例行修補緩解近百個漏洞、Trojan Puzzle攻擊手法可訓練AI助理產生惡意程式碼 iThome

因應在地企業數位轉型需求,微軟力助企業創造新價值、落實永續營運          電子時報網

微軟兩大系統同步退役!Windows 7、8.1走入歷史          自由時報電子報

英業達、新漢、趨勢和微軟四方合作加速製造業數位轉型     CTIMES零組件雜誌

第 15 屆科技趨勢金獎結果出爐 揭曉鍵盤滑鼠、電競設備等得獎名單     巴哈姆特

男FB賣二手物 買家引導至蝦皮!給假網址詐騙  tvbs新聞網

LG U+18萬用戶信息被泄露  太平洋日報

Telegram 詐騙頻傳,別傻傻「截圖」讓駭客有機可乘     科技新報網

通訊軟體Telegram加入零儲存和隱藏群組成員功能         iThome Weekly電腦報

TikTok執行長訪布魯塞爾 承諾遵守歐盟嚴格技術規則 壹蘋新聞網

抖音涉資安疑慮! 是否禁止民眾使用數位部這樣說     壹蘋新聞網

【資安日報】2023年1月10日,研究人員揭露Text-to-SQL機器學習模型弱點、NPM套件JsonWebToken漏洞恐導致2.2萬專案曝險          iThome

MIH建立美國俄州創新基地 先拿北美再攻全球         自由時報電子報

遏止投資詐騙廣告 數位部:合法金融機構才能登廣告    自由時報電子報

ST生物辨識支付平台取得EMVCo認證 可供發卡機構掌握上市先機          Ctimes

遠見直擊CES》工研院、和碩聯手搶5G專網   遠見雜誌網

加密貨幣交易怕被騙?Chainsight用AI揪嫌疑犯,握10年犯罪數據庫防詐     數位時代

預聘元年! 勞動部號召重點產業入校以儲備新血          ETtoday新聞雲

依廠區流程建構OT網路安全性  新電子網

謠言終結站》盜用吳淡如廣告騙你入Line群組 專家:小心上當   自由時報

俄駭客鎖定美3座核實驗室騙帳密 時間點巧撞普廷嗆用核武        自由時報電子報

【資安日報】2023年1月6日,Slack驚傳部分原始碼遭竊、南非駭客Automated Libra大肆濫用持續整合及持續交付服務挖礦          iThome

DevOps平臺CircleCI恐遭入侵,警示用戶更換憑證 iThome

Slack被駭客竊走程式碼        iThome

英國情報機構查出中國汽車零件內藏追蹤裝置 憂慮中國物聯網科技成為情報漏洞     太報

全新 SHC 編譯惡意軟體攻擊!鎖定 Linux 伺服器植入挖礦程式及 DDoS 殭屍病毒       科技新報網

都是外掛程式漏洞惹的禍!數百個 WordPress 網站被植入 JavaScript 後門       科技新報網

資安A級機關驚傳內鬼 健保署官員 涉洩查個資13年     自由時報電子報

F5擴充SaaS安全方案推出F5 Distributed Cloud App Infrastructure Protection        iThome

微軟發布Graph開發者代理預覽,簡化Microsoft Graph應用程式除錯     iThome

2023 CWEF經濟論壇 引領菁英駕馭逆風刷新未來    中時新聞網

唐鳳出訪立陶宛 拜會立國官員交流資安    自由時報電子報

甲骨文預測 2023 雲端運算趨勢:一體適用型雲端已不合時宜          CompoTech Asia 電子與電腦

AWS:量子運算有助於提升資料安全性     科技新報網

亞馬遜宣布向更多第三方開發者提供其Sidewalk物聯網連接技術          聯合新聞網

【事實釐清】網傳超商禮券「家裡信箱若收到這禮券,立即撕毀,是新詐騙手法,禮卷是假的,千萬不能掃碼,個資及錢就飛了!已經有人受騙了」?          台灣事實查核中心

去年第4季投資詐騙金額較前年同期激增7成 2女被騙千餘萬    自由時報電子報

【資安日報】2023年1月9日,程式碼編輯器VS Code外掛程式市集恐遭駭客濫用、惡意PyPI套件透過Cloudflare隧道服務繞過防火牆   iThome

從使用者習慣與需求出發,VicOne推出智慧座艙資安方案    資安人

Azure、Office 365 前景恐不妙,瑞銀分析師示警微軟營運正受考驗          財經新報

亞馬遜大裁員 砍逾1.8萬人 近一年來科技公司最大規模 零售、人資部門衝擊最大 彭博:凸顯產業景氣更加低迷       經濟日報(臺灣)

V2X資安管理刻不容緩 各國紛推車聯網資安憑證 電子時報

「請支援防詐」!全聯與刑事局將聯手做這件事     自由時報電子報

臉書、IG服務條款強迫用戶接受同意廣告,Meta遭愛爾蘭重罰3.9億歐元     iThome

駭客以Shc撰寫Linux惡意程式繞過安全偵測,散布挖礦軟體、DDoS程式       iThome

2億推特用戶電郵資料流入駭客論壇僅賣2美元      iThome

【資安日報】2023年1月5日,近20個汽車廠牌的API漏洞恐曝露車主個資、Linux惡意軟體被用於散布挖礦程式   iThome


2022 年 22 項全球各國政府重要的網路安全措施     CIO IT經理人

網路安全一直都是全球各國政府議程中的焦點,國家與地方級機構無不更加努力因應網路安全威脅。2022 年可以看到由政府主導的大型措施正式啟動,協助處理各方各面的安全性議題。

<回到新聞條列重點>   

展望2023 CIO必看10大趨勢      iThome Weekly電腦報

生成式AI在2022年大爆發,一些科技大廠開始在自家服務嵌入生成式AI來優化體驗,也有龍頭業者直接打包成產品來供企業使用。生成式AI的應用領域,也從過去的特定用途,走向更廣、更通用的領域。    

<回到新聞條列重點>   

物聯網成長大爆發 5G AIoT啟動資安數位轉型       新電子網

設備聯網是各種智慧應用的基石,進入AIoT時代,5G、AI、物聯網等開創更繽紛多彩的新興應用,但網路的無所不在同樣也讓資安風險急速擴大,成為物聯網全面普及的主要障礙。如何為終端設備、網路連結與雲端應用,找到正確、適合的資安防護方案與部署對策,是生態系業者搶占AIoT商機的制勝關鍵。       

<回到新聞條列重點>   

獨/中國博弈網站流竄 200萬冊書QRcode遭「駭」     東森電視網

借書卻差點遭詐騙,有民眾在金門機場候機室看到漂書協會和交通部合作,提供免費書籍讓民眾借閱,書封面貼上的QRcode跳出來的網址,卻連上了中國大陸線上博弈網。由於漂書計畫已進行8年,市面上已經有超過200萬本書流通,提醒愛書民眾暫時別點進去。         

<回到新聞條列重點>   

別上當!全民發6000詐騙集團蠢動 行政院:政府不會用簡訊通知     ETtoday新聞雲

行政院長蘇貞昌昨宣布全民普發1400億現金,預計發放時間點落在農曆春節過後,但不肖詐騙集團已在蠢蠢欲動,目前網路上已經開始有提醒請勿受騙上當的警告訊息出現。對此,行政院發言人羅秉成5日說,確實有掌握到相關情資,詐騙集團用簡訊連結方式要騙民眾,「政府不會用簡訊方式通知國人領6000元的全民共享現金方案,肯定是詐騙集團的惡意簡訊,千萬不要受騙上當」。 

<回到新聞條列重點>   

出現假冒寶可夢特許的 NFT 卡牌遊戲網站!駭客恐接管電腦、竊取資料          科技新報網

同時看好寶可夢遊戲熱潮,以及回歸正常後 NFT 非同質化代幣的未來發展性,網路出現假冒官方特許經營的寶可夢 NFT 卡牌遊戲網站(https://pokemon-go.io/),使用者存取網站時,有可能不慎下載看似無害,但背地下載惡意軟體的 RAT 遠端存取工具,駭客可藉此控制受害者裝置。         

<回到新聞條列重點>   

快刪掉!這8款APP會竊取銀行帳密 小心錢被盜光        東森電視網

現代人人手一機,不論是處理公事、購物、娛樂等等,都無法離開手機,為了讓使用起來更加方便,大家都會下載許多APP來輔助,不過卻有惡意APP趁機侵入民眾生活。近日資安廠商ThreatFabric發現,有新型病毒軟體冒充8款APP,若不小心下載,銀行帳號、密碼恐被盜走竊財。    

<回到新聞條列重點>   

詐騙APP橫行 刑事局:Google Play下載多小心        自由時報電子報

假投資詐騙橫行,刑事局統計去年一整年財損高達24億,占全般詐欺案4成,近期發現有詐騙集團利用Google Play平台審查漏洞,於Google Play平台上架假投資交易平台APP,利用「高獲利、輕鬆賺百萬」等手法,誘使民眾至Google Play平台下載應用程式,部分民眾因信賴Google Play審查機制,誤信為合法交易軟體,進而遭受害,今天提醒民眾多小心。         

<回到新聞條列重點>   

趨勢科技訓練工程師 「德州撲克」較高下         1111產經新聞網

以防毒軟體聞名的「趨勢科技」,長時間關注AI所延伸的資安議題,趨勢科技董事長暨創辦人張明正認為,創新是不可或缺,且得植入自家員工內在DNA的元素,「唯有創造具獨特性,並與競爭對手區別高下的特點,才可不斷提升競爭優勢。」因此,就連訓練工程師也要創新,於是在公司內部舉辦「AI德州撲克」,間接磨練工程師的專業技術。         

<回到新聞條列重點>   

蘋果Mac小心!Windows銀行木馬程式偽裝普通文檔攻擊   自由時報電子報

銀行木馬程式Dridex多年來惡名昭彰,至今仍打不死,最新報告指出,Dridex原先是針對Windows平台,不過最近發現駭客改變策略,新變種偽裝成普通文件,通過電子郵件附檔在macOS平台散播,轉而攻擊蘋果Mac。 趨勢科技指出,通過對Dridex惡意文件進行分析,採用可以運行在macOS和iOS上的Mach-O文件格式,使用的文件擴展名包括「.o」、「 .dylib」、「 .bundle」。 

<回到新聞條列重點>   

蘋果iMessage詐騙訊息多 刑事局提醒升級iOS 16.2過濾攔截        聯合新聞網

詐騙集團假冒衛福部發送蘋果手機iMessage訊息,以新冠肺炎防疫紓困等名義,誘使點擊短網址後在釣魚網頁填資料。蘋果公司近期更新作業系統為iOS 16.2,刑事局提醒民眾儘速升級,過濾詐騙訊息為垃圾訊息。    

<回到新聞條列重點>   

證實遭匿名勒贖 華航:未影響航班.會員個資      華視全球資訊網

航空業近期風波不斷,中華航空7日證實,收到了匿名帳號的網路勒索信件,第一時間啟動防禦應變措施,確認資通系統正常,也立刻報警,並且依法通報主管機關,強調並沒有影響到航班營運,也沒有會員個資外洩的事件發生。資安專家表示,雖然華航沒有指出,是哪方面遭到駭客勒索,但看起來影響到的,只有會員資料還沒有到勒索病毒的層級,但仍提醒民眾,牽涉到護照、信用卡資料的網站,務必和社群平台的帳號密碼區隔。    

<回到新聞條列重點>   

趨勢再成立子公司!CTOne 資安加入 5G 企業內網市場,提供專業解決方案          INSIDE

趨勢科技 12/5 宣布成立全資子公司 CTOne,專注於企業 5G 專用網路資安需求。這是趨勢科技內部的第三家創業公司,此前曾有 TXOne(工控領域)和 VicOne(聯網車領域)。CTOne 已經推出並銷售兩款解決方案產品:一款支援 eSIM 的 SIM 卡安全軟體,以及協助在關鍵的無線網路節點(如邊緣運算、基地臺、雲端等架構)之間找出攻擊或弱點的服務。    

<回到新聞條列重點>   

VicOne在CES 2023推出全新車用資安方案 展示安全智慧座艙環境          iThome

趨勢科技車用資安新公司VicOne在美國拉斯維加斯CES 2023 國際消費性電子展上推出其智慧座艙資安方案(Smart Cockpit Cybersecurity solutions)。VicOne 的智慧座艙資安方案能因應連網汽車與電動車使用者行為改變對資訊安全所帶來的衝擊,讓汽車製造商(OEMs)預先防範經由無鑰匙解鎖系統(keyless entry)、充電樁,以及車用娛樂(IVI)等車用系統發動的網路攻擊。 

<回到新聞條列重點>   

線上服務不能只靠一次簡訊驗證 依特徵可偵測假帳號 SMS PVA隔空冒用簡訊 手機認證碼恐不再安全 (下)        網管 人

本系列文章介紹了SMS PVA服務,說明該服務的運作方式,以及為何淪為網路犯罪集團的犯案工具。在這最後一篇,將討論受到SMS PVA服務影響最深的國家,並提供一些數據和建議來說明如何防範這類服務所帶來的威脅。    

<回到新聞條列重點>   

7分鐘損失3.5億美元 TWNIC黃勝雄:企業發生資安風險,一下就回到石器時代   天下雜誌網

無論大企業到小老百姓,網路資安攻擊已成為日常,時常參與國內外網路安全法規制定的台灣網路資訊中心(TWNIC)董事暨執行長黃勝雄,在2023天下經濟論壇(CWEF)冬季場指出,資訊科技帶來了改變與美好,但也有不好的面向。    

<回到新聞條列重點>   

美國數位車牌驚爆系統漏洞,可追蹤車輛甚至刪除車牌          科技新報網

數位車牌近年來逐漸獲得美國監管單位認可,加州、亞利桑那州、密西根州一般車輛,以及德州商用車輛都已合法,其他州也考慮納入新技術。電子數位產品必須禁得起安全考驗,但數位車牌供應商 Reviver 被安全研究員發現系統漏洞,不僅可追蹤每個數位車牌,甚至可刪除車牌資料。    

<回到新聞條列重點>   

出現 Dridex 變種惡意軟體,運用全新感染手法攻擊 macOS 系統           科技新報網

Dridex是一種資訊竊取程式,能從受感染的機器上蒐集敏感資料,並散播和執行惡意模組,它是一個被稱為 Evil Corp的電子犯罪組織的傑作。趨勢科技對 Dridex 惡意軟體樣本的分析中包含 Mach-O 可執行檔,其中最早的檔案已於 2019 年 4 月提交給 VirusTotal。自此之後,在實際網路環境中又陸續發現 67 個惡意軟體工件。         

<回到新聞條列重點>   

美科技廠大裁員 亞馬遜、思科重砍後下一家指向Google    ETtoday新聞雲

美國科技廠裁員風不斷,繼去年半導體廠美光全球裁員上看5000人後,電商大廠亞馬遜、網通廠思科都相繼裁員,其中亞馬遜重砍1.8萬人,思科雖初步公告「僅」裁近700人,但被裁員工多在美國加州總部與舊金山辦事處,引起市場議論。市場預料下一家宣布裁員的重量級企業恐是Google。        

<回到新聞條列重點>   

斷言Web3將成Google殺手!美國未來學家:人們會重奪資料所有權     數位時代

Google以強大搜尋技術為後盾稱霸網路世界,精準的搜尋引擎、以及YouTube、Google地圖等眾多免費、便利的應用程式,將用戶牢牢鎖在服務生態之中,至今已有9項服務坐擁超過10億用戶。然而知名經濟學家喬治.吉爾德(George Gilder)認為,Google時代的網路存在重大缺陷,區塊鏈技術終將取而代之,打造去中心化的下一代網路,即Web3。      

<回到新聞條列重點>   

只需 3 秒音訊,微軟新 AI 模型就能模仿某人聲音念稿 科技新報網

微軟研究人員宣布推出 VALL-E 全新文字轉語音(Text-to-Speech)AI 人工智慧模型,只要餵給它某人 3 秒鐘音訊,模型就能模擬出聲音、語調及情緒講出任何話。         

<回到新聞條列重點>   

安全專家揭露訓練AI建議撰寫危險程式的攻擊手法TrojanPuzzle           iThome

隨著ChatGPT、GitHub Copilot等AI輔助軟體撰寫工具的普及化,引發安全專家注意到AI下毒的隱憂。微軟、聖塔芭芭拉大學、加州大學及維吉尼亞大學等研究人員本周公布攻擊者訓練AI,提供惡意開發建議的新攻擊手法。一般AI下毒手法可以透過靜態分析工具,從訓練資料集中移除惡意資料予以防範。但微軟及學者團隊設計出兩種新的資料下毒攻擊,可以繞過這類靜態檢測手法。    

<回到新聞條列重點>   

Word 文件AI功能大躍進?傳微軟擬為Microsoft 365 導入 ChatGPT 技術 自由時報電子報

由美國 OpenAI 人工智慧研究實驗室以基於GPT-3.5 大型語言模型研發的「ChatGPT」AI聊天機器人,於去年11月底開放大眾試用後,累計已有超過百萬以上的使用者,透過對大量文本的學習,使得「ChatGPT」具備有模擬人類對話的流暢即時QA對答能力(如解答歷史事件),且支援中文、英文等多國語言,快速竄紅風靡全球。         

<回到新聞條列重點>   

痛苦到 2025 年,微軟 CEO:AI 引領下一波成長週期     科技新報網

科技業遇到 20 年前泡沫化以來最大逆風,紛紛大幅裁員,2023 年可能會更低迷,連裁員比例較低的微軟也遭降評,最近被瑞銀分析師警告雲端業務增長急劇減速,以及穩定的力量 Office 365 也受影響。微軟執行長認為,科技業動盪將持續到 2025 年,接下來兩年可能最具挑戰性。    

<回到新聞條列重點>   

有問必答的AI聊天機器人ChatGPT 被發現遭駭客用來協助開發惡意程式          網路資訊雜誌

Check Point研究人員發現,早在ChatGPT上線幾周內,駭客論壇就有一些幾乎沒有,或經驗很粗淺的人利用它幫忙撰寫可用作間諜活動、勒索軟體、釣魚信件或其他惡意活動的軟體和電子郵件。    

<回到新聞條列重點>   

【資安日報】2023年1月11日,微軟1月份例行修補緩解近百個漏洞、Trojan Puzzle攻擊手法可訓練AI助理產生惡意程式碼 iThome

針對機器學習(ML)模型與人工智慧(AI)的攻擊手法,最近研究人員公布多項發現,例如:濫用ChatGPT自動產生釣魚信、利用Text-to-SQL機器學習模型弱點攻擊SQL資料庫等,現在又有研究人員揭露新型態的AI中毒(AI poisoning)攻擊手法Trojan Puzzle,但特別的是,檢測相關程式碼的靜態分析工具難以察覺這類手法。         

<回到新聞條列重點>   

因應在地企業數位轉型需求,微軟力助企業創造新價值、落實永續營運          電子時報網

數位轉型在COVID-19(新冠肺炎)與俄烏戰爭等外部環境因素影響下,早已是企業所必須思考乃至於投入的重要方向。有鑑於此,微軟在台北與台中舉辦「新型態營運永續高峰會」,透過微軟、數位發展部、參展合作夥伴等案例分享與座談會,讓北中兩地的企業主了解數位轉型對於企業永續營運的重要性,以便在疫後不確定性的環境變動中,得以掌握先機。         

<回到新聞條列重點>   

微軟兩大系統同步退役!Windows 7、8.1走入歷史          自由時報電子報

根據statcounter公司最新數據統計(2022年12月),目前全球仍有11.18%的比例在使用Windows 7,Windows 8.1也還有2.59%。各系統中市占第一的是Windows 10,高達68.01%,Windows 11則以16.93%居次。         

<回到新聞條列重點>   

英業達、新漢、趨勢和微軟四方合作加速製造業數位轉型     CTIMES零組件雜誌

延續近年來工業電腦族群為了擴大出海口,積極合縱連橫趨勢。英業達、新漢、趨勢科技和微軟今(14)日簽署了四方合作備忘錄,以揭示共同釋放5G具體價值,加速製造業數位轉型的強烈願景和意圖,也為英業達未來與所有生態系合作夥伴的整合開啟新頁。         

<回到新聞條列重點>   

第 15 屆科技趨勢金獎結果出爐 揭曉鍵盤滑鼠、電競設備等得獎名單     巴哈姆特

「2022 科技趨勢金獎」經過 25 位專業評審、7 位產官學界專家及編輯的試用及評選,以及為期一個月的網路人氣好感評選後,第 15 屆科技趨勢金獎評選結果終於出爐,並於日前舉行線上頒獎典禮揭曉鍵盤滑鼠、電競設備等得獎名單。         

<回到新聞條列重點>   

男FB賣二手物 買家引導至蝦皮!給假網址詐騙  tvbs新聞網

過年要到了,很多人可能大掃除,整理出一些二手品上網拍賣,但賣家也得注意,一位周先生在FB賣場販售一個棒球帽,買家要求到蝦皮賣場,有第三方支付比較有保障,周先生覺得有道理,因此把商品放上蝦皮,但買家又說賣場有問題,給了一個連結要他填寫,裡頭必須填入個資,周先生起疑心因此拒絕,買家就此消失,周先生也把案例po上網,提醒賣家注意。      

<回到新聞條列重點>   

LG U+18萬用戶信息被泄露  太平洋日報

1月1日,疑似駭客的一名人士在一網路攻擊相關信息網站上留言稱,自己擁有LGU+用戶的姓名、生日、電話號碼等信息,作為2000多萬件信息的出售價格,提出了6比特幣(約為1.3億韓元)的叫價,LGU+於2日了解到相關情況後,委托警察網絡調查隊和韓國互聯網振興院(KISA)展開調查。  

<回到新聞條列重點>   

Telegram 詐騙頻傳,別傻傻「截圖」讓駭客有機可乘     科技新報網

Telegram 近日傳出許多詐騙事件,駭客會假裝是用戶朋友傳訊息,只要一回應,用戶帳號就有可能被盜取。對此,專家表示,在收到相關訊息後,須先確定是否為朋友本人,同時也需經常檢查 Telegram App 是否有異常登入情況,避免帳號被竊取。        

<回到新聞條列重點>   

通訊軟體Telegram加入零儲存和隱藏群組成員功能         iThome Weekly電腦報

官方提到,Telegram幾乎不會占用裝置上的空間,用戶可以從手機儲存中刪除媒體和文件,並且從Telegram雲端重新下載。過去用戶可以配置最大快取,並且設定自動刪除未使用檔案的時間,而最新的Telegram,將讓用戶可以針對私人聊天、群組和頻道的快取媒體,添加自動刪除設定。    

<回到新聞條列重點>   

TikTok執行長訪布魯塞爾 承諾遵守歐盟嚴格技術規則 壹蘋新聞網

短影音應用程式TikTok執行長周受資周二(1/10)訪問位於比利時布魯塞爾的歐盟總部並與多位歐盟高級官員會面,他保證該應用程式將遵守歐盟日益嚴格的技術規則,以及對保護隱私及兒童安全的承諾。    

<回到新聞條列重點>   

抖音涉資安疑慮! 是否禁止民眾使用數位部這樣說     壹蘋新聞網

中國APPTikTok「抖音」因涉及資安疑慮,公部門設備在2019年已禁止使用,但外界討論,是否該進一步禁止一般民眾使用?對此,數位部次長李懷仁表示,台灣為民主社會,要管制人民使用有難度,但數位部會以指引的態度提醒民眾資安疑慮。         

<回到新聞條列重點>   

銀行員涉配合詐團 金管會:通案有4大因應措施    自由時報電子報

近期有民營銀行員涉及勾結詐騙集團,包括:調高匯款額度等,而遭到羈押禁見;金管會今天晚間表示,通案上有4大因應措施,包括加強分行櫃檯關懷等,並推出19項異常交易態樣的監控事項;個案上,將督促該銀行配合檢調及檢視自身相關作業流程有無疏忽。         

<回到新聞條列重點>   

為車輛打造「航空樞紐」,意法強攻軟體定義汽車商機  科技新報網

Santo 說明,軟體定義汽車對車輛進行了再造,讓使用者能夠靈活地使用軟體定義功能,享受更好的性能,包含人身及網路連線安全的保障;且使用者還可以不斷為汽車增加各種新功能及服務,汽車的價值可說是隨著時間不斷增加。另一方面,從原始設備製造商的角度來看,由於他們可以決定汽車的生命週期,讓汽車的生命週期延長許多,因此提高了服務品質。    

<回到新聞條列重點>   

5G、AI構建產業新生態 智慧物聯龐大商機快速浮現       電子時報網

數位轉型已然成為企業回應市場挑戰、強化韌性體質的必要策略,在轉型過程中,透過AI、5G、物聯網等新技術打造的智慧化架構則扮演了關鍵角色。為協助企業快速建置智慧物聯網,Microsoft與Microsoft代理商全達國際協同Intel、大聯大控股世平集團於日前攜手舉辦「5G、AI新生態 掌握智慧物聯大商機」研討會,邀請產官學專家分享市場趨勢與實務案例。    

<回到新聞條列重點>   

強力落實軟/硬體防護 供應鏈全面把關車用資安       網管人

在汽車邁向自駕的發展過程中,車用資安已成為不可忽視的議題。一旦車載系統出現漏洞,導致駭客遠端入侵並操控系統,駕駛便有人身安全的風險。因此業界廠商紛紛從軟體、硬體與流程安全多面向切入,確保車用資安受到完整防護。    

<回到新聞條列重點>   

工控物聯網資安照步來 國際化準則融合OT/IT安全         網管人

近年來工控場域接連遭受資安威脅及勒索軟體感染,促使企業、主管機關開始正視資安防護議題,不僅上市櫃公司須設立資安長與專責單位,本土製造業亦陸續成立聯盟、聯誼會,相互交流威脅情資,為營運場域強化韌性。         

<回到新聞條列重點>   

雲端原生平台維護IoT高等級安全      網管人

為優化營運效率、預測性維護、庫存管理等因素,企業大舉投資導入物聯網應用。以智慧倉儲為例,過去仰賴人力操作堆高機搬運貨物,已改由機器人來執行重複性高的動作。    

<回到新聞條列重點>   

  

荷航、法航疑客戶個資外洩,通知用戶變更密碼     iThome

根據荷航通知,可能遭存取的客戶個資包括姓名、電話、電子郵件、里程數、Flying Blue會員號碼及等級、最新一次交易。但荷航說信用卡及支付資料並未受影響。該公司並說,攻擊已及時遭到阻斷,沒有用戶的里程數受到影響。    

<回到新聞條列重點>   

【資安日報】2023年1月10日,研究人員揭露Text-to-SQL機器學習模型弱點、NPM套件JsonWebToken漏洞恐導致2.2萬專案曝險          iThome

為了讓使用者能透過自然語言(NLP)來查詢SQL資料庫,許多資料庫採用了Text-to-SQL的機器學習模型,但研究人員發現,駭客可以設計一些問題輸入,讓這種機器學習模型產生惡意程式碼並執行,進而竊取資料或是阻斷資料庫的運作。    

<回到新聞條列重點>   

安卓惡意軟體GodFather「盜取2FA驗證碼」,逾200種加密錢包遭攻擊          BLOCKTEMPO

德國聯邦金融監管局 9 日警告,近期出現一種名為「Godfather」的惡意軟體,已經攻擊超過 400 個銀行及加密貨幣平台 APP ,惡意軟體究竟是如何攻擊用戶設備,還有待確認,但須留意的是,該惡意軟體能獲取 2FA 驗證碼,進而竊取受害者的帳戶和錢包。 

<回到新聞條列重點>   

MIH建立美國俄州創新基地 先拿北美再攻全球         自由時報電子報

鴻海主導的MIH電動車聯盟美西時間5日上午11時(台灣時間6日凌晨3時)在美國消費電子大展(CES)宣布,計劃於美國俄亥俄州建立創新基地,將推動全球供應鏈進駐,打造北美電動車生態系,進而拓展全球市場。    

<回到新聞條列重點>   

遏止投資詐騙廣告 數位部:合法金融機構才能登廣告    自由時報電子報

近年臉書投資詐騙猖獗,甚至有詐騙集團假冒名人,在臉書上投放炒作虛擬貨幣等廣告。外界關注政府如何打擊詐騙,主管數位平台的數位發展部表示,已攜手金管會與數位平台溝通,廣告主若在臉書投放金融廣告,須出具證明是合法立案的金融機構。         

<回到新聞條列重點>   

ST生物辨識支付平台取得EMVCo認證 可供發卡機構掌握上市先機          Ctimes

意法半導體(STMicroelectronics;ST)宣布,STPay-Topaz-Bio生物辨識支付卡平台已通過EMVCo認證。此項認證認可該平台之安全性及其與支付系統的互通性符合產業標準,而意法半導體亦預計於2023年初完成萬事達(Mastercard)及Visa之支付計畫認證。     

<回到新聞條列重點>   

遠見直擊CES》工研院、和碩聯手搶5G專網   遠見雜誌網

外形像公事包的5G小基站見過沒?台灣技術龍頭工研院在CES 2023展現優異實力,一口氣展示9項技術,其中一項5G專網方案更是與ICT大廠和碩,發布合作方案,全面搶攻美國市場。

<回到新聞條列重點>   

加密貨幣交易怕被騙?Chainsight用AI揪嫌疑犯,握10年犯罪數據庫防詐     數位時代

加密貨幣交易的市場風險非常高,Chainsight共同創辦人暨執行長何建幟也曾是被詐騙的民眾之一。「幣圈有個詞是DYOR(Do Your Own Research )。可問題在於,詐騙的手法層出不窮,就算一般用戶足夠謹慎、做好所有功課,還是很有可能被騙。」    

<回到新聞條列重點>   

預聘元年! 勞動部號召重點產業入校以儲備新血          ETtoday新聞雲

凡符合重點產業且員工規模達50人以上的企業,與大專校院合作,向勞動部勞動力發展署各地分署申請就業導向的就業學程,並提供畢業前1年的大專青年中階技術以上的職缺,指派職場導師進行實務訓練,勞動部將補助企業每人最高7.2萬元的訓練費用,以協助大專青年提升實務職能、累積個人工作履歷;此外,只要畢業後以全職留任原企業,青年即可領取留任獎勵金1萬元!勞動部表示,希望透過此試辦計畫,鼓勵大專青年無縫接軌職場,畢業即就業!

<回到新聞條列重點>   

依廠區流程建構OT網路安全性  新電子網

近年來工控場域接連遭受勒索軟體感染,使得企業、主管機關開始正視資安防護議題,但唯有了解工業網路環境存在的弱點,才可準確的施以防護措施。台灣洛克威爾國際(Rockwell)客戶工程服務部資深工程師黃彥凱指出,Rockwell身為OT領域的專家,更能協助企業設計符合OT場域的方案。 

<回到新聞條列重點>   

謠言終結站》盜用吳淡如廣告騙你入Line群組 專家:小心上當   自由時報

TFC事實查核中心今(7日)發布一份「事實查核報告」 「事實查核報告」指出,影音平台YouTube頻道廣告近期出現「存股一輩子|課程精彩預告」廣告,內容為理財講師陳重銘與知名主持人吳淡如說明存股重要性,而在廣告左下方附有「吳淡如公益課堂 免費加入」字樣的連結。    

<回到新聞條列重點>   

俄駭客鎖定美3座核實驗室騙帳密 時間點巧撞普廷嗆用核武        自由時報電子報

《路透》6日獨家披露,俄羅斯駭客團體「冷河」(Cold River)去年夏天曾鎖定美國3個核技術實驗室,騙取登入帳號密碼,試圖入侵這些實驗室的系統,攻擊時間點正值俄國總統普廷揚言要動用核武捍衛領土。    

<回到新聞條列重點>   

【資安日報】2023年1月6日,Slack驚傳部分原始碼遭竊、南非駭客Automated Libra大肆濫用持續整合及持續交付服務挖礦          iThome

協作平臺Slack昨日(1月5日)證實,上週遭到入侵而導致部分原始碼外洩,所幸使用者資料沒有受到波及。但值得留意的是,該公司是獲報GitHub帳號出現異常活動,著手調查才驚覺遭駭。這些原始碼遭竊後續造成的影響仍有待觀察。    

<回到新聞條列重點>   

DevOps平臺CircleCI恐遭入侵,警示用戶更換憑證 iThome

DevOps平臺CircleCI又發生資安事件,這對一些剛從假期回到工作崗位上的工程師,顯然不是什麼好消息。CircleCI在官方部落格發文警告,要求用戶立刻更改儲存在CircleCI中的系統憑證,同時也要檢查從2022年12月21日以來,自家系統是否有未經授權的存取。         

<回到新聞條列重點>   

Slack被駭客竊走程式碼        iThome

Slack在去年12月29日獲報其GitHub帳號有可疑活動。初步調查顯示,原因並非Slack有漏洞,而是一小部分Slack員工令牌被竊致駭客得以存取其GitHub程式碼儲存庫。他們也發現駭客在12月27日下載了數個該公司自有的程式碼儲存庫。    

<回到新聞條列重點>   

英國情報機構查出中國汽車零件內藏追蹤裝置 憂慮中國物聯網科技成為情報漏洞     太報

英國《每日郵報》集團旗下的iNews獨家報導說,在徹底拆解英國政府公務用車後,情報人員找到至少一枚SIM卡。這些車輛是用來載送英國政府官員與外交人員,安全人員向iNews表示,這項發現令人極度憂慮。    

<回到新聞條列重點>   

全新 SHC 編譯惡意軟體攻擊!鎖定 Linux 伺服器植入挖礦程式及 DDoS 殭屍病毒       科技新報網

當前駭客會運用惡意軟體極盡所能的榨乾受害伺服器的所有運算資源,不但用來挖礦牟利,還同時劫持成為駭客發動DDoS攻擊的幫兇,以充分發揮一石二鳥的最大化效益。如今南韓網路安全公司 ASEC(AhnLab Security Emergency Response Center)研究人員發現一種使用 SHC(Shell 腳本編譯器)創建新的 Linux 惡意軟體下載器,能在受害系統中下載植入門羅幣(Monero)加密貨幣挖礦程式及 DDoS IRC 網路群組聊天殭屍病毒。     

<回到新聞條列重點>   

都是外掛程式漏洞惹的禍!數百個 WordPress 網站被植入 JavaScript 後門       科技新報網

雖然 WordPress 應用程式擁有十分強大的安全性,但長久以來許多外掛程式一直充滿各種可能導致存取頁面的使用者被重導向到惡意網站的安全漏洞。據報導,惡意攻擊者利用 30 種不同 WordPress 外掛程式的未修補漏洞,讓數百甚至上千個網站感染惡意軟體,進而對所有上門的使用者發動網路釣魚、廣告詐騙等攻擊,其中有些網站甚至已被感染許多年。         

<回到新聞條列重點>   

資安A級機關驚傳內鬼 健保署官員 涉洩查個資13年     自由時報電子報

衛生福利部中央健康保險署被行政院列為資通安全責任等級「A級機關」,卻驚傳有「內鬼」洩查民眾個資!已退休的健保署前主任秘書葉逢明、在職的承保組科長謝玉蓮、承保組職員李仁輝等三人,被控濫用職權偷查民眾健保個資;台北地檢署昨指揮調查局新北市調查處兵分五路,搜索健保署及三被告住處,依最高可處三年有期徒刑之刑法洩漏或交付國防以外機密等罪偵辦。    

<回到新聞條列重點>   

F5擴充SaaS安全方案推出F5 Distributed Cloud App Infrastructure Protection        iThome

F5宣布推出F5 Distributed Cloud App Infrastructure Protection [分散式雲應用基礎架構防護] 雲端工作負荷保護方案,擴充雲端原生基礎設施的的應用可視性與保護。AIP採用併購自Threat Stack的技術,是F5 Distributed Cloud Services提供的雲端原生SaaS-based應用安全與交付服務最新方案。         

<回到新聞條列重點>   

微軟發布Graph開發者代理預覽,簡化Microsoft Graph應用程式除錯     iThome

微軟推出Graph開發者代理(Graph Developer Proxy)0.3預覽版本,開發者現在可以使用該版本,建構彈性且高效能的應用程式,微軟提到,這個版本提供Microsoft Graph和API模擬錯誤,以及上下文指南,協助開發者提高應用程式效能。    

<回到新聞條列重點>   

2023 CWEF經濟論壇 引領菁英駕馭逆風刷新未來    中時新聞網

CWEF天下經濟論壇自2010年創辦至今已超過十年歷史,在每年年初帶給讀者新年第一手議題訊息,提前掌握世界趨勢脈動。今年在全球首度面臨經濟與政治雙逆風的挑戰中,2023 CWEF天下經濟論壇以「駕馭逆風 刷新未來」為主題,邀請世界級領袖開講,帶入全球最佳案例,引領菁英立足台灣、放眼亞洲、領先世界。    

<回到新聞條列重點>   

唐鳳出訪立陶宛 拜會立國官員交流資安    自由時報電子報

數位發展部長唐鳳於9日出訪立陶宛,是她上任後首度出訪。唐鳳此行將在1月12日的「自由數位民主對話」(Free Digital Democracy Dialogue, F3D)論壇進行演說,分享台灣的數位民主經驗,以及數位部「Free the Future」願景。  

<回到新聞條列重點>   

甲骨文預測 2023 雲端運算趨勢:一體適用型雲端已不合時宜          CompoTech Asia 電子與電腦

根據 Gartner 2022 年 4 月份的估計資料顯示,全球公有雲服務的最終使用者總支出將從 2021 年的 4,109 億美元增長 20.4% 至 2022 年 4,947 億美元。2023年,總值預計將達到近 6,000 億美元,凸顯雲端發展趨勢強勁。甲骨文公司預測 2023 年五大雲端趨勢,預期未來將由客戶而非雲端供應商來決定雲端的部署位置和方式。         

<回到新聞條列重點>   

AWS:量子運算有助於提升資料安全性     科技新報網

Moses 表示,雖然目前量子運算尚未成為大眾的關注焦點,但它正在逐步演進,量子安全也以加密技術的形式隨之推進。業界目前正在研究量子安全與後量子加密技術,其中不同的演算法和不同的金鑰大小提供了與現今相同的安全級別,甚至可以匹敵量子電腦。         

<回到新聞條列重點>   

亞馬遜宣布向更多第三方開發者提供其Sidewalk物聯網連接技術          聯合新聞網

Sidewalk與蘋果尋找功能採用相似技術,其中透過900MHz連接頻段,配合藍牙技術規範串接各個智慧連網裝置,最長連接距離約可在1.6公里左右。若定位物品附近有具備連網、可透過藍牙方式連接的亞馬遜裝置,例如Echo智慧喇叭,就能快速精準定位特定物品所在位置,並且能透過微量Wi-Fi訊號連接上網。 

<回到新聞條列重點>   

【事實釐清】網傳超商禮券「家裡信箱若收到這禮券,立即撕毀,是新詐騙手法,禮卷是假的,千萬不能掃碼,個資及錢就飛了!已經有人受騙了」?          台灣事實查核中心

資訊專家說明,超商發行的禮券有實體禮券與虛擬商品卡等形式,這兩種都是直接拿到超商就能使用,消費者不需再掃描禮券或登入個人資料。    

<回到新聞條列重點>   

去年第4季投資詐騙金額較前年同期激增7成 2女被騙千餘萬    自由時報電子報

受疫情影響,民眾利用各種投資增加自己收入,也讓詐騙集團有機可趁,利用股票、虛擬貨幣或其他投資工具行騙。刑事警察局統計,假投資詐騙案件財損金額,去年第4季(12億2763萬)與前年同期(7億250萬)比較增幅達7成,而相較於去年第3季的8億6997萬,也增加約4成,呈成長趨勢。      

<回到新聞條列重點>   

【資安日報】2023年1月9日,程式碼編輯器VS Code外掛程式市集恐遭駭客濫用、惡意PyPI套件透過Cloudflare隧道服務繞過防火牆   iThome

繼NPM、PyPI套件庫出現惡意套件攻擊,又有新的開發工具套件庫可能會成為駭客散布惡意程式的管道!有資安業者發現微軟程式碼編輯器Visual Studio Code的外掛程式市集開始出現有問題的外掛。研究人員發現,駭客想要上架冒牌外掛程式相當容易,甚至能輕易拿到藍勾勾驗證。         

<回到新聞條列重點>   

從使用者習慣與需求出發,VicOne推出智慧座艙資安方案    資安人

趨勢科技車用資安新公司VicOne推出智慧座艙資安方案(Smart Cockpit Cybersecurity solutions)。VicOne 的智慧座艙資安方案能因應連網汽車與電動車使用者行為改變對資訊安全所帶來的衝擊,讓汽車製造商(OEMs)預先防範經由無鑰匙解鎖系統(keyless entry)、充電樁,以及車用娛樂(IVI)等車用系統發動的網路攻擊。     

<回到新聞條列重點>   

Azure、Office 365 前景恐不妙,瑞銀分析師示警微軟營運正受考驗          財經新報

Karl Keirstead 表示,Office 365 一直有著非常穩定的銷售表現,但 2023 年收入成長可能減緩,尤其不少企業裁員和縮減成本支出,可能對 Office 365 業務造成壓力。同時 Azure 成長表現正進入急劇減速的情況,不只是受經濟大環境的挑戰,更可能因為業務已趨成熟導致成長減緩。他認為,微軟在 2023、2024 財年的情況恐怕比投資人預期的更不妙。         

<回到新聞條列重點>   

亞馬遜大裁員 砍逾1.8萬人 近一年來科技公司最大規模 零售、人資部門衝擊最大 彭博:凸顯產業景氣更加低迷       經濟日報(臺灣)

亞馬遜執行長傑西(Andy Jassy)4日宣布,從去年11月展開的裁員計畫,影響人數將「略高於1.8萬人」,是該公司歷來最大規模裁員,也是過去一年揭露裁員計畫的大型科技公司中最大規模的裁員行動。彭博資訊報導指出,這是科技業景氣更加低迷的最新證據。

<回到新聞條列重點>   

V2X資安管理刻不容緩 各國紛推車聯網資安憑證 電子時報

車聯網(V2X)發展快速,網路節點也逐漸增多,其軟體的資安管理不容忽視。為了確保資料傳輸的安全性,各國紛紛設立車聯網資安憑證制度,台灣也正進行先導試辦計畫。    

<回到新聞條列重點>   

「請支援防詐」!全聯與刑事局將聯手做這件事     自由時報電子報

各縣市警察局也會在全聯700家門市設置巡邏箱,加強民眾防詐騙觀念,全聯董事長林敏雄與警政署長黃明昭今天將親自出席「請支援防詐-全聯有Bear而來 、聯防詐不來」記者會,共同宣導、打擊犯罪。    

<回到新聞條列重點>   

臉書、IG服務條款強迫用戶接受同意廣告,Meta遭愛爾蘭重罰3.9億歐元     iThome

針對Facebook及Instagram(IG)處理用戶資料及強迫用戶同意其蒐集個資等作法違反GDPR,愛爾蘭資料保護委員會(Data Protection Commission,DPC)昨(4)日對Meta愛爾蘭開罰3.9億歐元。    

<回到新聞條列重點>   

駭客以Shc撰寫Linux惡意程式繞過安全偵測,散布挖礦軟體、DDoS程式       iThome

Shc(Shell Script Compiler)的功用是將Bash shell script轉換成ELF(可執行及可連結的格式)。Bash是Linux中的基本shell,Bash shell支援的指令可被組譯成script格式而被用戶執行。Bash shell有點類似Windows的指令提示元,而Bash shell script檔則類似Windows batch scripts。Linux環境下以Shc將Bash shell轉成ELF檔格式,有如Windows環境下,以bat2exe公用程式將batch script轉成EXE檔案。         

<回到新聞條列重點>   

2億推特用戶電郵資料流入駭客論壇僅賣2美元      iThome

這些資料可能都是拜推特一個Web API漏洞,讓攻擊者得以進行網頁資料抓取(web scraping)。去年7月首先有研究人員發現,駭客論壇上有人兜售540萬筆推特用戶電話及電子郵件帳號。11月另一名研究人員卻在駭客論壇上發現高達1,700多萬筆資料待價而沽。推特方面回應說,兩批資料其實是同一批外洩資料,但並未說明總共外洩的資料筆數有多少。         

<回到新聞條列重點>   

多家汽車製造商系統存在API漏洞暴露車主個資,甚至可讓攻擊者遠端接管車輛          iThome

知名白帽駭客Sam Curry以及其安全研究團隊,針對接近20家汽車製造商進行資安研究,發現各家廠商系統皆有大小不一的漏洞,不只暴露車主個人資料,甚至能夠讓攻擊者解鎖、啟動和追蹤車輛。目前這些漏洞都已經被解決。    

<回到新聞條列重點>   

【資安日報】2023年1月5日,近20個汽車廠牌的API漏洞恐曝露車主個資、Linux惡意軟體被用於散布挖礦程式   iThome

隨著汽車導入連網的功能,汽車製造商的資安防護也變成研究人員關注的焦點。有研究人員一口氣揭露十多個知名車廠的API漏洞,這些漏洞不只讓攻擊者有機會遙控該廠牌車輛,甚至部分能存取該公司的內部機密資料,像是銷售資料,或是資訊系統的開發環境等。         

<回到新聞條列重點>   

【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

訂閱資安趨勢電子報,每日掌握資安趨勢

加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上

好友人數