本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- iPhone 遭入侵六個跡象
- Google 搜尋「midjourney」AI 繪圖生成工具,當心假下載真偷個資
- 2023 年 RSA Conference 資安大會重要趨勢與洞察
- 【魚叉式式網路釣魚】利用LinkedIn 私訊企業行銷專業人才,專偷 Facebook 商業帳戶存取權限
- 五大Mac 惡意軟體及安全漏洞
- 《上週資安新聞周報》前美國國土安全部長首度訪臺,分享如何降低風險的經驗 /AI教父示警:AI威脅勝氣候變遷/ 資安長遴選〉少數從警界挖角,多數靠內部培訓 虛擬大戰箭在弦上,主帥大任誰來扛?
資安新聞精選
2023資安大會開展!資安策略關鍵是什麼?美國前國安部長提要有一能力 民視新聞網
新網路釣魚即服務工具 專攻Microsoft 365用戶 科技島
Google推新網址名 專家憂有利網路釣魚與惡意軟體傳播活動 TechNice 科技島
假冒「遠通電收」官方App 竊取信用卡個資!惡意病毒網釣攻擊台灣、越南受波及 自由時報電子報
社群定位成隱私漏洞 國高中恐洩行蹤 台灣醒報
美司法部起訴前蘋果華人工程師 竊取自駕技術逃往中國 世界新聞網
僅2成企業認同 資安不佳影響業務 聯合報
【臺灣資安大會直擊】面對下一個網路安全時代,網路防禦矩陣CDM發明人提出資安防護要有親疏遠近之道,才能強健復原力 iThome
電子發票平台資安爆漏洞 逾 7% 上市櫃公司營業隱私恐外洩 鏡傳媒
微軟連用戶以密碼保護的壓縮檔都能檢查 iThome
【資安日報】5月17日,駭客利用Go語言開發的Cobalt Strike發動攻擊的情況升溫 iThome
SUI 遭爆3月秘密修復「十億美元安全漏洞」,可讓駭客閃電貸攻擊.. BLOCKTEMPO
線上買書接統戰宣傳電話 誠品否認與中國設分店有關 民視新聞網
【資安日報】5月15日,誠品書店外洩個資傳出遭支持中國武統人士利用,對臺灣民眾發動心理戰 iThome
非公務機關洩個資最高罰1500萬 藍委批只准州官放火 世界新聞網
防詐新招 非國碼電話直接擋 工商時報電子報
家長控制軟體 Kids Place出包 可輕易繞過限制易受攻擊 TechNice 科技島
財部:電子發票整合服務平台 營利事業密碼弱點已改善 自由時報電子報
【資安日報】5月16日,財政部電子發票平臺驚傳資安漏洞,恐曝露上市櫃公司營業資料 iThome
電商洩個資 近1年僅罰3家 聯合新聞網
2023 年首季台灣平均每週遭攻擊逾 3,000 次,成全球之首 PC DIY
快新聞/統聯驚傳駭客攻擊 監理所資安鑑識:2天後會有結果 民視新聞往
冒名人投資詐騙 4月財損高達2.8億 自由時報
歐盟成員國批准首部加密貨幣法規 為英美增添壓力 中央通訊社
數位分身帶來的網路安全挑戰和機遇 CIO IT經理人
證照仍是學習資安基本功的主要管道,有專家打造「資安證照地圖」 iThome
台智雲發表企業級大型語言模型 避免中文答非所問 中央通訊社
訂閱資安新聞週報
司法部起訴前蘋果華人工程師 竊取自駕技術逃往中國 世界新聞網
被告王偉保(Weibao Wang,音譯,35歲)是前蘋果工程師,2016年入職,居住在加州山景市(Mountain View)。起訴書中指出,他2017年被一家在美國的中國公司雇用開發自駕車技術,但過了四個月,向蘋果公司辭職。他在辭職前加入一家母公司在中國的美國公司,擔任高端電腦工作。檢方指他當時就開始下載大量蘋果研發的演算資料數據。
僅2成企業認同 資安不佳影響業務 聯合報
有三分之二企業決策者決定在今年提高網路資安投資,但其中有半數企業明確表示資安對營收並無貢獻。趨勢科技威脅情報副總裁Jon Clay表示,企業若想發揮資安投資最大效益,企業領導人必須重新調整對網路資安的看法。
電子發票平台資安爆漏洞 逾 7% 上市櫃公司營業隱私恐外洩 鏡傳媒
READr 近日接獲民眾提供一份包含 130 家上市櫃公司的名單,指稱財政部負責的「電子發票整合服務平台」登入系統出現資安缺失:只要輸入名單上企業的統編,以及政府提供的預設密碼,即可瀏覽其會員資料。也就是只需使用同一組密碼,包括發票明細、營業收入等企業經營之重大商業資料將一覽無遺。
Google推新網址名 專家憂有利網路釣魚與惡意軟體傳播活動 TechNice 科技島
繼Google於本月稍早推出新的八個網址名:「.dad」、「.phd」、「.prof」、「.esq」、「.foo」、「.zip」、「.mov」和「.nexus」,各路專家指出其中的「.zip」與「.mov」可能遭網路分子利用,執行網路釣魚與惡意軟體傳播活動。
家長控制軟體出包 可輕易繞過限制易受攻擊 TechNice 科技島
資安業者SEC Consult近期發現,在Google Play上高達500萬次下載量的家長控制軟體Kids Place竟有高達五個安全漏洞,不僅可以讓被監控的小孩輕鬆繞過諸項限制,同時還讓攻擊者能隨意傳送各式檔案、盜取其設備資料。
微軟連用戶以密碼保護的壓縮檔都能檢查 iThome
安全研究人員Andrew Brandt日前因為工作之故,將惡意程式樣本壓縮成Zip並啟動密碼為「infected」的保護,欲上傳公司SharePoint的資料夾分享給同事。他不久後接到傳送失敗的系統通知,理由是偵測到有惡意程式。研究人員說,過去這種方法都行得通,顯然微軟現在更積極掃瞄用戶以密碼保護的檔案。他雖然理解微軟是為了安全考量,但這種作法不但有刺探性,也限制了安全研究的空間。
新網路釣魚即服務工具 專攻Microsoft 365用戶 科技島
科技大廠思科(Cisco)旗下資安研究員Tiago Pereira在本月稍早公布的報告指出,在2022年五月出現的新網路釣魚即服務工具Greatness,已經被網路犯罪圈用於多起網路釣魚活動,鎖定Microsoft 365雲端服務的用戶。Tiago Pereira強調,該工具的問世與大規模使用直接降低執行網路釣魚攻擊的門檻。
假冒「遠通電收」官方App 竊取信用卡個資!惡意病毒網釣攻擊台灣、越南受波及 自由時報電子報
假冒逾百萬次下載量知名手機應用 App 名義的惡意網路釣魚攻擊手法,遭資安業者Check Point 揭露,近期正於網路活躍橫行。值得注意的是,此次以鎖定東亞各國家地區,包括台灣、越南等國家地區在內皆受波及。假冒具高知名度的特定企業機構App、所發起的惡意攻擊活動,藉由暗中植入具狡猾陷阱與變種特性的新型態木馬病「FluHorse」,並會發出假冒名義的網釣電子郵件或手機簡訊,用「欠費」等各式話術詐騙陷阱引誘點擊所夾帶的網址連結,趁機不當竊取帳密與信用卡等個資。
線上買書接統戰宣傳電話 誠品否認與中國設分店有關 民視新聞網
外界質疑,誠品疑似個資外洩事件可能跟誠品在中國設分店有關,不過誠品嚴正駁斥,絕對沒有將台灣消費者資訊串接海外。資安專家劉彥伯說,「購物平台會在三個地方,出現一些個資外洩的地方,比如說在會員的部分,或者在購物的流程系統,還有在後面的客服系統。
【資安日報】5月15日,誠品書店外洩個資傳出遭支持中國武統人士利用,對臺灣民眾發動心理戰 iThome
臺灣網路商城個資外洩事件頻傳,伴隨而來的是各式各樣的詐騙事故,但如今這些流出的購物記錄不只被駭客用於騙錢,還出現了認知作戰攻擊。有名社會運動人士曾在誠品網站購書,結果上週末接到冒充該公司進行市調的電話。但罕見的是,對方並非宣稱扣款錯誤等理由進行金融詐騙,而是不斷宣傳與表達「中國會武力統一臺灣」的主張。
非公務機關洩個資最高罰1500萬 藍委批只准州官放火 世界新聞網
昨天通過修正規定,非公務機關者違法外洩個資,將處2萬元(台幣,下同,約649美元)以上、200萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處15萬元以上、1500萬元以下罰鍰。另外,非公務機關若未採行適當安全措施來防止個資被竊、竄改、毀損、滅失或洩漏,或訂定個資檔案安全維護計畫、業務終止後的個資處理方法,情節重大處15萬元以上、1500萬以下之罰鍰,並令其限期改正,屆期未改正者,按次處罰。
防詐新招 非國碼電話直接擋 工商時報電子報
詐騙電話頻傳,五大電信、NCC及刑事警察局聯手祭出新策,將針對+28等非國碼電話,直接從電信交換機系統攔阻,另外,NCC規畫國際電話語音警示措施,將預先設定任一通「+886」開頭的來電,需先聽完數秒的語音警示才能通話,預計10月底上線,相關經費2.07億元,由業者負擔一半費用。
社群定位成隱私漏洞 國高中恐洩行蹤 台灣醒報
社群具定位功能,如誤觸不當內容,兒少在網路社群曝險!家扶基金會17日發布民調指出,逾4成兒少每天使用網路社群的時間超過2個小時,有兒少在使用社群時,遭遇到霸凌或被騙取私密照等狀況。藝人聶雲與女兒聶庭到場分享指出,在網路社群使用上,親子應保留空間理解孩子的需求,討論網路使用的利弊。
【資安日報】5月17日,駭客利用Go語言開發的Cobalt Strike發動攻擊的情況升溫 iThome
賽門鐵克揭露駭客組織Lancefly的攻擊行動,該組織自2018年以來,利用名為MerDoor的後門程式攻擊東南亞、南亞國家的政府機關、航空業者、電信業者。這些駭客疑似透過網路釣魚郵件、暴力破解SSH連線帳密、找尋曝露於網際網路的伺服器漏洞等方式,來進行未經授權的存取。
SUI 遭爆3月秘密修復「十億美元安全漏洞」,可讓駭客閃電貸攻擊.. BLOCKTEMPO
今年 5 月上旬剛上線主網的新興公鏈 SUI,其代幣在當時上架各大交易所時,開盤一度衝破 $2,漲幅達 2000%,繳出不錯的成績單。但就在昨(16)日,SUI 卻爆出在 3 月時曾秘密修復區塊鏈底層漏洞,並未對外公開。
財部:電子發票整合服務平台 營利事業密碼弱點已改善 自由時報電子報
有白帽駭客反映使用營利事業預設密碼,即可登入財政部電子發票整合服務平台,導致使用電子發票的營利事業或國家單位採購資訊外洩的資安疑慮。財政部財政資訊中心表示,整合服務平台營利事業密碼弱點已改善完成,請營利事業儘快登入修改預設密碼。
【資安日報】5月16日,財政部電子發票平臺驚傳資安漏洞,恐曝露上市櫃公司營業資料 iThome
公部門提供給企業使用的系統當中,不僅使用共通的預設密碼,而且這還是組弱密碼!財政部傳出在電子發票平臺上提供給企業的帳號裡,帳號名稱是該公司的統一編號,預設密碼是極為容易猜中的弱密碼,一旦任何人嘗試以此密碼搭配公司的統編,就有可能檢視該公司的發票資料,由於公司統編相當容易找到,這樣的帳密形同公開資料。經本週2家媒體報導後,財政部於今日表示,他們已緩解上述情況。
電商洩個資 近1年僅罰3家 聯合新聞網
詐騙集團假冒電商致電買家,以「解除分期付款」手法誘使操作ATM或網路銀行轉帳,今年一到四月已騙走二億多元,刑事局函送過去一年疑個資外洩業者一○四家,僅三家被主管機關依個人資料保護法裁罰,官警認為相關單位裁罰牛步,對罔顧資安的業者欠缺約束。
阿里雲與IBM 攜手提供安全解決方案 中華新聞雲
該解決方案整合了IBM安全產品QRadar SIEM和Qradar SOAR的性能,以及阿里雲的多種安全能力,可提供多項服務,包括即時報告,以及對雲環境的集中可視,以偵測勒索軟件、內部威脅和雲端攻擊等安全風險。該解決方案由阿里雲和IBM合作開發,旨在防範日益加劇的網路安全風險,同時幫助客戶在數位轉型過程中構建一個安全、穩定和受保護的雲環境。
Check Point:2023 年首季台灣平均每週遭攻擊逾 3,000 次,成全球之首 PC DIY
Check Point的威脅情報部門 Check Point Research 指出今年第一季全球每週攻擊次數年增率為 7%,各組織平均每週遭受 1,248 次攻擊;台灣受攻擊次數為全球 2.6 倍,居各國之首,各組織每週遭受 3,250 次攻擊,年增率 24%。Check Point觀察到駭客開始利用合法工具進行非法牟利。例如技術不純熟的網路犯罪份子也能透過 ChatGPT 生成程式碼,將木馬植入 3CX 電腦版應用程式中發動供應鏈攻擊,並濫用微軟安裝訊息佇列中的重大 RCE 漏洞。
快新聞/統聯驚傳駭客攻擊 監理所資安鑑識:2天後會有結果 民視新聞往
統聯客運驚傳被駭客攻擊,有民眾投訴,許多人的個資被竊,還被詐騙電話、簡訊騷擾,官網也遭癱瘓。對此台北區監理所表示,統聯客運已協請資安人員至該公司進行初步鑑識,預計2天後可有初步結果。
【資安週報】2023年5月8日到5月12日 iThome
在威脅焦點新聞事件與趨勢方面,以微星3月遭駭事件波及Intel開機安全機制BootGuard最受矚目,以及工控資安業者Dragos揭露自身遭勒索軟體意圖攻擊但未被得逞的狀況,還有自從勒索軟體Babuk原始碼遭公布後,有研究人員發現,近期不少勒索組織因為自身不擅長在Linux平臺開發惡意程式,而選擇使用現有的原始碼加以修改。
2023資安大會開展!資安策略關鍵是什麼?美國前國安部長提要有一能力 民視新聞網
「我再次強調,資安就是國安,我連續五年都來參加這場大會,就是代表政府對資安的重視。」總統蔡英文在今(9日)的「CYBERSEC 2023臺灣資安大會」開幕典禮上表示,今年資安大會以「Bring Security To」為題,背後所指意涵,「我們不僅要Bring Security to Taiwan,更要Bring Security to the World。我們會以國家級的資安團隊確保數位國土安全,而且要深化國際合作,建構國內外的資安聯邦體系。」
冒名人投資詐騙 4月財損高達2.8億 自由時報
詐騙集團假冒名人在網路刊登廣告,成立假的臉書帳號,以投資賺錢話術,誘騙民眾上當的事件層出不窮,近期臉書又有假冒富邦集團董事長蔡明忠及宏達電董事長王雪紅名義,發布投資理財詐騙訊息,連知名財經節目主持人邱沁宜也被冒用,有民眾因此被騙走二六五萬元。
臺灣網路商城個資外洩事件頻傳,伴隨而來的是各式各樣的詐騙事故,但如今這些流出的購物記錄不只被駭客用於騙錢,還出現了認知作戰攻擊。有名社會運動人士曾在誠品網站購書,結果上週末接到冒充該公司進行市調的電話。但罕見的是,對方並非宣稱扣款錯誤等理由進行金融詐騙,而是不斷宣傳與表達「中國會武力統一臺灣」的主張。
歐盟成員國批准首部加密貨幣法規 為英美增添壓力 中央通訊社
歐盟輪值主席國瑞典的財政部長斯凡特森(Elisabeth Svantesson)表示:「近期幾起事件已經證實,我們迫切需要祭出法規來提供投資這類資產的歐洲人更佳保護,同時預防加密貨幣業界從事洗錢和資助恐怖主義等不當用途。」
數位分身帶來的網路安全挑戰和機遇 CIO IT經理人
數位分身是物件、結構或系統的數位表示,可以讓組織更好地洞察這些物件的生命週期,但同樣等級的瞭解和控制也可能為惡意攻擊者開啟入侵的大門。
【臺灣資安大會直擊】面對下一個網路安全時代,網路防禦矩陣CDM發明人提出資安防護要有親疏遠近之道,才能強健復原力 iThome
面對2020年代的網路安全防護挑戰,以發明Cyber Defense Matrix聞名的Sounil Yu,他在2023臺灣資安大會主題演說中,指出我們正面臨勒索軟體與資料刪除程式的攻擊,考驗著組織復原力,因此提出下個世代的防護新思維,當中以寵物與家畜為比喻,讓我們認識看待重要系統與資產的關鍵,以及如何給予不同的防護策略。
證照仍是學習資安基本功的主要管道,有專家打造「資安證照地圖」 iThome
論及資安證照的效益,不外乎方便資安人員求職,提供直接的能力證明,因應產業需求或法規要求,以及幫助個人自我實現,然而,有時企業雖然傾向以實際經驗為重,但也願意參考求職者拿到的資安證照來判斷,因此,證照仍是認知資安人才是否合用的重要依據。
台智雲發表企業級大型語言模型 避免中文答非所問 中央通訊社
華碩轉投資台智雲今天舉辦台灣AI超算年會,發表福爾摩沙大模型,強化繁中語料。華碩董事長施崇棠表示,台灣擁有比鄰近區域更優越的算力資源與企業應用創新動能,台智雲將更積極共創AI 2.0新生態。
20230515 車界週報 車未來 Auto Future
VicOne 的智慧座艙資安防護軟體將整合在TomTom數位座艙(Digital Cockpit) 軟體服務平台上,進一步讓汽車製造商 (OEM) 提供在車載資訊娛樂系統 (IVI) 上的資料隱私防護,為車主降低潛在的網路安全風險。