本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 資安風險量化解密
- 生成式 AI 助理讓威脅追蹤速度變快
- Lemon Group 利用預先感染的裝置打造自己的網路犯罪事業
- 詐騙份子拿你的護照號碼可以做什麼?
- 如何不讓你的 IG、FB 等社群網站貼文,在假期間出賣你的個資?
- 《上週資安新聞周報》Threads網路釣魚威脅蠢動 /看衰人工智慧發展?比爾蓋茲條列AI五大風險/ 付費內容看光光!OpenAI 緊急暫停 Browse with Bing 翻牆功能
資安新聞精選
電器「防駭」白宮推出新認證標誌 標明可安全聯網 世界新聞網
美國軍方10年間百萬封「敏感電郵」錯發給俄羅斯盟友馬利 關鍵評論網
AI 在企業資安應用的現實面 CIO IT經理人
USB 隨身碟攻擊量上半年激增三倍,兩大攻擊系統侵襲全球產業 科技新報網
研究人員分析逾33萬個Docker映像檔,發現當中的8.5%含有秘密 iThome
被基努李維的小帳追蹤,還跟你聊天?花招百出的社群交友詐騙,IG好友別亂加! 關鍵評論網
訂閱資安趨勢電子報
ChatGPT可能違反消保法 美監管機構調查OpenAI 聯合新聞網
微軟否認遭網路攻擊導致3千萬筆客戶資料外洩 iThome電腦報周刊
【資安日報】7月14日,Windows舊版驅動程式簽章相容性政策遭濫用,駭客拿來打造惡意驅動程式,突破端點電腦資安防護 iThome
中國駭客 Storm-0558 侵入近 30 家組織的 Exchange Online 與 Azure AD 受害者包括美國政府單位 網路資訊雜誌
當心!駭客正濫用 Glitch 平台散佈釣魚郵件,試圖騙取 Microsoft 365 帳號 T客邦
美政府機構遭駭 布林肯向王毅表示將究責 工商時報電子報
趨勢科技獲選為Forrester網路分析與可視性(NAV)領導者 T客邦
雲端工作負載防護需求暴增,趨勢科技蟬聯市佔第一 激流商業網
VicOne與公信電子合作,為電動巴士提供內建網路安全防護的IVI解決方案 全球安防科技網
國科會公告 機密公務禁用ChatGPT /「生成式AI參考指引草案」收集意見 28日截止 自由時報電子報
作家連署要求AI使用版權內容生成作品時應提供補償 iThome
遭中國駭客入侵後,美政府籲微軟進行雲端服務價格上的改革 INSIDE
【資安日報】7月18日,駭客組織TeamTNT將鎖定雲端竊取帳號的攻擊行動,企圖從AWS延伸至其他兩大公有雲 iThome
資料共享…關鍵在資安 經濟日報(臺灣)
台電驚傳「假帳單」流竄!繳電費注意:3破解招數一次看 新頭殼
蝦皮拍賣淪犯罪集團洗錢、詐欺工具 經民連:檢調應提防中國介選 鏡新聞
彭博:台灣總統選戰逼近 TikTok假訊息攀升中資身分引關注 中央通訊社
元宇宙再起/致力平台互通!業者齊聚造元宇宙 資安仍為考量重點 今日新聞
去年政府資安通報765件 5年新高 自由時報電子報
【資安日報】7月17日,駭客打造專門用於網路犯罪的AI語言模型WormGPT,可製作更具說服力的惡意郵件 iThome
如何提升SOC防護水準?可借助SOC-CMM成熟度評估,從5大領域面向著手分析 iThome
IT-OT資安融合有助於風險管理最佳化 iThome
【資安日報】7月13日,惡意軟體PyLoose挾持雲端工作負載的運算資源,挖掘門羅幣 iThome
【社論】警覺錯假訊息 查核事實鞏固心防 Youth Daily青年日報
挪威禁Meta平台利用個資投放定向廣告 不改就罰 中央通訊社
開放銀行催速 五面向鬆綁 今年進入最重要階段 鎖定存款、貸款、信用卡、支付及手機門號轉帳交易資訊 經濟日報(臺灣)
中華電信科技打詐再出招 推固網國際來話語音警示 經濟日報網
+886 9語音警示初見成效 上線2天涉詐話務已少20萬 自由時報電子報
黃牛地獄3/二手票超貴仍夯!消保官「1招」帶你上天堂:歌迷醒醒 今日新聞
GDDA攜手國際通商法律事務所 辦建構資安生態系國際論壇 工商時報
13家NEXT BIG新創之星 出列 經濟日報網
「.MIL」拼成「.ML」,美國軍方10年間百萬封「敏感電郵」錯發給俄羅斯盟友馬利 關鍵評論網
荷蘭網路企業家祖比爾(Johannes Zuurbier)近日向英國《金融時報》(Financial Times)揭露,由於眾多與美國軍方合作的機構以及美軍內部,長期將美國國防部的電子信箱地址拼錯,過去10多年間已有數百萬封原先欲寄至美國五角大廈(The Pentagon)的電子郵件,誤傳送至與俄羅斯友好的西非內陸國家馬利(Mali)。2023年上半年更曾出現一封錯發信件是關於美國陸軍參謀長麥康維爾將軍(Gen. James C. McConville)前往印尼參訪的行程資訊。
研究人員分析逾33萬個Docker映像檔,發現當中的8.5%含有秘密 iThome
德國RWTH Aachen大學研究發現,約有8.5%未受防護的Docker映像檔,含有大量可被駭客利用的敏感資訊,包括私鑰、身分認證憑證與存取權杖。
被基努李維的小帳追蹤,還跟你聊天?花招百出的社群交友詐騙,IG好友別亂加! 關鍵評論網
在這個幾乎無人沒有社交帳號的年代,交朋友就是動動手指按下追蹤與確認這樣簡單的動作,只要按下確認,彷彿對方不用耗費努力就可以了解你的所有,對於我們一般人來說當然是一個很方便的工具,對詐騙集團也是!
蝦皮拍賣淪犯罪集團洗錢、詐欺工具 經民連:檢調應提防中國介選 鏡新聞
有消費者在蝦皮上買到假包後報警,檢警追查下發現,販賣仿冒商品的賣家曾經透過蝦皮與一對夫婦進行地下匯兌,將不法犯罪所得洗出去。經濟民主連合副研究員羅子維指出,此對夫婦透過在蝦皮設立賣場,以「淘寶儲值教學」等關鍵字吸引買家,實質上是在做兩岸地下匯兌。
彭博:台灣總統選戰逼近 TikTok假訊息攀升中資身分引關注 中央通訊社
彭博報導,隨著台灣明年1月的總統大選逼近,TikTok隨處可見和選戰有關的短影音,使台灣成為政治假訊息的下一個戰場,也引發中國能否操縱這個社群平台的辯論。將於2024年舉行總統大選的美國,對此也同樣關切。
元宇宙再起/致力平台互通!業者齊聚造元宇宙 資安仍為考量重點 今日新聞
若元宇宙成熟發展,成為眾人使用的系統後,在能夠互聯互通、暢行無阻下,資安問題明顯將會成為一大挑戰。趨勢科技去年曾發布一份報告,警告未來駭客或許可利用偷來或被外洩的生物特徵資料騙過連網裝置(如VR/AR眼鏡頭盔),來登入他人帳號,進而衍生出如資料竊盜、詐騙、勒索等犯罪行為。
去年政府資安通報765件 5年新高 自由時報電子報
政府單位頻遭網路攻擊,根據數位發展部統計,二○二二年政府資安事件通報達七六五件,為近五年新高,通報類型以「非法入侵」為大宗,較嚴重的三級事件占四.八三%,占比為近四年新高,多與資料外洩有關。
USB 隨身碟攻擊量上半年激增三倍,兩大攻擊系統侵襲全球產業 科技新報網
Google Cloud 旗下網路安全公司 Mandiant 的研究人員發現,2023 上半年透過 USB 隨身碟發動惡意軟體攻擊的案例激增三倍,攻擊量創歷年新高。
AI 在企業資安應用的現實面 CIO IT經理人
最近大眾媒體對於 ChatGPT 的熱衷,讓很多人相信人工智慧已成為「此時此刻」的科技,預期它轉眼間就會在企業和消費產品中普及。甚者,微軟對 ChatGPT 幕後公司 OpenAI 做出的 100 億美元投資,更讓許多人期盼,人工智慧技術將完整且徹底地整合到微軟的產品線,從 Office 365 到 Xbox 等各項產品。
【資安日報】7月17日,駭客打造專門用於網路犯罪的AI語言模型WormGPT,可製作更具說服力的惡意郵件 iThome
資安業者SlashNext發現,有人在網路犯罪論壇兜售名為WormGPT的工具,並聲稱是黑帽駭客界的GPT生成式語言模型,專為惡意活動設計。研究人員實際透過WormGPT產生用於商業郵件詐騙(BEC)的電子郵件,結果發現,該工具自動產生的信件極具說服力,且高度可信,再加上很收信人很容易信以為真,且郵件安全系統也不會將其視為有害。
ChatGPT可能違反消保法 美監管機構調查OpenAI 聯合新聞網
美國聯邦貿易委員會(FTC)首度正式對OpenAI發動調查,以了解其開發出的ChatGPT是否有違反消費者保護法的疑慮,成為最近正當紅的生成式AI市場所遭遇的第一個重大監管挑戰。這也是美國反壟斷當局尋求法院阻止微軟收購動視暴雪後,最新的抑制科技業影響力行動。
如何提升SOC防護水準?可借助SOC-CMM成熟度評估,從5大領域面向著手分析 iThome
想了解SOC安全防護水準現況及提高品質,資誠智能風險管理諮詢執行董事唐雍為指出,可借助SOC成熟度評估的概念,善用SOC-CMM模型,從業務、人員、流程、技術、服務這5大領域面向著手分析。
IT-OT資安融合有助於風險管理最佳化 iThome
趨勢科技基礎架構策略副總裁Bill Malik 指出:「IT-OT融合已促使許多工業領域企業邁向數位轉型,若要有效管理這類環境的風險,IT和OT資安營運(SecOps)也必須相互融合。OT資安計畫也許目前仍落後IT,但其擁有絕佳機會藉由彙整至單一資安營運平台(如Trend Vision One)來解決可視性與人才管理上的缺失。」
【資安日報】7月13日,惡意軟體PyLoose挾持雲端工作負載的運算資源,挖掘門羅幣 iThome
趨勢科技指出,曾經使用惡意程式FiveSys的中國駭客,近期再度發起新的Rootkit攻擊行動,目標是中國電玩產業。
【社論】警覺錯假訊息 查核事實鞏固心防 Youth Daily青年日報
今年3月初,瑞典哥德堡大學政治學全球調查計畫V-Dem發表《2023民主報告》指出,全球受境外假訊息影響最嚴重國家,前3名依序為我國、拉脫維亞與蒙特內哥羅,且我國已連續10年蟬聯榜首;而對外散布假訊息的國家,前5名依序為委內瑞拉、土庫曼、北韓、尼加拉瓜,以及中國大陸。曾被指多次影響美國重要選舉、駭侵烏克蘭的俄羅斯,則從12名躍升
挪威禁Meta平台利用個資投放定向廣告 不改就罰 中央通訊社
挪威資料保護局今天表示,將暫時禁止臉書和Instagram的母公司Meta利用用戶個人資訊來投放具針對性的定向廣告;若不改善,將面臨每天10萬美元(約新台幣310萬元)罰款。
開放銀行催速 五面向鬆綁 今年進入最重要階段 鎖定存款、貸款、信用卡、支付及手機門號轉帳交易資訊 經濟日報(臺灣)
金管會分三階段推動開放銀行(Open Banking),今年將邁入最重要的第三階段「交易面資訊」。據了解,銀行公會已增修相關自律規範,敲定存款、貸款、信用卡、支付及手機門號轉帳等五大類交易資訊做開放,該自律規範已送交金管會,並建議給一年資訊系統調整的緩衝期,金管會已正審議中。
中華電信科技打詐再出招 推固網國際來話語音警示 經濟日報網
根據分析,165報案之詐騙電話,近九成是透過繞道、境外竄改電話號碼打到國內,民眾常接到偽裝成公部門、國內金融機構電話,惟來話號碼最前面顯示有「+886」字樣,並非正常情況。
近日,台灣民眾在日常生活中面臨著不斷攀升的詐騙案件,如此一來更不容忽視,詐騙分子利用各種手法進行詐欺,包括假冒瓦斯公司、假投資詐騙和帳戶詐騙等,對民眾的財產造成了嚴重的損失。
+886 9語音警示初見成效 上線2天涉詐話務已少20萬 自由時報電子報
為使民眾提高警覺,國家通訊傳播委員會(NCC)推動境外來電語音警示,7月17日起,民眾接到號碼是「+886 9」開頭來電時,將先聽到約七秒的國、台語警示,提醒小心詐騙,NCC表示,語音警示上線後,「+886 9」話務已經大幅下降,推估是涉詐話務減少,證明語音警示有用。
黃牛地獄3/二手票超貴仍夯!消保官「1招」帶你上天堂:歌迷醒醒 今日新聞
引用台北市法務局統計資料,今年1至3月「演唱會相關」消費申訴30件,其中消費者提及遭騙或遭詐為6件,比率高達2成。很多詐騙都不嫌麻煩轉到LINE上近一步的誘導的原因,趨勢科技防詐達人指出,LINE無須實名的特性,讓很多詐騙集團埋藏其中,甚至會刻意在各個平台引導受害者用LINE聯絡,用假照片、假名字,甚至隨時更換名字,讓誘騙不同人上當。
台電驚傳「假帳單」流竄!繳電費注意:3破解招數一次看 新頭殼
近期有不少人收到假冒台電名義的「假電費帳單」email,因此台電點出3個詐騙釣魚email的特徵,分別為信件標題將電號遮罩、信件內容無法提供用電地址、附件為ZIP壓縮檔案(含有害的程式檔)。
國科會公告 機密公務禁用ChatGPT /「生成式AI參考指引草案」收集意見 28日截止 自由時報電子報
人工智慧(AI)發展下,ChatGPT可自動生成文章,引爆革命性發展,但也帶來隱憂。國科會公告公務機關生成式AI參考指引草案,禁止生成式AI寫機密文書,公務員不得向AI提供公務機密,各機關若使用生成式AI執行業務,應揭露此一資訊。
作家連署要求AI使用版權內容生成作品時應提供補償 iThome
逾8,000名作家在近日簽署了由紐約著作人協會(Authors Guild)所發表的一封公開信,要求OpenAI、Alphabet、Meta、Stability AI與IBM等生成式AI領導業者的執行長們,在使用受到版權保護的內容訓練AI時,應取得作家的同意,承認這些作家/作品的價值,並提供補償。
電器「防駭」白宮推出新認證標誌 標明可安全聯網 世界新聞網
消費者技術協會(Consumer Technology Association)主席兼執行長夏皮羅(Gary Shapiro)說,聯邦通訊委員會一旦啟動這項計畫,消費者便開始在各種聯網產品上看到美國聯網信任標誌和二維碼(QR codes),透過二維碼可查詢產品安全保護相關訊息。
當心!駭客正濫用 Glitch 平台散佈釣魚郵件,試圖騙取 Microsoft 365 帳號 T客邦
據悉,駭客在釣魚郵件中夾帶含有 JavaScript 程式碼的 HTML 附件,一旦收信人依照郵件中的指示打開附件,就會看到偽裝成 Microsoft 365 登錄網頁的釣魚網頁,在這一步,許多粗心的使用者就會在其中輸入帳號密碼,將自己的資訊主動交給駭客。
美政府機構遭駭 布林肯向王毅表示將究責 工商時報電子報
微軟發布聲明,自今年5月開始,一個名叫Storm-0558的中國駭客組織入侵了約25個組織的電子郵件帳戶,入侵活動持續了約一個月之久,其中包括多個政府機構,美國國務院及商務部也受害。在消息曝光後,商務部、國務院、眾議院人員相繼坦承被駭。一名美國官員透露,華府將會追究駭客的責任。
微軟否認遭網路攻擊導致3千萬筆客戶資料外洩 iThome電腦報周刊
根據Bleeping Computer報導,宣稱6月初對微軟發動DDoS攻擊,導致Outlook.com等服務異常的駭客組織Anonymous Sudan,如今又宣布他們成功駭入微軟,取得超過3千萬筆微軟用戶帳號資料,但微軟否認有資料外洩情事。
【資安日報】7月14日,Windows舊版驅動程式簽章相容性政策遭濫用,駭客拿來打造惡意驅動程式,突破端點電腦資安防護 iThome
微軟針對舊版驅動程式制訂的相容性政策成為駭客利用的對象!研究人員揭露竄改驅動程式簽章日期的手法,攻擊者藉此突破Windows的安全防護機制,並進一步對受害電腦發動攻擊。
中國駭客 Storm-0558 侵入近 30 家組織的 Exchange Online 與 Azure AD 受害者包括美國政府單位 網路資訊雜誌
中國駭客竊取微軟帳號簽入金鑰,入侵組織的Exchange Online及Azure AD,包括美國政府單位。微軟調查發現駭客組織Storm-0558利用API漏洞竊取郵件和附件。微軟已註銷金鑰並關閉攻擊者伺服器,但攻擊者可能轉換手法。
遭中國駭客入侵後,美政府籲微軟進行雲端服務價格上的改革 INSIDE
本周二,一起駭客攻擊事件被披露,該事件影響了全球 20 多個組織,其中包括美國國務院、商務部。現在,美國政府呼籲微軟應對雲端服務進行改革。起因是此次的受害者因為沒有註冊微軟的高級服務而無法檢測到此次駭客攻擊。
【資安日報】7月18日,駭客組織TeamTNT將鎖定雲端竊取帳號的攻擊行動,企圖從AWS延伸至其他兩大公有雲 iThome
針對雲端環境的攻擊行動Silentbob規模恐將再度擴大,研究人員指出,雖然駭客主要的攻擊目標是AWS用戶,但近期開始打造針對Azure與Google Cloud Platform(GCP)的攻擊工具。
資料共享…關鍵在資安 經濟日報(臺灣)
金管會分三階段推動開放銀行。銀行公會已增修相關自律規範。「開放銀行」核心概念是:客戶資料不再是銀行獨享,民眾可以作主要把個資分享給任何一家銀行、或是第三方服務業者(TSP)。但最大的疑慮則是TSP的資安。當第三方業者拿到民眾帳戶、交易資訊愈來愈多,就得考慮被駭或是個資外洩的可能性。
隨著數位化程度提升,製造業紛紛建構工業物聯網(IIoT)應用場域,使得機器視覺、即時資料分析、人工智慧(AI)等可逐步推展實現。搭配邊緣運算或雲端平台的高效能運算支援,離散製造的現場正在迅速發展虛實整合,藉此提高生產效率與產品品質。然而,數位化衍生的資安風險亦成為當前製造業亟待解決的難題。
【資安週報】2023年7月10日到7月14日 iThome
在這一週漏洞利用消息中,有9個漏洞需特別關注,首先是微軟本月例行性安全性更新,這次修補的132個漏洞中,就有多達6個零時差漏洞,由於都已出現攻擊利用情形,用戶需盡速修補。蘋果這周也緊急修補一個已遭濫用的零時差漏洞,是今年該公司修補的第10個零時差漏洞。
趨勢科技獲選為Forrester網路分析與可視性(NAV)領導者 T客邦
零信任是美國聯邦政府與整體市場的發展方向,然而企業無法在對其網路缺乏完整可視性與控管能力的情況下實現零信任。為協助全球政府與企業達成零信任目標,Trend Vision One平台為分析師打造能直覺剖析資料卻又不影響功能運作的特色優勢。
雲端工作負載防護需求暴增,趨勢科技蟬聯市佔第一 激流商業網
IDC報告特別指出,雲端工作負載防護需求暴增,市場整體規模較去年成長了將近27%,達到26億美元。趨勢科技雲端營收預計將超過第二與第三名廠商總合。
VicOne與公信電子合作,為電動巴士提供內建網路安全防護的IVI解決方案 全球安防科技網
VicOne的網路安全軟體將與公信電子的電子控制單元(ECU)整合,防止駭客先滲透電動巴士的IVI系統,接著控制車輛的煞車、加速、導航等其他關鍵系統,甚至經由車上的網際網路連線竊取個人身分識別資訊(PII)。這套整合式解決方案亦滿足汽車產業最新的法規要求,如:ISO/SAE 21434。
人工智慧(AI)技術快速發展,導致各種資安風險提升,駭客攻擊手法越來越多元且頻繁,為了因應這樣的現況,政府單位、企業都必須加快導入AI於資安系統中,讓資安系統與日俱進地更新,並透過區域聯防、情資共享,強化資安能力、保護資訊安全。
GDDA攜手國際通商法律事務所 辦建構資安生態系國際論壇 工商時報
全球興起AI風潮,伴隨資安風險,全球數位產業聯盟協進會(GDDA)首次與國際通商法律事務所合作,將於7月27日(周四)上午9時至12時舉辦「落實資安防護,強化產業韌性-建構資安生態系國際論壇」,邀請Baker McKenzie紐約所合夥律師Cyrus Vance Jr.雪梨所合夥律師Ryan Grant、東京所合夥律師Yoshiaki Muto、吉隆坡所合夥律師Kherk Ying Chew出席分享全球資安發展趨勢。
13家NEXT BIG新創之星 出列 經濟日報網
國發會19日宣布,新推薦13家NEXT BIG新創明日之星,其中有五家結合近來熱夯的AI,透過創意導入不同產品。獲國際創投注資2.5億元的奧義智慧科技公司,以破壞式AI資安創新,徹底改變資安產業缺自動化,產業資安缺AI的長期痛點,日立與三菱等日本企業,以及日本東京都政府等公民營單位都是奧義智慧的客戶。
眾至零信任解決方案,透過存取控制與離線更新有效降低攻擊風險 iThome
觀察近期的資安趨勢,不僅能看出網路攻擊形式是否升級,還能同時檢視現有網路安全策略所面臨的挑戰。臺灣因為具有獨特政治角色,一直是網軍鎖定攻擊的對象。除了逐年攀升的APT攻擊次數外,近期攻擊者採用更多元的工具,甚至濫用合法軟體、雲端平台等,偽裝其攻擊行動。受害對象不限於政府單位,包括各級機關、企業的上下游供應商都可能成為網路攻擊的入侵破口。就一般單位網路環境,攻擊大多源自三到四個面向,從閘道端、遠距辦公VPN、內網、到工控製造環境。
