本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 趨勢科技與國際刑警組織(INTERPOL)合作破獲知名網路釣魚集團 據估計「16shop」在全球大約有7萬名受害者
- 手機中毒症狀-懷疑手機中毒,即刻檢測!
- 《上週資安新聞周報》利用SIM卡挾持等簡單技倆,數十家知名企業遭駭客入侵 /女看一場電影受騙15萬元 / FBI 警告手機 8 大「危險徵兆」!小心 App 藏有存款小偷
訂閱資安趨勢電子報
資安新聞精選
WinRAR 壓縮程式有漏洞 趕快更新以免電腦變跳板 網路資訊雜誌
鎖定Mac電腦的惡意病毒新變種版現蹤!假冒微軟「OfficeNote 」竊個資 自由時報電子報
伊拉克首都廣告看板遭駭客入侵 大街播放「嬌嗔肉片」嚇傻路人 CTWant
AI+VR=最強讀心術?研究:可精準算出個人數據,婚姻、就業狀況都知道 INSIDE
Google One 方案提供「暗網報告」 網友驚呼:現在才知道流出這麼多東西 LIFE生活網
【S級任務】網路購物詐騙多, PC-cillin Pro保平安 PChome 新聞
Google宣布「12月將刪除閒置帳戶」 7種方式維持有效狀態 ETtoday新聞雲
公所工讀生心情差PO網 低收入個資全曝光 華視全球資訊網
Chrome 117將在擴充程式移除或標示為惡意時通知用戶 iThome
快新聞/肯德基官網也被仿「詐騙網站」 網友慘被盜刷近3.6萬 民視新聞網
柯文哲遭仿聲56秒批賴清德出訪 專家:疑「AI後製」 tvbs新聞網
寄付費簡訊竊取信用卡個資 詐團盜刷全台百貨逾2000萬元 自由時報電子報
數位部推動數據公益恪遵個資法 確保當事人權益 經濟日報網
連鎖瑜珈遭駭!會員怒:疑「個資外洩」遭盜刷 tvbs新聞網
詐團狂鑽電商驗證漏洞 這一家最多!6600個虛擬帳戶涉詐 壹蘋新聞網
詐騙伎倆多 AI也遭利用 投資型騙案最多 年輕人易上鉤 世界新聞網
趨勢科技 ZDI在 2023 上半年發佈 1,000 多次揭露漏洞公告 享新聞
趨勢科技聯手國際刑警組織 破獲知名網路釣魚集團16shop 雅虎奇摩
Google 對有資安疑慮的 Chrome 擴充功能下重手,將提醒移除並對不安全連線下載敏感檔案發出警示 電腦王阿達
Google為安全金鑰裝置、Chrome瀏覽器加入防禦量子破解技術 iThome
紐約市憂資安問題 禁政府設備使用TikTok 自由時報電子報
阻詐教戰!行動支付綁卡限本人手機門號 銀行盜刷客訴歸零 今日新聞
詐團假冒不得 數位部推3碼政府簡訊防詐 自由時報電子報
台灣運彩呼籲網路資料應小心 注意個資 自立晚報
不法份子假冒子公司詐騙 和碩呼籲民眾別上當 經濟日報網
ShopBack百萬用戶個資外洩 星國重罰174萬台幣 tvbs新聞網
調查:中國假帳號網路釣魚英官員 大量謀取機敏資訊 中央通訊社
俄駭客散布假訊息 打擊北約可信度 Youth Daily青年日報
【資安日報】8月22日,木馬程式HiatusRAT鎖定臺灣而來,半導體、化學製造業、縣市政府成為目標 iThome
鼓勵網路零信任 提高數位免疫力 中時新聞網
《星空》未上市先引起木馬病毒之亂?專家建議:買正版就能避免中毒 雅虎奇摩
【資安日報】8月21日,逾3千個安卓惡意軟體採用不支援的壓縮格式演算法,目的是防止被研究人員反組譯 iThome
【資安日報】8月18日,駭客針對GitLab重大漏洞下手,將其容器環境用於挖礦及盜取網路頻寬 iThome
台灣駭客年會落幕 發表逾20篇AI相關資安研究 工商時報電子報
AI伴隨安全性威脅 NB須以其道還身? 電子時報網
金正恩笑了!北韓加密駭客今年得手1.8億美元,半數用來資助飛彈試射 BLOCKTEMPO
【資安日報】8月17日,Cloudflare物件儲存服務成駭客寄放釣魚網頁的溫床,半年內相關的攻擊流量暴增60倍 iThome
快新聞/肯德基官網也被仿「詐騙網站」 網友慘被盜刷近3.6萬 民視新聞網
詐騙案例層出不窮!近日有網友指出,詐騙網站仿造肯德基官網平台,販賣優惠的低價電子票券,同時還誘騙民眾使用外送服務點餐,而且只提供「信用卡付款」,而有網友不小心受騙上當,一次刷了1122.25美元(約3萬5846元)買肯德基,荷包大失血。
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚 PC-cillin 讓你的『指指點點』可以開心又安心點! 【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
柯文哲遭仿聲56秒批賴清德出訪 專家:疑「AI後製」 tvbs新聞網
部分媒體於16日收到民眾黨主席柯文哲批評賴清德的「黑函音檔」,資安專家劉彥伯指出錄音檔疑似是「AI後製而成」。
寄付費簡訊竊取信用卡個資 詐團盜刷全台百貨逾2000萬元 自由時報電子報
擔任詐騙集團幹部的林姓男子等人,日前假冒電信公司寄出繳費簡訊,騙取民眾個人資料、信用卡資訊後,再綁定大型百貨賣場盜刷高價商品,得手後變賣超過2000萬元,嚴重影響電子支付交易安全。
連鎖瑜珈遭駭!會員怒:疑「個資外洩」遭盜刷 tvbs新聞網
連鎖瑜珈健身教室發聲明,17日系統被駭客攻擊,為了避免會員個資外洩,全面關閉系統,但還是有不只一位會員的信用卡疑似被盜刷,而且金額都超過十萬元。另外,現在無法線上約課,會員只能到現場預約,但常常是到了才知道,課已經被約滿撲空,引發會員不滿,但業者截稿前尚未回應。
►延伸閱讀:KTV員工偷錄信用卡遭盜刷75萬! 如何避免盜刷?
數位部推動數據公益恪遵個資法 確保當事人權益 經濟日報網
數位發展部表示,為推動數據公益,均以符合《個人資料保護法》相關規定為前提,研擬相關政策,也恪遵憲法法庭2022年憲判字第13號判決揭示的保障人民資訊隱私權意旨。數據公益包括資料蒐集、資料處理、數據利用等運作方式,如涉個人資料,蒐集與處理者必須向當事人充分告知法定事項、資料處理方式及安全處理措施,同時也具撤回同意之權利,沒有所謂「以持有人取代個資當事人」、弱化當事人權益的情形。
鎖定Mac電腦的惡意病毒新變種版現蹤!假冒微軟「OfficeNote 」竊個資 自由時報電子報
新型態的「XLoader」macOS變種版的樣本,是以假冒為微軟「OfficeNote 」生產力應用程式的名義於網路散播,實際上內藏有惡意竊錄的工具程式。
近幾年世界各地不斷地爆發勒索軟體事件,世界各國相繼成立獨立的國家資訊安全單位,無非是希望能以國家的層級處理與應對排山倒海的資安事件。趨勢科技的資料說明,2022年上半年的威脅數量比2021年同期增加52%,並且受影響的大多數為政府、製造、醫療等三個產業。
詐團狂鑽電商驗證漏洞 這一家最多!6600個虛擬帳戶涉詐 壹蘋新聞網
羅姓男子等5人組成的詐騙集團,假冒博客來等店商平台或銀行客服,謊稱民眾信用卡分期設定錯誤等話術,誘騙被害人依指示操作ATM轉帳至事先大量申請的蝦皮虛擬帳戶,總計民眾損失1300萬元。
公所工讀生心情差PO網 低收入個資全曝光 華視全球資訊網
高雄市鳳山區公所一名工讀生疑似因為情緒不佳,竟把來申辦低收入戶的民眾個資貼在臉書社群上,還嘲笑對方身材外型及種族,PO文充滿歧視,有網友發現檢舉,而知道闖下大禍,工讀生相當懊悔,表示對不起服務單位及民眾,在昨(21)日已經辭職,政風處表示目前已經進行調查,會依法處理。
詐騙伎倆多 AI也遭利用 投資型騙案最多 年輕人易上鉤 世界新聞網
道高一尺魔高一丈,詐騙手法一直隨著科技而愈來愈「聰明」,除了機器人對話程式,人工智慧AI也被用於詐騙。避免遭到電話、簡訊、網路詐騙的方法就是,冷靜、查證、不要按著指示操作。
趨勢科技 ZDI在 2023 上半年發佈 1,000 多次揭露漏洞公告 享新聞
趨勢科技營運長 Kevin Simzer 表示:「我們每年投資數百萬美元來主動研究漏洞並收購漏洞情報,讓我們的客戶及整體產業節省數十億美元的復原成本。但目前一項令人憂心的趨勢是,廠商對於漏洞的揭露與修補資訊透明度不足,對數碼世界的安全造成威脅。」
伊拉克首都廣告看板遭駭客入侵 大街播放「嬌嗔肉片」嚇傻路人 CTWant
日前伊拉克首都巴格達(Baghdad)當地一處戶外廣告看板遭駭客入侵,而駭客十分惡趣味的使用這個看板播放色情影片,面對如此情況,不僅是讓往來的駕駛與民眾都十分傻眼,有關當局也是急忙下令關閉全市境內的所有數位廣告看板。
►延伸閱讀:三種詐騙者啟動你的攝影機和偷窺隱私的方法-「不給錢,就公開你看色情網站的側錄影片」 收到性愛勒索郵件該做的五件事「
趨勢科技聯手國際刑警組織 破獲知名網路釣魚集團16shop 雅虎奇摩
趨勢科技指出,16shop專門販售網路釣魚套件來降低新手駭客進入該領域的門檻,使他們能夠輕鬆發動大規模詐騙行動;而2020年當INTERPOL需要網路釣魚服務網站16shop的相關威脅情報時,趨勢科技是INTERPOL第一個諮詢的對象。公私部門合作再加上強大的威脅情報,就能讓跨國網路犯罪調查發揮強大的綜效。
惡意攻擊行為對全球製造供應鏈所帶來的衝擊正持續加劇,趨勢科技旗下睿控網安(TXOne Networks)研究發現,自動化產線因勒索軟體攻擊而停擺的時間平均為21天,而每次停擺平均將造成高達280萬美元的財務損失;TXOne也呼籲企業,若要做好工控資安,必須掌握五大營運技術關鍵點。
WinRAR 壓縮程式有漏洞 趕快更新以免電腦變跳板 網路資訊雜誌
WinRAR近日修補了一項高風險漏洞CVE-2023-40477,該漏洞可讓遠端攻擊者傳送惡意 RAR 檔給受害者,等受害者開啟檔案時,在其電腦上執行任意程式碼。
AI+VR=最強讀心術?研究:可精準算出個人數據,婚姻、就業狀況都知道 INSIDE
研究人員使用了熱門 VR 遊戲《Beat Saber》 1,000 名玩家的數據,以 80% 的準確率成功預測玩家的身高、體重、腳大小和所在國家,甚至連婚姻狀況、就業狀況和種族等更隱私的資訊都還有 70% 的準確率。研究表明了,AI 可以只根據 VR 使用者的運動行為,就推測出多種個人特徵,根本不必等使用者輸入或是揭露這些資訊。
Chrome 117將在擴充程式移除或標示為惡意時通知用戶 iThome
Chrome Web Store過去常被人詬病有太多垃圾軟體,包括內含廣告程式、木馬程式或會導向釣魚網站的惡意擴充程式。為確保用戶安全,Google Chrome從117版開始,會在用戶已安裝的擴充程式從Chrome Web Store移除時通知用戶。
Google One 方案提供「暗網報告」 網友驚呼:現在才知道流出這麼多東西 LIFE生活網
許多網友今天上午收到一封來自Google的通知,內容是「Google One 方案現在提供暗網報告,並解釋「暗網是網際網路的一部分,有心人士可在其中隱藏身分並販售竊得資訊。現在系統在暗網中偵測到你的個人資訊後,就會傳送快訊和相關指引。」部份網友擔心是詐騙,還上網發問:「剛剛收到的信…到底是真是假」。網友表示:暗網確實是新功能 用過發現原來這麼多東西流出去。
►延伸閱讀:暗網是什麼?你的個資在暗網現值多少?
Google宣布「12月將刪除閒置帳戶」 7種方式維持有效狀態 ETtoday新聞雲
Google官方近日寄信通知,為保護用戶的資訊安全,「我們決定將所有Google產品和服務的帳戶閒置期更新為2年」,從今(2023)年12月1日起,他們將刪除閒置帳戶,且帳戶內的內容也會刪除掉。若想維持Google的有效狀態,至少每2年要登入帳戶1次,以避免被系統判定為閒置帳戶。
Google 對有資安疑慮的 Chrome 擴充功能下重手,將提醒移除並對不安全連線下載敏感檔案發出警示 電腦王阿達
隨著惡意軟體現在還會有先偽裝再更新成對資安有疑慮的狡猾入侵方式被揭露。近日 Google 則是宣佈將所謂的「安全檢查(Safety Check)」功能更全面地帶到了 Chrome 的擴充功能體系之中。將可更進一步阻止類似的漏洞被利用。繼續閱讀 Google 對有資安疑慮的 Chrome 擴充功能下重手,將提醒移除並對不安全連線下載敏感檔案發出警示報導內文。
Google為安全金鑰裝置、Chrome瀏覽器加入防禦量子破解技術 iThome
為了防禦量子破解竊取資訊,Google 8月相繼發表加入抗量子破解的FIDO2安全金鑰實作,及新版本Chrome的加密技術。
紐約市憂資安問題 禁政府設備使用TikTok 自由時報電子報
紐約市政府聲明指出,TikTok對紐約市的科技網路構成了安全威脅,要求政府機構在30天內刪除TikTok應用程序,員工將無法在市政府擁有的設備和網路上,使用TikTok的應用程序和瀏覽網頁。
阻詐教戰!行動支付綁卡限本人手機門號 銀行盜刷客訴歸零 今日新聞
銀行阻詐出新招,國內有銀行率先推出信用卡,綁定3大國際行動支付限本人手機門號的新制,一旦民眾進行綁卡,銀行就會核驗綁定該國際行動支付的手機門號,是否與持卡人當初辦卡時留存在銀行的手機門號一致。若發現不一致,民眾將無法完成綁定,除非本人親自致電客服中心,進行嚴謹的身分驗證後,才能完成綁定作業。銀行也透露,新制上路後,客服中心連續3天接獲的國際行動支付盜刷客訴也瞬間清零,顯示這做法確實對於用卡安全有幫助。
詐團假冒不得 數位部推3碼政府簡訊防詐 自由時報電子報
因疫情停辦三年的「南方領袖教育學院」,今年恢復舉辦,唐鳳出席演講表示,數位部的職責是防止詐騙,本月已設計系統,以後政府各部會發送的簡訊,不會是來自不同單位的十碼電話號碼,統一都是三碼,讓民眾能夠一看發訊人,就知道是否為官方提供的防詐訊息,以免民眾無法分辨哪些是詐騙、哪些是釣魚簡訊。
台灣運彩呼籲網路資料應小心 注意個資 自立晚報
台灣運彩21日表示,近期許多業者假借台灣運彩公司的名義在網路及社群進行的問卷調查,甚至冒用台灣運彩公司Logo及名稱,台灣運彩公司再次強調,台灣運彩近期沒有辦理問卷調查活動,呼籲民眾小心注意,保護自身個資安全。
不法份子假冒子公司詐騙 和碩呼籲民眾別上當 經濟日報網
近日和碩(4938)發現有不肖份子假冒旗下子公司和毓投資股份有限公司(以下稱「和毓」)以及和鼎創業投資股份有限公司(以下 稱「和鼎」)之名義,利用手機簡訊以及通訊軟體LINE,向民眾傳送不實招募以及投資訊息。經調查證實此乃詐騙集團冒用名義之不法行為,提醒民眾切勿輕信受騙。
ShopBack百萬用戶個資外洩 星國重罰174萬台幣 tvbs新聞網
《亞洲衛視》(CNA)報導,從新加坡起家發展在台灣也頗具知名度的現金回饋平台ShopBack,被星國監管機構發現,該平台出現用戶個資數據外洩的問題,至少有百萬用戶受波及,16日新加坡個資保護委員會(Personal Data Protection Commission)開罰,要該公司繳交高達7萬4400新幣(約新台幣174萬7382元)的罰款。
調查:中國假帳號網路釣魚英官員 大量謀取機敏資訊 中央通訊社
英國「泰晤士報」報導,中國特工透過多個假帳號及假公司在網路接觸英國等西方國家官員,企圖謀取機敏資訊。這類可利誘與威逼兼容的「釣魚」行動已達「工業規模」等級。
俄駭客散布假訊息 打擊北約可信度 Youth Daily青年日報
美國政治新聞網站「政客」(Politico)21日報導,2組疑似俄羅斯駭客組織,透過在網路散布假訊息與文件,企圖影響北約今年7月的維爾紐斯峰會成果,並破壞北約的公眾可信度。
【資安日報】8月22日,木馬程式HiatusRAT鎖定臺灣而來,半導體、化學製造業、縣市政府成為目標 iThome
木馬程式HiatusRAT今年3月被揭露,當時研究人員發現駭客主要針對歐洲及拉丁美洲而來,但事隔3個月,研究人員追蹤木馬程式HiatusRAT的攻擊行動,發現駭客自今年6月開始,目標轉向臺灣和美國,他們推測這一波攻擊與中國政府有關。
【S級任務】網路購物詐騙多, PC-cillin Pro保平安 PChome 新聞
這幾年隨著疫情的升溫,民眾減少出門,也造成消費者在網路上購物的頻率逐漸提升,甚至,喜歡撿便宜的消費者,紛紛轉向到團購社群平台,只要在手機點一點,就可以買到自己喜歡的物品。
鼓勵網路零信任 提高數位免疫力 中時新聞網
時值全球企業界力拚數位轉型之際,也代表網路邊界不復存在,企業如何強化資安應變能力、提升數位韌性,將是「資訊安全治理」相關議題的焦點所在。日前,台灣、美國雙方專家齊聚一堂討論並互相交流如何強化資訊安全的見解及最佳落實之道,畢竟資安攻防戰必須了解矛與盾,與邪惡組織鬥法才知如何勝出。
《星空》未上市先引起木馬病毒之亂?專家建議:買正版就能避免中毒 雅虎奇摩
隨著 Bethesda 最新遊戲作品《星空》(Starfield)即將發售,據外媒報導,網路上出現了許多《星空》為主題的電腦病毒,只要玩家下載並安裝它們,此病毒就會竊取電腦內的所有數據,不少玩家已經成為受害者。
【資安日報】8月21日,逾3千個安卓惡意軟體採用不支援的壓縮格式演算法,目的是防止被研究人員反組譯 iThome
駭客鎖定安卓裝置散布惡意軟體的情況,近期可說是相當頻繁, 但最近出現較為罕見的攻擊手法引起研究人員關注。因為,這種手法鎖定研究人員而來,防止他們利用各式的工具拆解惡意APK檔案。有資安業者進一步調查,發現市面上至少有3千個惡意App採用此類方法來打包安裝程式,從而影響各式靜態分析工具的運作。
【資安日報】8月18日,駭客針對GitLab重大漏洞下手,將其容器環境用於挖礦及盜取網路頻寬 iThome
駭客剝削電腦資源並用來獲利的情況,除了挖取加密貨幣,將受害電腦當作代理伺服器轉賣頻寬的手法(Proxyjacking)也不時傳出,但過往這類攻擊大多是針對個人電腦而來,現在有人鎖定企業組織的開發環境下手。資安業者Sysdig揭露名為Labrat的攻擊行動,攻擊者就是鎖定尚未修補重大漏洞CVE-2021-22205的GitLab伺服器下手,進而在容器部署挖礦軟體、代理伺服器軟體(Proxyware)。
台灣駭客年會落幕 發表逾20篇AI相關資安研究 工商時報電子報
AI時代到來,對於資安及國安來說,究竟是挑戰還是助益,成為各界熱議的話題。台灣最大的駭客與資安技術研討會HITCON Community 2023(台灣駭客年會)上周末落幕,吸引近2,000位駭客及資安技術人員參加。
AI伴隨安全性威脅 NB須以其道還身? 電子時報網
聯想高層指出,隨著AI及機器學習(ML)技術興起,網路攻擊風險也跟著升高,包括NB等裝置未來都需要能支援AI與ML,才能降低被攻擊的風險。
金正恩笑了!北韓加密駭客今年得手1.8億美元,半數用來資助飛彈試射 BLOCKTEMPO
惡名昭彰的北韓駭客集團 Lazarus Group,多次被發現是多起大規模被盜案件的幕後兇手。近日,韓國國家情報院(NIS)就宣布掌握了北韓與俄羅斯之間的武器貿易和軍用物資進口情況,並揭露北韓駭客在今年上半年已透過加密貨幣得手超過 1.8 億美元。
【資安日報】8月17日,Cloudflare物件儲存服務成駭客寄放釣魚網頁的溫床,半年內相關的攻擊流量暴增60倍 iThome
為了避免被資安系統察覺異狀,駭客使用合法雲端服務來「代管」釣魚網站的情況,算是相當常見,有不少是利用Google Drive、微軟OneDrive、Dropbox等檔案共用服務來進行。而最近一波網釣攻擊引起研究人員關注,因為今年有越來越多駭客運用Cloudflare物件儲存服務R2存放釣魚網頁內容,以此企圖蒙混過關,企圖竊取使用者的微軟帳號,以及Adobe、Dropbox等雲端服務的帳密資料。
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚 PC-cillin 讓你的『指指點點』可以開心又安心點! 【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
