本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 如何在Android、iOS、Windows或macOS上使用私人DNS 模式?
- 強化端點防護的四個必要元素
- 如何在Mac上壓縮影片?
- ChatGPT 突顯教育體系的缺陷
- 《上週資安新聞周報》鎖定Mac電腦的惡意病毒新變種版現蹤!/ WinRAR 壓縮程式有漏洞 趕快更新以免電腦變跳板 / Google One 方案提供「暗網報告」 網友驚呼:現在才知道流出這麼多東西
媒體資安新聞
Tesla贊助趨勢科技Pwn2Own Automotive 首屆汽車駭客大賽開放報名 Ctimes
汽車是隱私殺手!研究:汽車製造商熱衷蒐集駕駛個資 包含性活動 今日新聞
犯罪也要高科技!趨勢科技:AI為罪犯提升效率、攻擊自動化 聯合新聞網
2023上半年網路資安威脅報告釋出 AI已助犯罪集團簡化詐騙流程、自動選目標 匯流新聞網
趨勢科技指上半年台灣偵測到4400萬筆惡意連結 居全球第3 壹蘋新聞網
結合XDR、攻擊面管理、生成式AI,趨勢資安整合平臺大躍進 iThome
趨勢科技與國際刑警組織合作破獲知名網路釣魚集團 「16shop」全球約有7萬名受害者 T客邦
手機詐騙惡意連結暴增60% 3種類型最常見 Pchome 新聞
防釣魚詐騙 5種短信別亂點 世界新聞網
網路釣魚 利用AI複製聲音冒充家人騙錢 世界新聞網
【資安日報】8月31日,駭客組織Earth Estries從事網路間諜活動,包含臺灣在內的多國政府機關、科技業者成為目標 iThome
【資安日報】9月1日,AI程式碼編譯網站Sourcegraph證實遭遇網路攻擊,起因是工程師提交程式碼出錯,導致Token外洩而被奪權 iThome
資安調查:台灣企業上半年遭網攻次數全球第一平均遭逾3千次攻擊 雅虎奇摩
瀏覽器的安全設計再加上網站漏洞,讓擴充程式可存取使用者密碼等機密資料 iThome
生成式AI 公部門機密文書禁用 自由時報電子報
【資安日報】9月6日,瀏覽器的開發工具元件成駭客竊取資料管道,研究人員揭露惡意軟體Chaes新一波攻擊行動 iThome
被X給出賣了? 新頭殼
X「更新隱私條款」收集數據訓練AI 馬斯克:僅限公開內容 CTWant
Meta為避歐盟審查! FB、IG傳將推出無廣告付費訂閱服務 新頭殼
Google、GitLab深化合作提升DevOps與軟體供應鏈安全 iThome
中國駭客組織鎖定Barracuda郵件閘道漏洞攻擊政府機關、電信業者 iThome
德國示警!中國駭客利用企業和個人網路掩護進攻政府單位 自由時報電子報
Mozilla請願微軟提高新條款透明度,專家團隊無法確認其用戶數據訓練AI模型 knowing
資助政府核計畫 北韓駭客竊2億美元加密貨幣 自由時報電子報
【資安日報】9月4日,Adobe應用程式開發平臺CloudFusion重大漏洞被用於部署挖礦軟體、後門程式 iThome
封堵偽基地台詐騙 NCC:手機出廠 2G訊號應預設為關閉 自由時報電子報
政府零信任架構推動有成,數位部首度公布內部導入經驗,資安院揭2023年上半最新進展 iThome
詐騙從電話、簡訊到網路電郵 刑事局傳授反詐三部曲 中時新聞網
資安法拚新會期送政院 三大突破曝光 工商時報電子報
13家NEXT BIG獲頒領頭羊藝術公仔 理財週刊
2023 白晝之夜在信義區!「起義吧」6 大主軸集結佔領府會、藝術公園,打開城市深夜空間 設計採買誌
誰可以幫忙防堵「假消息」? 遠見雜誌
《2023 台灣網路報告》出爐:賦能全民數位韌性與數位素養 科技新報網
訂閱資安趨勢電子報
Tesla贊助趨勢科技Pwn2Own Automotive 首屆汽車駭客大賽開放報名 Ctimes
Pwn2Own Automotive由ZDI與趨勢科技車用資安新公司VicOne共同合辦,這是全球第一個唯一以聯網汽車安全為主題的競賽。結合VicOne深耕汽車生態系的專業知識以及ZDI平台來正面解決該領域的挑戰,勢必能帶來車用資安與威脅追蹤的綜效。
汽車是隱私殺手!研究:汽車製造商熱衷蒐集駕駛個資 包含性活動 今日新聞
說到保護個人隱私,現代人首先可能會想到自己的手機與電腦,但你知道嗎,其實你的愛車可能才是真正的「隱私殺手」!根據Mozilla基金會的研究,所有接受調查的25家汽車品牌都會蒐集消費者的個資,甚至包括他們的性活動。
犯罪也要高科技!趨勢科技:AI為罪犯提升效率、攻擊自動化 聯合新聞網
勒索病毒集團之間合作更加頻繁,也越來越常在攻擊當中「自帶含漏洞的驅動程式」(BYOVD),攻擊GoAnywhere、3CX、PaperCut和MOVEit等軟體的零時差漏洞,並經常利用強度不足或預設的密碼來入侵企業。
2023上半年網路資安威脅報告釋出 AI已助犯罪集團簡化詐騙流程、自動選目標 匯流新聞網
根據報告,犯罪集團正在不斷改變其攻擊策略,利用新技術和更大的創意提高攻擊效率。AI工具已經成為他們的利器,用於簡化詐騙流程、自動篩選目標和擴大攻擊規模,導致出現各種新的犯罪型態。勒索病毒集團甚至在攻擊中使用「自帶含漏洞的驅動程式」,並利用軟體的零時差漏洞和弱密碼來入侵企業。
趨勢科技指上半年台灣偵測到4400萬筆惡意連結 居全球第3 壹蘋新聞網
2023上半年生成式AI工具爆炸性成長,整體人工智慧市場預期在2027年達到4070億美元。然而,趨勢科技觀察發現,生成式AI工具卻已被網路犯罪集團大量運用於提高虛擬犯罪效率,如虛擬綁匪利用語音複製、SIM卡挾持、ChatGPT以及社群網路分析與傾向(SNAP)模型來尋找最有利可圖的目標並執行詐騙,又或者利用AI工具建立起層層自動化蒐集資訊、發掘魚叉式網路捕鯨攻擊(Whaling Attacks)或愛情詐騙的高知名度受害者(俗稱大魚)。部分駭客集團透過虛擬加密貨幣投資詐騙(Pig-Butchering Scams,俗稱殺豬盤)誘騙受害者。
結合XDR、攻擊面管理、生成式AI,趨勢資安整合平臺大躍進 iThome
經過多年的發展,趨勢科技陸續發展各種資安解決方案,也將這些產品與服務整合為單一平臺,今年中正式擴充攻擊面管理與生成式AI輔助功能。
趨勢科技與國際刑警組織合作破獲知名網路釣魚集團 「16shop」全球約有7萬名受害者 T客邦
趨勢科技威脅情報副總裁Jon Clay表示:「多年來,趨勢科技一直是國際刑警組織(INTERPOL)堅定的合作夥伴,當他們向我們求助時,我們一刻都不能耽誤。正如這次的破獲行動再次證明,公私部門合作再加上強大的威脅情報,就能讓跨國網路犯罪調查發揮強大的綜效。」
【資安日報】8月31日,駭客組織Earth Estries從事網路間諜活動,包含臺灣在內的多國政府機關、科技業者成為目標 iThome
趨勢科技揭露駭客組織Earth Estries的攻擊行動,該組織自今年初,開始針對臺灣、美國、德國、南非、馬來西亞、菲律賓的政府機關與科技業者下手,但也有印度、加拿大、新加坡組織受害。
手機詐騙惡意連結暴增60% 3種類型最常見 Pchome 新聞
根據媒體報導指出,趨勢科技表示,「網路釣魚」是在手機上最常見的惡意連結,常見的手法就是假冒成知名企業的官網、服務網站,甚至使用熱門關鍵字做為釣餌,以此來降低使用者的戒心。其中甚至有部分犯罪組織會透過廣購投放,讓網站搜尋排名超越真正的官網,以此來誘騙使用者。
防釣魚詐騙 5種短信別亂點 世界新聞網
戴維森提醒民眾要警惕五類短信內容,因為有40%的釣魚詐騙信息,都是以這五種內容形式出現。第一是假裝銀行發送消息,稱有一筆付款,問是否為當事人所為;第二是假裝商家,稱有免費禮物送客戶;第三是假裝快遞公司,稱有包裹運送到家;第四是假裝某企業,稱有招聘機會;第五是假裝成亞馬遜客服發送信息,稱有一筆可疑付款。
網路釣魚 利用AI複製聲音冒充家人騙錢 世界新聞網
聯邦貿易委員會(FTC)和少數族裔媒體(EMS)1日聯合舉行論壇,討論主題為「網路釣魚(CatPhished)—如何識別人工智慧和網絡釣魚詐騙」;聯邦貿易委員會營銷實踐部律師戴維森(Benjamin Davidson)表示,在網路釣魚欺詐中,常見的是冒充家庭成員,聲稱有家庭緊急情況;騙子從社媒上下載受害者30秒音頻檔,利用人工智慧技術複製模仿聲音,輸入相應的文字,製造騙局,比如打電話說,「爺爺,坐牢需要保釋金。」失去駕照要買機票,又或遭遇車禍要賠錢搞定問題,等等。
誰可以幫忙防堵「假消息」? 遠見雜誌
對網路詐騙或虛假訊息的流行,除了需要倚賴全民合作,也須強化民間第三方的事實查核能量,例如美玉姨、MyGoPen、事實查核中心、趨勢科技防詐達人等,串成民間機構的協防戰線,鼓勵民眾檢舉並主動通報虛假訊息。
《2023 台灣網路報告》出爐:賦能全民數位韌性與數位素養 科技新報網
台灣網路資訊中心(TWNIC)自 2002 年起便開始進行台灣網路使用者調查,《台灣網路報告》已持續辦理 20 多年。週二(29 日)公布的最新《2023 年台灣網路報告》指出,今年上網率為 84.67%,和去年相比呈持平狀態,顯見台灣上網率成長已進入高原期。在網路應用服務方面,社群媒體臉書與即時通訊 Line 獨占鰲頭,成為多數人的日常。針對熱門 AI 聊天機器人 ChatGPT 所提供資訊的真確性調查,43.47% 民眾同意真確,41.79% 不同意,顯示兩極化的跡象。
被X給出賣了? 新頭殼
X(前推特)John Zhang 今(4)日發文表示,生活在麥加的 54 歲退休教師阿爾加姆迪 (Mohammad Alghamdi)有 7 個孩子。他開設了 2 個匿名 X(前推特)帳號,用以轉發批評沙烏地阿拉伯國王及王儲,和呼籲釋放政治犯的文章,結果被判處死刑。
【資安日報】9月1日,AI程式碼編譯網站Sourcegraph證實遭遇網路攻擊,起因是工程師提交程式碼出錯,導致Token外洩而被奪權 iThome
工程師不慎在程式碼裡帶入重要的帳密資料,且並未採取保護的情況,過往有不少研究人員揭露極其氾濫的現象,但如今出現真實的資安事故。AI程式碼編譯網站Sourcegraph昨(8月31日)證實遭遇網路攻擊,駭客濫用其網站管理者的權限大規模呼叫API,影響該網站的運作。
資安調查:台灣企業上半年遭網攻次數全球第一平均遭逾3千次攻擊 雅虎奇摩
Check Point發佈《網路攻擊趨勢:2023 年中資安報告》,指出全球第二季每週遭受的網路攻擊次數遽增 8%,創兩年來最大增幅,突顯出攻擊者巧妙結合AI與 USB 等傳統工具來發動破壞性網路攻擊。此報告提及,因新型勒索軟體團體出現,2023 上半年的攻擊隨之加劇;平均每間台灣企業在上半年遭到 3,245 次攻擊,居全球之冠,並較去年同期增加 10%。
生成式AI 公部門機密文書禁用 自由時報電子報
行政院院會8/31拍板「行政院及所屬機關(構)使用生成式AI參考指引」,即起開放公務部門使用生成式AI(人工智慧),但機密文書應由業務承辦人親自撰寫,禁止使用生成式AI。此外,不得向生成式AI提供涉及公務應保密、個人及未經機關同意公開的資訊,也不得詢問機密及涉及個資的問題。
【資安日報】9月6日,瀏覽器的開發工具元件成駭客竊取資料管道,研究人員揭露惡意軟體Chaes新一波攻擊行動 iThome
今年1月出現的第4代惡意程式Chaes變種Chae$4(亦稱Chae$4),攻擊者針對Mercado Libre、Mercado Pago、Itau Bank、Caixa Bank、MetaMask等多種金融平臺、網頁版WhatsApp、內容管理系統WordPress、Joomla、Drupal、Magento的使用者而來。
瀏覽器的安全設計再加上網站漏洞,讓擴充程式可存取使用者密碼等機密資料 iThome
來自美國威斯康辛大學麥迪遜分校(University of Wisconsin–Madison)的3名研究人員上周發表了一篇研究報告,指出坊間主要瀏覽器的粗粒度權限模型(Coarse-Grained Permission Model)違反兩項安全設計準則,再加上網站上的輸入欄位含有安全漏洞,將足以讓駭客藉由瀏覽器擴充程式取得使用者所輸入的機密資料,包括密碼與信用卡資訊。
Meta為避歐盟審查! FB、IG傳將推出無廣告付費訂閱服務 新頭殼
無廣告的訂閱服務已成為近來APP發展趨勢,也為回應監管部門的審查壓力,Meta也傳出正在考慮為歐盟地區的用戶,推出無廣告的Facebook和Instagram訂閱服務。
X「更新隱私條款」收集數據訓練AI 馬斯克:僅限公開內容 CTWant
馬斯克(Elon Musk)旗下社交平台X(前身為Twitter)最近更新了隱私條款,計畫使用收集到的數據來訓練人工智慧(AI)模型。該隱私條款中明確表示,可能使用收集到的資訊以及公開訊息,來訓練機器學習演算法、AI模型等。馬斯克對此補充稱,「只會使用公開數據,不會使用任何使用者私訊或隱私內容」。
Google、GitLab深化合作提升DevOps與軟體供應鏈安全 iThome
Google宣布與GitLab進一步合作,在Google雲端整合GitLab平臺的DevOps功能,GitLab的原始碼管理、規畫、CI/CD工作流程和進階安全與法遵功能,與Google雲端控制臺和ArtifactRegistry以統一資料平面相整合,減輕開發者管理雲端上自託管解決方案的工作,諸如修補程式、升級還有測試等任務。
中國駭客組織鎖定Barracuda郵件閘道漏洞攻擊政府機關、電信業者 iThome
資安業者Mandiant再度針對Barracuda郵件安全閘道(ESG)零時差漏洞攻擊公布新的調查結果,指出自中國駭客組織UNC4841自去年10月開始,就進行數次大規模攻擊,其中最值得留意的部分,是Barracuda公布漏洞後發生的2波攻擊行動。
德國示警!中國駭客利用企業和個人網路掩護進攻政府單位 自由時報電子報
德國聯邦憲法保衛局近來公布網路調查報告,指稱中國駭客組織APT 15、APT 31透過入侵德國中小企業和個人網路終端取得掩護,藉此進攻德國政府單位。
著眼於企業應用系統正在演進到微服務架構,以持續整合/持續發布(CI/CD)流程來實現快速的產品迭代,勢必須搭配適合的資安防護機制與確保法規遵循。趨勢科技打造Trend Cloud One解決方案,擔綱雲端原生應用保護平台(CNAPP),幫助開發人員、DevOps與資安團隊掌握可視性、了解影響業務的風險,以及防範威脅。
Mozilla請願微軟提高新條款透明度,專家團隊無法確認其用戶數據訓練AI模型 knowing
根據《 IT 之家 》9 月 2 日報導,微軟近日更新微軟服務條款,將於 9 月 30 日生效,重點涉及必應聊天(Bing Chat)、Windows Copilot 在內的諸多 AI 服務。
資助政府核計畫 北韓駭客竊2億美元加密貨幣 自由時報電子報
根據TRM Labs數據,自今年1月至8月18日,北韓駭客竊取價值2億美元(約新台幣63億元)的加密貨幣,佔今年所有被盜加密貨幣的20%以上。TRM表示,北韓近年針對加密貨幣相關企業有越來越多的網路攻擊,為其武器擴張計畫提供資金。
【資安日報】9月4日,Adobe應用程式開發平臺CloudFusion重大漏洞被用於部署挖礦軟體、後門程式 iThome
資安業者Securonix近期的DB#Jammer攻擊行動,駭客針對曝露在網際網路上的微軟SQL Server動手,透過暴力破解的方式入侵,目的是部署名為FreeWorld的勒索軟體。
封堵偽基地台詐騙 NCC:手機出廠 2G訊號應預設為關閉 自由時報電子報
台灣2G訊號在二○一七年七月起停用,不過去年有詐騙集團以車載方式,架設偽冒基地台方式,沿街發送詐騙簡訊。為避免民眾接獲這類詐騙簡訊,國家通訊傳播委員會(NCC)副主委翁柏宗表示,昨日起取得型式認證的手機,出廠時2G訊號應預設為關閉,而過去二年內取得認證的手機,要在明年三月底前,透過線上軟體更新方式關閉2G。更舊款的手機則由電信業者加強監測。
政府零信任架構推動有成,數位部首度公布內部導入經驗,資安院揭2023年上半最新進展 iThome
近年數位發展部積極推動不分內外網的網路架構,零信任架構的身分鑑別,以及建立網站韌性,他們是如何做?在8月底舉行的數位政府高峰會上,該單位資訊處副處長周智禾公開了他們的實務經驗。同時,資安院副院長吳啟文也公布政府零信任架構推動的最新進展,第二階段「設備鑑別」即將有產品方案通過驗證。
詐騙從電話、簡訊到網路電郵 刑事局傳授反詐三部曲 中時新聞網
警方分析當前詐欺最常用的手法,就是利用網路匿名性,以及跨國電信、網路及法規的差異來設定各種陷阱,在面對網路不實廣告訊息上,各國政府多採用法律、自律與他律的三律模式,來進行損害管控,尤其是社群平台在防止網路詐欺上,扮演著第一層重要的角色,除政府部門針對網路平台建立管理制度外,社群媒體更應建立符合自己特色的社群管理規範,並嚴格管理不遵守社群規範的網路匿名使用者,才能有效遏制不實訊息的傳播。
資安法拚新會期送政院 三大突破曝光 工商時報電子報
個資外洩頻傳,衍生資安危機,資通安全法卻遲未看見修正進度,引發外界關注。數位部常次葉寧透露,目前已在收攏階段,將在新會期送到行政院備查。據悉,修法有三大突破,包含關鍵基礎設施提供者在內特定非公務機關皆須設資安長;增加調度權,各單位在資安事件發生後可互相支援和演練;擴大地方政府的稽核權限。
13家NEXT BIG獲頒領頭羊藝術公仔 理財週刊
除NEXT BIG新創出席受獎外,包括新創社群意見領袖、國內外產業界代表、逾十個外國駐台機構與商會代表,以及僑委會、數位部、文化部、國科會、金管會、外交部等部會均共同出席,場面相當盛重。
2023 白晝之夜在信義區!「起義吧」6 大主軸集結佔領府會、藝術公園,打開城市深夜空間 設計採買誌
2023台北白晝之夜以「起義吧」為題,將於10/7、10/8兩日登場。今年白晝之夜以台北信義區為主舞台,一路從國父紀念館到台北市議會、台北市政府,加上松山文創園區、台北101、ATT 4 fun等多個場域共同響應,串聯成台北市中心最大的藝術廣場。本屆以6大主題作為主軸,包括國際視野、藝術公園、自由街頭、佔領府會、一夜影展、議題響應展開,將藉由藝術打開台北城市深夜空間。
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚 PC-cillin 讓你的『指指點點』可以開心又安心點! 【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用