本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
- 密碼被駭,可能發生的三件事
- 四種人容易成為身份盜竊目標
- 個資盜竊旺季!趨勢科技揭駭客竊取個資的三大常見用途
- 採用 Node.js 框架撰寫的 Facebook 個人檔案竊取程式
- OT 和 IT 可視性與效率的障礙
- Managed XDR 團隊在 Trend Micro Vision One™ 當中調查 Ducktail 攻擊行動。
- 《上週資安新聞周報》駭客打心理戰就讓美國賭場飯店癱瘓 /中國駭客計畫規模龐大,FBI:已超越所有對手總和/ 台灣一年遭網攻逾4千億次
媒體資安新聞
小心被竊聽!傳出 3 款惡意軟體「冒充 YouTube」潛入手機 自由時報電子報
一堆人沒想過!行李箱愛掛吊牌 空姐揭危機「恐個資全洩」 tvbs新聞網
YouBike系統遭駭 4萬受影響會員補償每人500元騎乘券 雅虎奇摩
為什麼近日湧現大量陌生 +62 的 WhatsApp Video Call ? 流動日報
【ETtoday聲明】詐騙信件用「報紙版權」恐嚇你 請勿輕信釣魚式的不明電郵 ETtoday新聞雲
再出包!流感疫苗平台驚傳資安問題 疾管署:單一誤植事件已排除 自由時報電子報
防假網拍詐騙,數位部開發防詐雷達偵測可疑商品 中央通訊社
駭客正鎖定LastPass用戶發動釣魚信件攻擊 iThome
趨勢科技在嚴格的MITRE Engenuity ATT&CK Evaluations評測當中展現防護力第一名的成績 PC DIY
趨勢科技揭露端點解決方案的零時差漏洞 iThome
《科技》VicOne在日成立總部 整合全球汽車製造與創新中樞 中時新聞網
VicOnexZETA加快產品開發效率 台灣新生報
數位部轄下單位個資遭竊 唐鳳:非外洩、已修補漏洞 自由時報電子報
⭕️ 訂閱資安趨勢電子報,各種實用數位祕技讓你數位生活更便利;隨時掌握資安警訊讓你安先悠遊網路
金管會金檢人頭戶前十大銀行 揪出9大缺失 自由時報電子報
【資安日報】9月27日,Sony傳出資料外洩,有2組駭客先後聲稱對其下手,取得多項內部機密的帳密資料 iThome
全新 SpySOCKS 後門程式來襲!中國駭客組織 Earth Lusca 網攻新利器 科技新報網
中國駭客入侵美國務院 傳竊走6萬封電郵 中央通訊社
北韓駭客偽裝華盛頓分析師從事間諜活動 科技新報網
【資安日報】9月20日,面臨攻守極度失衡的局勢,FBI局長呼籲民間企業與政府積極合作,並將FBI納入資安防護計畫 iThome
節慶搶好康?趨勢:網購詐騙平均每月77萬件,Q3暴增3成 經濟日報
川普兒推特帳號遭駭客入侵 竟發文稱川普過世、將參選總統 自由時報電子報
台師大培育AI及綠能人才連結11企業 博士生獎學金每年最多60萬 – 生活 自由時報電子報
防詐 P2P禁涉金融特許業務 經濟日報網
資安即國安 政府資服採購 不訂底價護品質 工商時報電子報
資安法修法預告 明訂公部門禁用危害國家資安產品 自由時報電子報
數位部四面向推動AI 估今年帶來百億產值 工商時報電子報
唐鳳:AI將對中國極權帶來挑戰 自由時報電子報
防駭刻不容緩!微軟以生成式AI助企業構建資安治理新藍圖 遠見雜誌網
微軟Patch Tuesday修補兩個零時差漏洞 iThome電腦報周刊
OpenAI於全球招募挖掘系統潛在風險的紅隊演練團隊,傳將公布多模大型自然語言模型 Mashdigi
【資安日報】9月26日,駭客組織Stealth Falcon針對中東政府機關下手,散布後門程式Deadglyph iThome
投資詐騙廣告累計8322件 證期局不再公布下架件數 自由時報電子報
個資盜竊旺季 趨勢科技揭駭客竊取個資3大常見用途 壹蘋新聞網
網路假投資真詐財 逾30人被騙超過1.5億 中央通訊社
【資安日報】9月23日,中國駭客鎖定臺灣安卓用戶,假借提供Whoscall付費功能的破解程式來散布惡意軟體 iThome
別上當!丁海寅見面會爆仿冒購票網頁騙錢 不法份子開假帳號冒用 三立新聞網
陸國安部揭美國網攻竊密3招 稱華為總部伺服器「2009年就遭入侵」 中天新聞網
永豐AI GO競賽開跑 冠軍隊伍將抱走20萬獎金 工商時報電子報
【資安日報】9月22日,斥資280億美元重金,思科買下大數據資安業者Splunk iThome
趨勢科技在嚴格的MITRE Engenuity ATT&CK Evaluations評測當中展現防護力第一名的成績 PC DIY
全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)在MITRE Engenuity最新的ATT&CK Evaluations評測當中擊敗20多家廠商,榮獲防護力第一的佳績。該公司旗艦產品Trend Vision One平台能迅速偵測模擬情境中的所有19項攻擊步驟,並且100%攔截13個攻擊階段的所有攻擊事件。
趨勢科技揭露端點解決方案的零時差漏洞 iThome
趨勢科技9月19日公布影響Trend Micro Apex One與Worry-Free Business Security(WFBS)端點保護解決方案的零時差漏洞,受影響產品的修補版本已經提前在7月至9月12日之間陸續釋出。
《科技》VicOne在日成立總部 整合全球汽車製造與創新中樞 中時新聞網
趨勢科技子公司車用資安廠商VicOne今天宣布在日本東京正式設立總部,全球營運據點包含日本、台灣、德國、美國以及韓國與印度。另外,VicOne任命Mahendra Negi擔任董事長。
VicOnexZETA加快產品開發效率 台灣新生報
全球車用資安領導廠商VicOne日昨宣布網路通訊與電子製造全球供應商亞旭電腦(Askey)已在其聯網汽車裝置開發流程中導入漏洞掃描與軟體物料清單(SBOM)管理工具,結合車載單元(OBU)、路側系統(RSU)以及雲端式先進技術來打造智慧運輸。
防假網拍詐騙,數位部開發防詐雷達偵測可疑商品 中央通訊社
數位部開發數位防詐工具「防詐雷達」,透過主動掃描機制,找出可疑的詐騙電商商品或帳號,累計已掃描超過42萬次,偵測出1.7萬筆具有高風險,整理成風險清單後,提供給電商平台人工審查後進行預防性下架。
數位部轄下單位個資遭竊 唐鳳:非外洩、已修補漏洞 自由時報電子報
藍委爆料,數位發展部主管的財團法人「電信技術中心」發生求職者個資外洩狀況,對此數位部長唐鳳澄清,確實偵測到5位民眾的求職信有境外的異常流量,但這不代表個資外洩,數位部已通知資料當事人,並將資安漏洞修補起來,3個月內會向立委報告調查結果。
金管會金檢人頭戶前十大銀行 揪出9大缺失 自由時報電子報
立法院財委會在今年4月通過臨時提案,要求金管會對人頭戶最多10大銀行進行專案金檢;領銜提案的立委鍾佳濱今天也透露,金管會專案金檢已完成,共有9大缺失,包含:對短期頻繁開戶客戶,未經合理說明就放行、沒建立警示帳戶資料比對系統等。
再出包!流感疫苗平台驚傳資安問題 疾管署:單一誤植事件已排除 自由時報電子報
「校園流感疫苗電子化系統」(CIVS)再度出包,有立委爆料,同名不同校的學生個資竟然互通。對此,衛福部疾管署表示,此案為誤植某名學校護理師的學校代碼導致,現已完成全面盤點帳戶權限,已無異狀,此為單一事件。
駭客利用LinkedIn私訊發動了一波瞄準行銷和人力資源專業人才的魚叉式網路釣魚攻擊。Ducktail駭客集團這波攻擊的目的是為了控制受害的Facebook商業帳戶並濫用廣告功能來刊登惡意廣告。隨著LinkedIn的不斷成長與日漸受到歡迎,它也成了駭客發動社交工程詐騙與其他犯罪所偏愛的工具之一。
駭客正鎖定LastPass用戶發動釣魚信件攻擊 iThome
近期一波釣魚郵件攻擊以LastPass官方技術支援的名義發送,導致LastPass用戶的密碼及個資外洩,資安業者Malwarebytes則建議民眾使用密碼管理器,登入線上服務時也應採用基於實體金鑰的雙因素驗證措施,才能避免淪為這類攻擊的受害者。
【資安日報】9月27日,Sony傳出資料外洩,有2組駭客先後聲稱對其下手,取得多項內部機密的帳密資料 iThome
日本知名企業Sony傳出資料外洩事故,但特別的是,這並不是今天才出現的消息,前幾天就有駭客組織RansomedVC聲稱對該公司下手,今天又有另一個駭客組織MajorNelson,宣稱是他們所為。這兩個組織也公開了部分竊得的資料,供買家及媒體進行驗證。
全新 SpySOCKS 後門程式來襲!中國駭客組織 Earth Lusca 網攻新利器 科技新報網
趨勢科技發現與Trochilus惡意軟體有關的新Linux後門程式,命名為 SpySOCKS。另一個中國駭客組 Earth Lusca Trochilus本身的幾個功能與新 Socket Secure(SOCKS)通訊協定相結合而開發出 SpySOCKS後門程式。透過該惡意程式能將受害者電腦資料上傳至駭客主控的C&C伺服器上。
中國駭客入侵美國務院 傳竊走6萬封電郵 中央通訊社
美國聯邦參議院幕僚告訴路透社,今年稍早破壞微軟電郵平台的中國駭客,成功自美國國務院10個不同的電郵帳號盜走6萬封電郵。駭客事件讓外界再度聚焦微軟在提供美國政府資訊科技服務方面,恐扮演著太過龐大的角色。
北韓駭客偽裝華盛頓分析師從事間諜活動 科技新報網
遭盜取身分的是 Stimson Institute 北韓專家 Jenny Town,利用公開數據分析北韓動態,六年前電腦被北韓駭客組織 APT43/KimSuky 入侵,成功透過 TeamViewer 遠端控制電腦,匯出各種情報後建立「複製身分」,偽裝成 Jenny Town 及員工從事間諜活動。
【資安日報】9月20日,面臨攻守極度失衡的局勢,FBI局長呼籲民間企業與政府積極合作,並將FBI納入資安防護計畫 iThome
近期,不少用戶在WhatsApp平台上接獲大量來自陌生人的視訊通話邀請。專家表示,這類視訊通話邀請實為一種社交工程攻擊手法。攻擊者嘗試透過WhatsApp引誘目標開啟視訊功能,一旦用戶接受通話,他們即可擷取用戶的外貌資料。攻擊者可能會使用這些擷取的外貌資訊再以 AI 去製作假冒身份的影像。
小心被竊聽!傳出 3 款惡意軟體「冒充 YouTube」潛入手機 自由時報電子報
報告指出,有3款 Android 惡意軟體會假冒知名影音平台YouTube,進而竊取用戶機密資料,恐私下錄音或是擅自截圖螢幕畫面。
節慶搶好康?趨勢:網購詐騙平均每月77萬件,Q3暴增3成 經濟日報
年末消費旺季來臨,雙11、百貨周年慶、手機上市等帶動線上買氣,各家廠商紛紛推出下殺折扣,民眾也比往常更熱衷於在網路上消費搶單。但是,根據全球網路資安領導廠商趨勢科技今統計,過去一年台灣網路詐騙事件以「購物」相關類型高居第一,平均每月高達77萬件,2023第三季因網路購物所衍生的詐騙事件較去年同期大增38%,其中又以釣魚型詐騙網站最嚴重。
YouBike系統遭駭 4萬受影響會員補償每人500元騎乘券 雅虎奇摩
全台YouBike系統5月間遭外部網路攻擊,導致騎乘紀錄外流,微笑單車公司今天指出,補償受影響會員每人面額500元YouBike 2.0補償騎乘券,預計共發放4萬餘筆;同一會員帳號底下綁定卡片,有靠卡與掃碼的借車方式,皆可折抵使用,使用效期至民國114年底。
為什麼近日湧現大量陌生 +62 的 WhatsApp Video Call ? 流動日報
近期,不少用戶報導在 WhatsApp 平台上接獲大量來自陌生人的視訊通話邀請。這些突如其來的通話邀請,背後其實有不為人知的目的:透過視訊通話擷取用戶的外貌資訊。
【ETtoday聲明】詐騙信件用「報紙版權」恐嚇你 請勿輕信釣魚式的不明電郵 ETtoday新聞雲
近期接獲網友與客戶反映,詐騙集團偽冒《ETtoday新聞雲》名義,發送釣魚式的電子郵件,佯稱這是「ETtoday報紙版權和許可政策通知」,「您的一些Facebook廣告項目違反了我們的圖片版權政策」,要求收信者在24小時內刪除,並誘使收信人與之聯繫,藉此詐騙個資或金錢。
一堆人沒想過!行李箱愛掛吊牌 空姐揭危機「恐個資全洩」 tvbs新聞網
大部分人都會在行李箱上掛上吊牌,上面清楚寫下自己的姓名和聯繫方式,一來較容易辨認行李箱,二來則方便在遺失行李箱時,能夠更快的找到主人。然而,一名空姐直言,行李箱吊牌其實是不必要的,甚至有可能讓個資外露,對遊客來說非常不利。
川普兒推特帳號遭駭客入侵 竟發文稱川普過世、將參選總統 自由時報電子報
外媒消息指出,川普大兒子小川普(Donald Trump Jr.)的推特(X)帳號疑似遭到駭客入侵,除PO文聲稱其父親、前美國總統川普已經過世,還辱罵現任總統拜登。隨後小川普的發言人進行澄清,目前X的發言人則尚未對此做出回應。
台師大培育AI及綠能人才連結11企業 博士生獎學金每年最多60萬 – 生活 自由時報電子報
台師大申請國家重點領域研究學院計畫,與12家企業技術資源,合作設立產業創新學院,今年9月招收首屆學生,第一期8年計畫,包括元太科技、康舒科技、江陵機電、承德油脂、麗臺科技、中強光電、友達光電、瑞昱半導體、易晨智能、開酷科技、撼訊科技、趨勢科技參與,預計每年挹注逾1億元合作經費。
防詐 P2P禁涉金融特許業務 經濟日報網
金管會主委黃天牧昨(27)日說,正研擬P2P指導原則,將在10月底前出爐。據金管會研擬的指導原則,一、P2P業者提供服務模式,禁涉金融特許業務,二、對P2P設六大措施強化風險控管,三、要求P2P需設有七大消費者保護機制。
資安即國安 政府資服採購 不訂底價護品質 工商時報電子報
資安即國安,為提升政府資服採購的資通安全,保障軟體業者權益,行政院工程會即日起推出《資訊服務採購作業指引》,未來公務機關必須獨立編列資安預算,且資服採購以不訂底價最有利標為原則,開發過程也須設定查核點,預料將有助於軟體產業發展。
資安法修法預告 明訂公部門禁用危害國家資安產品 自由時報電子報
《資通安全管理法》2019年上路後從未修法,數位發展部昨預告修正草案,明文規定公部門禁用危害國家資安產品,並新增資安人員類一條鞭制、賦予資安署調度權,另外中央主管機關可對特定非公務機關做行政調查,拒絕者最高可罰100萬元。
數位部四面向推動AI 估今年帶來百億產值 工商時報電子報
數位部27日赴立法院進行業務報告。在推動產業AI化、AI產業化方面,數位部說,就AI人才培育、AI技術深耕、AI產業發展及AI評測與驗證四大面向推動,預計今年可為產業擴展商機,帶來100億元產值,應用案例超過50案。
唐鳳:AI將對中國極權帶來挑戰 自由時報電子報
數位部長唐鳳廿二日出席華盛頓「全球新興科技高峰會」(SCSP)並發表談話,稱台灣在對抗擁有數倍人力物力資源的中國資安、假訊息攻勢時,可藉由生成式人工智慧(AI)協助彌補人力上的差距。唐鳳接受「美國之音」專訪時分析,言論審查既會對中國的AI應用、發展形成障礙,AI也會對中國的極權政體帶來極大挑戰。
防駭刻不容緩!微軟以生成式AI助企業構建資安治理新藍圖 遠見雜誌網
運用AI邁向智慧製造已是台灣製造業必然之路,生成式AI的熱潮更加速創新應用的發展,與此同時勒索攻擊、惡意滲透也日益猖獗,製造業面臨了前所未有的資安風險威脅和隱憂。台灣微軟建議,製造業必須採取更主動、前瞻性的措施,運用生成式AI成為資安攻防的關鍵力量,積極打造全方位的AI治理與資安策略。
微軟Patch Tuesday修補兩個零時差漏洞 iThome電腦報周刊
Zero Day Initiative(ZDI)團隊將已發生實際攻擊的CVE-2023-36761列為優先修補漏洞,這項涉及Word的零時差漏洞讓攻擊者透過預覽窗格便能展開攻擊,不需要與使用者互動。
OpenAI於全球招募挖掘系統潛在風險的紅隊演練團隊,傳將公布多模大型自然語言模型 Mashdigi
OpenAI宣布將在全球地區招募紅隊演練團隊成員,預計透過外部人才挖掘人工智慧系統潛在問題與安全風險。另一方面,相關消息更指稱OpenAI計畫推出其多模大型自然語言模型GPT-Vision,後續更準備推出代號Gobi的更大規模多模大型自然語言模型,藉此與Google等業者計畫推出的多模大型自然語言模型抗衡。
數位化、雲端化應用正在翻轉市場商業模式,影響所及不僅僅是科技的進步,更是一場全面性的商業創新。在這個轉變中,企業必須實踐轉型,以贏得競爭力。然而,隨著數位資產、現代化應用系統日益增多,以利益為目的的攻擊威脅手法只會更刁鑽難辨,企業若遭駭侵恐危及營運,造成難以彌補的損害。
【資安日報】9月26日,駭客組織Stealth Falcon針對中東政府機關下手,散布後門程式Deadglyph iThome
為了躲避資安系統偵測,駭客採用多種罕見的方法進行活動,其中最特別的部分,就屬後門程式與C2伺服器之間連線的機制,竟是透過在記憶體內執行的附加模組來達成,而使得其運作更加難以捉摸。
投資詐騙廣告累計8322件 證期局不再公布下架件數 自由時報電子報
證期局副局長高晶萍今公布,截至8月底為止,共接獲472件民眾陳情投資詐騙的案件,去年同期有462件、前年則有179件。證期局表示,經過大量宣傳後,民眾防詐意識有提高,識詐的能力和警覺心也都有增強,希望能降低民眾被詐騙的風險。
個資盜竊旺季 趨勢科技揭駭客竊取個資3大常見用途 壹蘋新聞網
根據全球網路資安領導廠商趨勢科技統計,過去1年台灣網路詐騙事件以「購物」相關類型高居第1,平均每月高達77萬件,2023第3季因網路購物所衍生的詐騙事件較去年同期大增38%,其中又以釣魚型詐騙網站最嚴重,顯示詐騙集團持續瞄準消費者瘋搶好康的心態,伺機騙取重要個資,而即將到來的購物熱季,也將成為騙徒眼中的個資盜竊旺季。
網路假投資真詐財 逾30人被騙超過1.5億 中央通訊社
電信偵查大隊偵破佯稱香港「Fasonla」公司投資顧問之詐欺集團犯嫌,其在臉書上張貼投資廣告吸引民眾加入LINE群組,並帶領投資人註冊假投資網站,以美元、期貨等作為投資標的,待民眾欲提領獲利金額時,發現無法出金,始驚覺受騙。被害人逾30人,受騙金額超過1億5000萬元。
【資安日報】9月23日,中國駭客鎖定臺灣安卓用戶,假借提供Whoscall付費功能的破解程式來散布惡意軟體 iThome
資安業者Volexity揭露中國駭客組織EvilBamboo的攻擊行動,該組織從今年1月開始分享盜版軟體,目的就是為了散布名為BadBazaar的惡意程式,其中一款遭冒用的軟體的是知名的防詐騙來電辨識應用程式Whoscall。
年末消費旺季來臨,雙11、百貨周年慶、蘋果新機上市等帶動線上買氣,民眾比往常更熱衷於在網路上消費搶單。根據全球網路資安領導廠商趨勢科技統計,過去一年台灣網路詐騙事件以「購物」相關類型高居第一,平均每月高達77萬件,2023第三季因網路購物所衍生的詐騙事件較去年同期大增38%,其中又以釣魚型詐騙網站最嚴重。足見詐騙集團持續瞄準消費者瘋搶好康的心態,伺機騙取重要個資,而即將到來的購物熱季,也將成為騙徒眼中的個資盜竊旺季。
別上當!丁海寅見面會爆仿冒購票網頁騙錢 不法份子開假帳號冒用 三立新聞網
韓國男神丁海寅因為《經常請吃飯的漂亮姐姐》、《D.P:逃兵追緝令2》等劇廣受歡迎,雖然1月份時為時尚活動來台,可惜當時沒能跟戲迷多見到面,決定10月7日在台北國際會議中心舉辦「THE 10TH SEASON」見面會!消息一出讓丁太太為之瘋狂,怎料引來不法份子的覬覦,開設假帳號冒用Gomaji Logo在FB等社群媒體上魚目混珠。
陸國安部揭美國網攻竊密3招 稱華為總部伺服器「2009年就遭入侵」 中天新聞網
大陸國家安全部20日發布《起底美國情報機關網攻竊密的主要卑劣手段》,指出美國情報部門早在2009年就入侵華為總部的伺服器並展開監控。文中譴責美國邊對全球進行網路竊密,一邊「做賊喊捉賊」,將大陸抹黑為網路威脅主體。
永豐AI GO競賽開跑 冠軍隊伍將抱走20萬獎金 工商時報電子報
永豐金控今年首度舉辦「永豐AI GO競賽」,由全球資訊安全解決方案領導廠商趨勢科技協辦,透過旗下舉辦技術類型競賽擁有豐富經驗之「T-Brain AI實戰吧」作為本次競賽平台,提供有興趣進入AI領域之優秀人才一個成長發揮的舞台。
【資安日報】9月22日,斥資280億美元重金,思科買下大數據資安業者Splunk iThome
上週資安界有兩起併購案,分別是19日資安業者CrowdStrike買下應用程式安全態勢管理(ASPM)新創Bionic,以及21日思科買下大數據資安業者Splunk,其中又以思科和Splunk的併購案受到最多關注。
✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!
