《資安新聞周報》全球最厲害的惡意程式都瞄準台灣!AI模仿犯是什麼?3種AI新詐騙威脅是什麼?   (商周)

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。


資安趨勢部落格一週精選

媒體資安新聞一周精選

Deepfake馬斯克成詐騙神器:數百名分身串流、直播樣樣來,退休老人被騙超過千萬          T客邦

詐騙猖獗!金管會統計 至7月陳情投資詐騙廣告破5萬件  經濟日報網

EMAIL收「載具歸戶異常通知」 點開卻是詐騙         東森新聞網

假中華郵政騙個資!收「配送異常」假通知單勿回電 警:這是詐騙          CTWANT

佯裝打工實則詐騙?全民嚴防六大熱議「詐騙手法」!          社群實驗室

全球最厲害的惡意程式都瞄準台灣!AI模仿犯是什麼?3種AI新詐騙威脅是什麼?          商周

Deepfake 危機敲響警鐘,AI 生成內容標示制度能有效遏止詐騙嗎?          科技新報網

2024全面阻絕詐騙論壇》數發部長黃彥男:打詐通報查詢網 下週推測試版     自由時報電子報

【詐騙】網傳「羽球黃金雙打麟洋配榮獲金牌,貼圖免費下載」?     台灣事實查核中心

攻擊者利用Google產品假冒網站詐騙Windows和Mac用戶          iThome

微軟應用程式有 8 個漏洞,允許駭客監視 Mac 用戶      科技新報網

微軟 SmartScreen繞過漏洞 自3月起遭濫用並成為零日漏洞          資安人

微軟破天荒修補 90 個漏洞,兩個降級攻擊漏洞仍未修補      科技新報網

伊朗駭客企圖濫用ChatGPT左右美國總統大選        iThome

趨勢科技用AI幫助計算風險損失金額,並能預測攻擊路徑          iThome

趨勢科技在黑帽大會展示深偽偵測技術,強調企業需重新設想AI時代的網路風險管理     iThome weekly電腦報

臺灣有大學遭到PHP漏洞攻擊,駭客在受害主機植入後門程式          iThome

中國製路由器恐成國安漏洞?美國議員要求調查 TP-Link        科技報橘

Google又出事!Pixel手機曝長達7年安全漏洞、官方急回應了          自由時報電子報

Google鄰近檔案傳輸工具Quick Share存在漏洞,影響Windows、安卓裝置     iThome

豐田美國分公司遭駭客公布公司資料          iThome

看到OS更新畫面請確認真假,駭客組織Mad Liberator藉此隱匿資料竊取行為          iThome

網路防禦不足是經營風險!日駭客攻擊大幅增加…《日經》:政府與民間必須優化合作          放言

Sophos發現勒索軟體集團用竊來的資料當武器 增加拒付贖款者壓力     電子時報

11萬網域不當設定,招致憑證遭竊及駭客勒索        iThome

研究人員揭露微軟Entra ID隱藏的身分驗證機制弱點UnOAuthorized,恐讓攻擊者取得全域管理員權限  iThome

NPD被駭近30億筆個資 傳遭免費公開   世界新聞網

Abnormal Security的最新研究顯示,利用檔案共享服務的釣魚攻擊事件比例攀升了350%      中央通訊社

微軟花半年修補的零時差漏洞「袂赴」!北韓 Lazarus 駭客組織已用來發動客製化 rootkit 攻擊  科技新報

Windows 更新又出包?某些支援安全啟動的 Linux 系統無法雙重開機          科技新報

就是要你升級硬體!微軟修補 TPM 2.0 繞過漏洞,不讓不支援 CPU 安裝 Windows 11 電腦王阿達

安全團隊發現新型惡意軟體Styx Stealer,可利用Windows漏洞盜取加密貨幣          鉅亨網

微軟揭露四個 OpenVPN 的漏洞可相互串連,引發更嚴重的攻擊行為            網路資訊雜誌

微軟八月安全更新:修補 6 個已被攻擊的零時差漏洞     網路資訊雜誌

MCU 廠微晶片科技示警遭駭:衝擊生產、訂單履行        MoneyDJ          理財網

網路安全公司推出網頁工具 可檢查個資是否外洩    世界新聞網

FlightAware證實外洩用戶資料   iThome

北韓駭客Lazarus利用驅動程式零時差漏洞提權,並透過惡意程式匿蹤     iThome

安全機制繞過漏洞Copy2Pwn成形,已用於散布惡意程式DarkGate         iThome

【資安日報】8月19日,Google Pixel驚傳內建具有高度權限的第三方元件     iThome

Google示警伊朗駭客捲土重來 網攻川普賀錦麗陣營Gmail          上報

防惡意軟體偷資料 Chrome新增加密層     科技島

【資安日報】8月16日,美國總統大選兩大陣營遭伊朗駭客APT42鎖定,駭客進行目標式攻擊     iThome

勒索軟體RansomHub試圖透過自帶驅動程式手法停用端點資安防護        iThome

最大規模網攻!伊朗銀行系統中斷 ATM紙條諷:錢已投入戰爭          tvbs新聞網

SolarWinds修補服務臺系統重大層級漏洞         iThome

掌握AI時代應用風險 精準打擊潛在威脅        網管人

F5戰略研究顯示 五分之一的亞太企業尋求解決方案應對API的安全挑戰          電子時報

第一份金融上雲操作書來了!銀行公會發布「金融機構運用雲端服務實務手冊」     iThome

第一金全球AI機器人及自動化產業基金七月份經理人評論          MoneyDJ 理財網

Workday拓展台灣市場 主打「技能標籤」大數據          電子時報

卡巴斯基發現 AI「指令注入攻擊」多數不是駭客操作     科技新報網

AI網路安全新創公司Abnormal Security,完成2.5億美元融資          knowing

數位產業署率臺灣資安團隊前進馬泰 共同開拓東南亞市場  中央通訊社

Intel 在台展示 20+ 款 AI PC 加速企業 AI 創新應用   癮科技

英特爾攜手夥伴推出最新商用AI PC 助企業釋放AI潛力         中時新聞

ROG 於 2024 德國科隆電玩展推出一系列為玩家而生的電競產品          新聞派

不擔心就業問題!亞大資工系與AI、資安公司產學合作          TechNice 科技島

逾半數學生到業界實習 中國科大資管系4招克服產學落差    科技


Deepfake馬斯克成詐騙神器:數百名分身串流、直播樣樣來,退休老人被騙超過千萬          T客邦

據紐約時報報導,AI生成的埃隆·馬斯克形像已經出現在數千條虛假廣告中並導致數十億美元的詐騙。隨著尖端人工智慧技術的廣泛普及,以馬斯克等公眾人物為焦點的“Deepfake”(深度偽造)風潮逐漸興起,任何人都能輕易複製名人的聲音,甚至以令人難以置信的逼真度篡改影片內容。這一現象迅速吸引了色情內容創作者、表情包製作者以及日益增多的詐騙犯的注意。    

<回到新聞條列重點>   

詐騙猖獗!金管會統計 至7月陳情投資詐騙廣告破5萬件  經濟日報網

金管會公布最新統計,與 Meta、Google 公私協力建立的蒐報機制,16個月以來累計蒐報5萬836件。案件類型包含,瀏覽網路頁面或影片時,常發現有不肖人士假借名人名義,以投資經驗分享或高額獲利誘使民眾加入投資群組,誘騙民眾下載特定APP,佯裝購買有價證券之詐騙手法。此外也有,宣稱虛擬貨幣交易有高獲利或偽冒是金管會核准的合法投顧事業,偽造證照欺騙投資人的案例。         

<回到新聞條列重點>   

EMAIL收「載具歸戶異常通知」 點開卻是詐騙         東森新聞網

近期有署名財政部的「載具歸戶異常通知」 電子郵件詐騙案例,信件內容說載具歸戶異常,中獎無法匯款,需要填寫資料更新,但點開信中網址,卻要填寫信用卡資料。財政部和專家呼籲,需要主動填寫個資的通常都有問題。         

<回到新聞條列重點>   

假中華郵政騙個資!收「配送異常」假通知單勿回電 警:這是詐騙          CTWANT

詐騙猖獗,詐團此次冒名中華郵政並發送郵件通知民眾,隨後假藉有郵務貨件配送異常,要求民眾需撥打郵務專員的電話,藉此竊取個人資料以達後續詐騙目的,高雄市仁武分局針對此事在社群粉專發文,提醒民眾這是詐騙,切勿上鉤,因郵差不會留手機號碼,若回撥民眾個資恐遭盜竊。    

<回到新聞條列重點>   

佯裝打工實則詐騙?全民嚴防六大熱議「詐騙手法」!          社群實驗室

最近詐騙相關新聞經常登上頭條版面,不但受騙金額令人震驚,手法花招更是不斷層出不窮,不論是聲稱手握飆股的「股市戰神」,還是以高薪誘騙求職者的「假徵才」,面對這些來者不善的詐騙,讓我們一起來看看網友熱議內容有哪些吧!         

<回到新聞條列重點>   

全球最厲害的惡意程式都瞄準台灣!AI模仿犯是什麼?3種AI新詐騙威脅是什麼?          商周

今年,一家英國工程公司奧雅納(Arup)遭遇AI詐騙慘案。這家曾參與雪梨歌劇院工程結構案的公司,員工以為與集團高層開會,但事實上,對方在會議畫面使用的是深度偽造(deepfake)技術,假主管指示真員工轉帳,讓該公司損失2千萬英鎊,相當於新台幣8億3千萬元。   

<回到新聞條列重點>   

Deepfake 危機敲響警鐘,AI 生成內容標示制度能有效遏止詐騙嗎?          科技新報網

在微軟最新發表的《Protecting the Public from Abusive AI-Generated Content》報告書中,CEO Brad Smith呼籲制定《深度偽造深度偽造詐欺法》(deepfake fraud statute),顯示科技業對AI技術濫用的擔憂增加。報告指出,AI詐騙損失高達27億美元,其中最為猖獗的當屬利用Deepfake技術進行的冒名詐騙。 

<回到新聞條列重點>   

2024全面阻絕詐騙論壇》數發部長黃彥男:打詐通報查詢網 下週推測試版     自由時報電子報

數位發展部長黃彥男昨於本報主辦的「二○二四全面阻絕詐騙」論壇宣布,「打詐通報查詢網」將在下週推測試版,提供民眾即時查詢、詐騙訊息分流通報、處理進度更新等功能;數發部將續推動公私協力合作,防範網路詐騙。         

<回到新聞條列重點>   

【詐騙】網傳「羽球黃金雙打麟洋配榮獲金牌,貼圖免費下載」?     台灣事實查核中心

資安專家指出,網傳連結主要是要透過免費貼圖誘因,讓民眾加入假的LINE群組以獲取個資,或藉此進一步傳送廣告、詐騙訊息。         

<回到新聞條列重點>   

攻擊者利用Google產品假冒網站詐騙Windows和Mac用戶          iThome

Malwarebytes資安研究人員發現攻擊者冒用Google產品,以虛假廣告或是技術支援頁面,誘導Windows和Mac用戶撥打虛假客服電話,再伺機詐騙金錢。    

<回到新聞條列重點>   

微軟應用程式有 8 個漏洞,允許駭客監視 Mac 用戶      科技新報網

macOS 有個名為「透明度同意與控制」(TCC)的框架,用以管理應用程式存取位置服務、相機、麥克風、庫照片和其他文件等內容的權限。每一個應用程式都需要向 TCC 請求權限,未獲得權限的應用程式無法存取相機和電腦的其他部分。只不過微軟應用程式中的漏洞卻允許惡意軟體使用授予微軟應用程式的權限。         

<回到新聞條列重點>   

微軟 SmartScreen繞過漏洞 自3月起遭濫用並成為零日漏洞          資安人

SmartScreen是 Windows 8 引進的安全功能,可保護使用者在開啟帶有Mark of the Web (MotW)標籤的下載檔案時,免受潛在惡意軟體的威脅。雖然 CVE-2024-38213 可被未經身份驗證的攻擊者,透過低複雜度的攻擊遠端利用,由於仍需使用者進行操作,而使此攻擊難度提升。         

<回到新聞條列重點>   

微軟破天荒修補 90 個漏洞,兩個降級攻擊漏洞仍未修補      科技新報網

微軟發布更新修補程式,修補多達90個安全漏洞,包括6個已在實際網路上被濫用的零時差漏洞。其中,CVE-2024-38213 允許攻擊者繞過 SmartScreen 的安全保護功能,但攻擊者需要向使用者發送惡意檔案並誘騙開啟該檔案才行。該漏洞由趨勢科技 ZDI 資深分析師 Peter Girnus 發現並通報,他認為其安全規避手法,和之前被 DarkGate 惡意軟體駭客所利用 CVE-2024-21412 或 CVE-2023-36025 漏洞的手法類似。趨勢科技隨後推翻了部分的看法,認為 CVE-2024-38213 和 CVE-2024-21412 的安全機制繞過手法不同,因為在 WebDAV 擴充模組共享上的任何檔案都會受到該漏洞的影響。    

<回到新聞條列重點>   

伊朗駭客企圖濫用ChatGPT左右美國總統大選        iThome

OpenAI上周宣布,已關閉了那些企圖利用ChatGPT來左右美國大選的伊朗人帳戶,而這也是OpenAI所發現並移除的第一個與美國大選有關的行動。         

<回到新聞條列重點>   

趨勢科技用AI幫助計算風險損失金額,並能預測攻擊路徑          iThome

趨勢科技在2024黑帽大會的演說上提到,對話式AI助理只是第一步,隨著代理式AI的應用發展,將顛覆以前的資安管理方式,不只是要用AI蒐集多方資訊交互關聯出事件的「攻擊路徑」,我們現在更要用AI關聯出「淺在攻擊路徑」,並且「預測」接下來可能的攻擊行為。趨勢科技在強調要用AI來做資安風險管理時,正計畫將風險可能造成的財務損失金額(Financial loss),直接顯示於產品介面,有望打破技術與商業溝通的鴻溝,同時,他們還將增加AI預測攻擊路徑的新能力。  

<回到新聞條列重點>   

趨勢科技在黑帽大會展示深偽偵測技術,強調企業需重新設想AI時代的網路風險管理     iThome weekly電腦報

在美國拉斯維加斯舉辦的黑帽大會(Black Hat USA 2024)活動上,今年首度納入了AI Summit活動,並於會前一天率先登場。會中趨勢科技針對AI時代的資安防禦提出新解,包括推出商用的深偽偵測技術解決方案,同時強調AI時代下,企業組織必須要有新一代網路風險管理方法。         

<回到新聞條列重點>   

臺灣有大學遭到PHP漏洞攻擊,駭客在受害主機植入後門程式          iThome

賽門鐵克20日揭露針對臺灣一所大學院校的後門程式Msupedge攻擊行動,這支後門程式的感染途徑,很有可能就是利用PHP程式語言重大層級漏洞CVE-2024-4577得逞。在這起資安事故當中,駭客使用較為罕見的聯繫手法,那就是透過DNS進行C2通訊,他們使用能公開取得的工具dnscat2打造DNS隧道,用來進行名稱解析並接收命令。         

<回到新聞條列重點>   

中國製路由器恐成國安漏洞?美國議員要求調查 TP-Link        科技報橘

美國兩位重量級國會議員近日聯名要求拜登政府,對中國科技公司 TP-Link 展開國家安全調查,因為他們擔心 TP-Link 生產的路由器可能被用於對美國發動網路攻擊。         

<回到新聞條列重點>   

Google又出事!Pixel手機曝長達7年安全漏洞、官方急回應了          自由時報電子報

外媒iVerify發布最新警告,自2017年以來,Google Pixle手機一直存在一個安全漏洞,這個漏洞的根源是一款名為「Showcase.apk」的第三方Android軟體包,由於是透過不安全的HTTP協定安裝,駭客可能利用該漏洞入侵,可遠端執行程式碼或安裝惡意軟體。    

<回到新聞條列重點>   

Google鄰近檔案傳輸工具Quick Share存在漏洞,影響Windows、安卓裝置     iThome

在上週末舉行的資安會議DEF CON 32,資安業者SafeBreach的研究人員指出,Google檔案鄰近分享工具Quick Share存在名為QuickShell的一系列漏洞。

<回到新聞條列重點>   

豐田美國分公司遭駭客公布公司資料          iThome

Bleeping Computer報導,一個名為ZeroSevenGroup的駭客組織在地下論壇公開宣稱是竊自豐田汽車美國分公司的資料240GB。駭客稱,這些資料包含員工和客戶聯絡資料、合約、財務、相片、電子郵件、資料庫、以及網路基礎架構等資料240GB。駭客並提供開源工具AD-Recon以檢視需要密碼的網路資料。豐田汽車向媒體證實此事,但該公司表示受影響的範圍有限,並非全系統問題。豐田汽車也已聯繫受影響人士,不過未說明有多少人受影響,以及豐田何時發現事件、及攻擊者如何駭入公司網路。    

<回到新聞條列重點>   

看到OS更新畫面請確認真假,駭客組織Mad Liberator藉此隱匿資料竊取行為          iThome

掩蓋竊取電腦資料的攻擊行動出現新的手法,有研究人員發現,勒索軟體駭客組織Mad Liberator假借視窗作業系統更新的名義,並讓使用者無法使用鍵盤和滑鼠,然後再竊取受害電腦的特定資料。         

<回到新聞條列重點>   

網路防禦不足是經營風險!日駭客攻擊大幅增加…《日經》:政府與民間必須優化合作          放言

針對日本的網路攻擊,根據Trend Micro的統計,2023年國內法人公開的勒索軟體(勒贖病毒)攻擊造成的損害達到70件,是自2019年以來最多的一次。對於民間企業而言,網路攻擊已經成為重大經營風險。如果準備不足便遭受攻擊,可能會帶來巨大的損失。政府在強化網路防禦的法律制度時,正計劃與經濟界合作,共同建立防禦體系。    

<回到新聞條列重點>   

Sophos發現勒索軟體集團用竊來的資料當武器 增加拒付贖款者壓力     電子時報

Sophos發布最新暗網報告《加壓:勒索軟體集團的施壓策略》,詳細說明網路犯罪分子如何將竊來的資料武器化,以增加拒付贖款者的壓力。其手法包括公開被攻擊的執行長和企業主的聯絡方式或是家庭成員的個人資訊,以及威脅將被竊資料中發現的任何非法商業行為通報給當局。         

<回到新聞條列重點>   

11萬網域不當設定,招致憑證遭竊及駭客勒索        iThome

Palo Alto Networks研究人員揭露,雲端應用環境設定不當導致攻擊者得以竊取重要資料,並向受害企業勒索的攻擊行動。Unite 24資安研究小組指出,這波攻擊發生在部署帳號營運員(cloud operator),並啟用權限過於寬鬆的身分驗證管理(Identity & Authentication Management,IAM)的雲端環境。由於這些帳號營運員未能遵循雲端安全最佳實作,讓駭客得以取得包含敏感變項,像是驗證憑證的環境變項檔(.env)檔,並進行多種手法存取。    

<回到新聞條列重點>   

研究人員揭露微軟Entra ID隱藏的身分驗證機制弱點UnOAuthorized,恐讓攻擊者取得全域管理員權限  iThome

研究人員在上週黑帽大會揭露存在於Entra ID的OAuth弱點UnOAuthorized,並指出攻擊者有機會利用企業社群平臺Viva Engage(原名Yammer)、權限管理服務RMS、設備註冊服務來產生新的全域管理員帳號。         

<回到新聞條列重點>   

NPD被駭近30億筆個資 傳遭免費公開   世界新聞網

惡名昭彰的駭客組織USDoD,據稱今年4月從背景調查公司「全國公共數據」(National Public Data,NPD)盜走將近30億人的個資,其中可能包括所有美國人的社會安全號碼等敏感資料,堪稱史上最大個資外洩案之一。NPD日前在佛州羅德岱堡(Fort Lauderdale)聯邦地方法院被提出集體訴訟。   

<回到新聞條列重點>   

Abnormal Security的最新研究顯示,利用檔案共享服務的釣魚攻擊事件比例攀升了350%      中央通訊社

人工智慧原生應用的人類行為安全先驅Abnormal Security今天發布該公司的《H2 2024年電子郵件威脅報告》(H2 2024 Email Threat Report),顯示利用檔案共享服務釣魚攻擊威脅數量正在不斷成長。威脅發動者利用大量普及的檔案託管或電子簽名解決方案作為掩護,誘使他們的攻擊標的洩露隱私資料或下載惡意軟體。         

<回到新聞條列重點>   

微軟花半年修補的零時差漏洞「袂赴」!北韓 Lazarus 駭客組織已用來發動客製化 rootkit 攻擊  科技新報

8 月 19 日安全公司 Gen 向微軟通報,發現用 13 日微軟例行修補程式日修復 CVE-2024-38193 零時差漏漏(0-Day)的最新攻擊風險。北韓贊助的駭客組織 Lazarus 旗下駭客成功利用零時差漏洞,在受害 Windows 系統植入既隱密又先進的客製化 Rootkit 惡意軟體。但 Gen 並沒有提供更關鍵細節,漏洞是何時 Lazarus 利用、多少組織淪為攻擊目標,是否有安全機制偵測到惡意軟體等。         

<回到新聞條列重點>   

Windows 更新又出包?某些支援安全啟動的 Linux 系統無法雙重開機          科技新報

本月微軟「修補程式日」雖然一口氣修補了 90 個安全漏洞,但卻出現使用者完成修補了 CVE-2022-2601 GRUB2 安全開機規避漏洞的更新後,卻導致啟用安全開機(Secure Boot)的 Linux 系統無法進行雙重開機。截至目前為止,並沒有列舉受影響 Linux 發行版及版本的明確官方列表。至於微軟既尚未承認本月例行更新可能導致雙重開機系統無法正常開機的問題,也未發布任何解決此問題的更新修補程式。    

<回到新聞條列重點>   

就是要你升級硬體!微軟修補 TPM 2.0 繞過漏洞,不讓不支援 CPU 安裝 Windows 11 電腦王阿達

Windows 11 雖然自推出以來,就有 TPM 2.0 的限制,不支援的 CPU 正常來說是無法安裝,不過陸續都有人發現到可成功繞過的技巧,讓老電腦也能使用到最新 Windows 11 作業系統,/product server 可說是很多人用的方法,但這裡有一個壞消息。         

<回到新聞條列重點>   

安全團隊發現新型惡意軟體Styx Stealer,可利用Windows漏洞盜取加密貨幣          鉅亨網

金色財經報導,網路安全解決方案提供商 Check Point Research 發現了一種名為 Styx Stealer 的新型惡意軟體。該軟體可以通過一種稱為「剪切(clipping)」的機制竊取大量材料,包括加密貨幣。它可以在開發者的網站上免費出租。         

<回到新聞條列重點>   

微軟揭露四個 OpenVPN 的漏洞可相互串連,引發更嚴重的攻擊行為            網路資訊雜誌

微軟威脅情報中心研究人員 Vladimir Tokarev 在 Black Hat USA 2024 大會公佈其研究發現。這個攻擊串,可讓攻擊者取得目標端點的完整控管權,導致資料外洩、駭入系統與非經授權存取敏感資訊。該漏洞影響 2.6.10 和 2.5.10 以前所有版本的 OpenVPN,不過攻擊需要用戶驗證,與對 OpenVPN 內部架構有深刻了解。         

<回到新聞條列重點>   

微軟八月安全更新:修補 6 個已被攻擊的零時差漏洞     網路資訊雜誌

微軟安全回應小組周二在八月份的 Patch Tuesday 之中,公佈將近 90 項 Windows 和 Windows 元件的漏洞公告,包含 10 項零時差漏洞。雖然漏洞數比起以往數量少,但 6 項已遭到濫用卻是歷來少見的。         

<回到新聞條列重點>   

MCU 廠微晶片科技示警遭駭:衝擊生產、訂單履行        MoneyDJ          理財網

MarketWatch、路透社報導,Microchip 20日於美股盤後發布公告稱,上週六(17日)偵測到牽涉資訊科技(IT)系統的可疑網路活動後,本週一終於確定,某些伺服器的使用及業務營運遭未經授權的第三方干擾。    

<回到新聞條列重點>   

網路安全公司推出網頁工具 可檢查個資是否外洩    世界新聞網

「全國公共數據」(National Public Data,NPD)爆發嚴重個資外洩事件,駭客盜走美國、英國、加拿大等國公民的27億筆個人資料,其中包括社會安全號碼,並在暗網上兜售。針對此次事件,網路安全公司Pentester推出一個網頁工具,可讓用戶檢查個人資料是否已被洩露。    

<回到新聞條列重點>   

FlightAware證實外洩用戶資料   iThome

專門提供全球飛機航班追蹤服務的FlightAware本周對外證實,因配置錯誤而外洩了該平臺用戶的個資,FlightAware向受影響的用戶表示,該平臺是在今年的7月25日發現系統上的配置錯誤,而造成使用者FlightAware帳戶資訊的外洩,除了使用者名稱、密碼與電子郵件帳戶之外,或許也包括使用者的名稱、帳單地址、收貨地址、IP位址、社交媒體帳戶、電話號碼、生日年份、信用卡的後4碼、所擁有的飛機資訊、產業、頭銜、是否為駕駛員,以及帳戶的活動等。    

<回到新聞條列重點>   

北韓駭客Lazarus利用驅動程式零時差漏洞提權,並透過惡意程式匿蹤     iThome

上週微軟在例行更新修補零時差漏洞CVE-2024-38193,通報此事的資安業者Gen Digital表示,他們在2個月前看到北韓駭客組織Lazarus將其用於實際攻擊。    

<回到新聞條列重點>   

安全機制繞過漏洞Copy2Pwn成形,已用於散布惡意程式DarkGate         iThome

針對本月微軟公布的零時差漏洞CVE-2024-38213,通報此事的漏洞懸賞專案Zero Day Initiative(ZDI)表示,駭客藉此偷渡惡意程式DarkGate,從而繞過Microsoft Defender SmartScreen防護機制。         

<回到新聞條列重點>   

【資安日報】8月19日,Google Pixel驚傳內建具有高度權限的第三方元件     iThome

資安業者iVerify指出,Google在第2代Pixel之後的機種韌體,內建電信業者Verizon展示應用程式,此軟體具備高執行權限,有可能成為攻擊者鎖定的目標。         

<回到新聞條列重點>   

Google示警伊朗駭客捲土重來 網攻川普賀錦麗陣營Gmail          上報

網路巨擘Google於14日發布安全報告,今年5月以來,與伊朗政府有關的駭客組織,一直試圖入侵總統拜登,以及總統大選候選人賀錦麗、川普陣營的Gmail,顯示美國的對手有意干擾美國的民主運作。         

<回到新聞條列重點>   

防惡意軟體偷資料 Chrome新增加密層     科技島

2024年8月,Google宣布為Chrome瀏覽器加入一層新的應用程式,以綁定加密技術,這項新功能的目的,是防範資訊竊取型的惡意軟體,進一步保護使用者的資料安全。透過這項加密技術,可以有效防止惡意應用程式,竊取存放在Cookie中的敏感資訊,從而提供用戶更強的保護,確保他們在網路上的活動更隱私與安全。    

<回到新聞條列重點>   

【資安日報】8月16日,美國總統大選兩大陣營遭伊朗駭客APT42鎖定,駭客進行目標式攻擊     iThome

日前微軟提出警告,伊朗駭客透過網路干預美國總統大選,這些駭客設置假新聞網站企圖煽動分裂,很有可能在秋季在搖擺州擴大攻擊力道,影響當地選民。後續川普競選團隊透露他們的電子郵件信箱遭遇伊朗駭客攻擊,對方竊取內部機敏資料並進行散布。目前研究人員持續看到APT42試圖破壞拜登、川普,以及副總統賀錦麗等人士的帳號,但並未得逞。         

<回到新聞條列重點>   

勒索軟體RansomHub試圖透過自帶驅動程式手法停用端點資安防護        iThome

資安業者Sophos在今年5月勒索軟體RansomHub攻擊行動發現,駭客使用惡意程式EDRKillShifter,意圖利用自帶驅動程式(BYOVD)手法停用受害電腦的EDR程式。  

<回到新聞條列重點>   

最大規模網攻!伊朗銀行系統中斷 ATM紙條諷:錢已投入戰爭          tvbs新聞網

近日中東緊張局勢不斷升高,伊朗中央銀行(CBI)及其他幾家銀行,14日遭到大規模網路攻擊,造成銀行系統大範圍中斷,可能是迄今針對伊朗國家基礎設施的最大規模網攻之一。    

<回到新聞條列重點>   

SolarWinds修補服務臺系統重大層級漏洞         iThome

8月13日SolarWinds發布資安公告,旗下IT服務臺系統Web Help Desk(WHD)存在重大層級漏洞CVE-2024-28986,此為Java反序列化弱點,攻擊者有機會遠端執行任意程式碼,CVSS風險評分為9.8,影響所有版本的WHD,對此,該公司發布12.8.3 Hotfix 1更新軟體修補。  

<回到新聞條列重點>   

掌握AI時代應用風險 精準打擊潛在威脅        網管人

近年來生成式人工智慧(GenAI)應用日漸廣泛,資安技術供應商莫不積極在自家產品中納入,來提升偵測高風險活動的偵測與回應能力,以及提高資安維運效率。日前Palo Alto Network最新發布的精準AI(Precision AI),正是借助自家擁有豐富的資料集所開發設計的演算模型,讓偵測、預防、修復安全問題都得以達到精準度。    

<回到新聞條列重點>   

F5戰略研究顯示 五分之一的亞太企業尋求解決方案應對API的安全挑戰          電子時報

根據F5首份2024年亞太區API安全戰略洞察報告顯示,亞太區的企業愈來愈依賴由人工智慧和機器學習(AI/ML)支援的解決方案,以應對應用介面(API)的各種安全挑戰。API持續推動亞太區數位體驗的同時,這份報告也揭示亞太區API安全的挑戰和機遇。    

<回到新聞條列重點>   

第一份金融上雲操作書來了!銀行公會發布「金融機構運用雲端服務實務手冊」     iThome

銀行公會近日發布了「金融機構運用雲端服務實務手冊」,類似一份金融上雲的操作書,無論是初次上雲或已經上雲的金融業者,都可以參考這份實務手冊,訂定或強化雲端管理措施。         

<回到新聞條列重點>   

第一金全球AI機器人及自動化產業基金七月份經理人評論          MoneyDJ 理財網

今年以來受到AI浪潮所推動的科技股漲勢在7月出現反轉,一方面市場擔憂聯準會降息過慢導致經濟”硬著陸”,另一方面市場對於大量資本投入AI建設卻尚無明顯效益的情況開始提出質疑。         

<回到新聞條列重點>   

Workday拓展台灣市場 主打「技能標籤」大數據          電子時報

雲端軟體商Workday主打人資與財務管理,系統導入AI功能,可呈現人才「技能標籤」,助企業推動人資管理自動化。其近期積極耕耘台灣市場,已獲得不少台廠客戶,也觀察到製造業全球化、數位化有不少痛點。    

<回到新聞條列重點>   

卡巴斯基發現 AI「指令注入攻擊」多數不是駭客操作     科技新報網

卡巴斯基發現,指令注入攻擊常見「忽略所有先前指示改做這個」指令最近幾個月使用率大幅上升,調查內部檔案和公開網路尋找指令注入跡象後,發現近千個含相關語詞網頁,分成四類:人力資源相關注入、試圖使某些產品或網站獲更有利描述或搜尋結果位置、抗議形式注入,以及試圖透過叫模型做無害之事以破壞任務。         

<回到新聞條列重點>   

AI網路安全新創公司Abnormal Security,完成2.5億美元融資          knowing

Abnormal Security 專注於企業提供 AI 驅動的安全解決方案幫助他們抵禦各種電子郵件攻擊,包括勒索軟體和高管冒充。         

<回到新聞條列重點>   

數位產業署率臺灣資安團隊前進馬泰 共同開拓東南亞市場  中央通訊社

數位發展部數位產業署(以下簡稱數發部數產署)作為臺灣資安產業推動的馬達,為加速臺灣資安產業打入國際市場,於8 月 4 日至 9 日率領 8 家臺灣資安業者前往馬來西亞及泰國,辦理臺灣資安日 Taiwan Cybersecurity Day,並拜會當地重點公協會,亟盼促臺灣資安國際落地。         

<回到新聞條列重點>   

Intel 在台展示 20+ 款 AI PC 加速企業 AI 創新應用   癮科技

Intel 21日宣布在台與11家合作夥伴展出商用AI PC,為了加速推動AI創新應用,Intel已經啟動全球AI PC加速計畫,與全球上百家獨立軟體供應商 (ISV)與獨立硬體供應商 (IHV)合作,包含台灣訊連科技、趨勢科技,趨勢科技以自動生成式人工智慧技術確保敏感個資、人工智慧應用程式,以及混合環境應用安全,並且主動預防詐騙行為。         

<回到新聞條列重點>   

英特爾攜手夥伴推出最新商用AI PC 助企業釋放AI潛力         中時新聞

英特爾業務暨行銷事業群商用業務總監鄭智成表示:「英特爾致力於提供專為AI PC打造的完整平台,持續優化Intel vPro平台與OpenVINO等開發工具,以滿足企業日益複雜的AI部署需求。我們積極建立開放生態系,串聯軟硬體合作夥伴,共同開發和推廣AI PC應用,協助企業提升生產力、強化資料安全性,並開發創新應用。」         

<回到新聞條列重點>   

ROG 於 2024 德國科隆電玩展推出一系列為玩家而生的電競產品          新聞派

ROG 玩家共和國於 2024 德國科隆電玩展 (Gamescom) 推出一系列產品,包括:Advanced AI PC 專用的 AMD X870E / X870 主機板、升級再進化的一體式水冷散熱器,還有多款電競周邊、26.5”QHD OLED 電競螢幕、WiFi 7 解決方案與高端電源供應器。         

<回到新聞條列重點>   

不擔心就業問題!亞大資工系與AI、資安公司產學合作          TechNice 科技島

亞大資訊工程學系共分為人工智慧組、數位內容與遊戲設計組、智慧電子組,不但有特色課程、堅強的師資陣容,還與趨勢科技等企業產學合作,提供多元出路。系主任朱學亭鼓勵學生至少要會一兩種程式語言、了解資安基本概念等,就很好找工作,該系盼成為中部地區AI菁英的資訊工程科系,幫助中部地區新創事業或促進企業轉型,並培養學生多元技能,助學生職涯一臂之力。         

<回到新聞條列重點>   

逾半數學生到業界實習 中國科大資管系4招克服產學落差    科技島

中國科大資管系課程聚焦網路與系統管理、網站設計與系統開發、網路行銷與大數據應用,還重視創新跨領域實作能力的養成,納入近期產業人才需求殷切的大數據、物聯網IoT、AI人工智慧等課程,不僅培養學生於傳統資訊管理領域的專業技術能力,也讓學生具備基礎跨領域實務技術,有助於學生未來的職涯發展。    

<回到新聞條列重點>   

IG 趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文 ☺️

⭕️ 訂閱資安趨勢電子報,各種實用數位祕技讓你數位生活更便利;隨時掌握資安警訊讓你安先悠遊網路

✅防毒防詐✅守護帳密✅VPN安心串流✅阻絕惡意✅安心蝦拚
PC-cillin 讓你的『指指點點』可以開心又安心點!

趨勢科技PC-cillin雲端版 搭載深度學習AI引擎,不僅可以一次偵測多種病毒、網路威脅,還可即時封鎖異常行為,保護電腦和行動裝置安全,讓你免受變化莫測的詐騙手法之擾,安心享受網路生活。

【一下指就掉入詐騙陷阱?PC-cillin讓你安心點 】PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

FB IG Youtube LINE 官網