資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

研究報告：30% 的頂尖 CEO(執行長)電子郵件密碼曾經外洩;遭駭排行 LinkedIn 居首, Dropbox其次

2017 年 11 月 07 日2017 年 11 月 03 日趨勢科技 TrendMicro

全球大企業執行長將近每三人就有一人在其使用的網路服務發生資料外洩之後電子郵件帳號即遭到入侵。根據最近發表的一份研究報告指出，約 30% 的全球頂尖企業執行長都曾經發生其使用公司電子郵件信箱註冊的網路服務密碼遭到外洩的情況。這項針對全球 10 個國家 200 多家大型企業執行長所做的調查指出，執行長使用公司電子郵件信箱註冊或連結的網路服務最常遭駭的是 LinkedIn (53%) 和 Dropbox (18%)，其次是 Adobe 和 Myspace。

此外，研究也指出，有 81% 的執行長很可能因為垃圾郵件散發名單和行銷資料庫外洩事件而使得其電子郵件及其他個人身分識別資訊 (PII) 外流。這樣的情況最常發生在英國、美國、荷蘭及法國的執行長，而義大利和日本的執行長則最不常發生這種狀況。該研究交叉比對了這些執行長的公司電子郵件信箱以及一些公開資料庫當中已外流的登入憑證。

在這份報告發表之前，美國聯邦調查局 (FBI) 才剛警告全球企業應該注意日益崛起的「變臉詐騙」(BEC)，FBI 指出這類詐騙已在全球造成十幾億美元的企業損失。從事變臉詐騙的犯罪集團都非常小心，會事先針對攻擊目標進行一番研究，密切觀察其個人與企業的一舉一動。繼續閱讀

兒童智慧手錶出現的漏洞造成安全隱憂

2017 年 11 月 06 日2017 年 10 月 24 日趨勢科技 TrendMicro

穿戴式物聯網（IoT ,Internet of Thing）（如智慧手錶）可以幫助父母關心孩子，同時也提供他們生活和活動所需的獨立性和連結性。但如果你打算替你的小孩買一個，請確保這裝置和上面的應用程式不會危及你孩子的安全 – 在網路上或其他地方。

安全研究人員和挪威消費者委員會最近發表對兒童用智慧手錶的調查報告，並回報數個可能危及隱私和安全性的漏洞。根據他們的報告，這些安全漏洞可以讓第三者秘密追踪佩戴者的位置，竊聽語音訊息及竊取設備上的個人身份資料。

[延伸閱讀：智慧手錶正在製造新的網路安全問題]

研究人員測試了三支智慧手錶，其中一支有35萬的使用者。另外兩支用不同品牌銷售到全世界。這些智慧手錶具備即時GPS追踪功能，還可以進行雙向通話。跟據挪威的消費者組織，陌生人很容易“控制手錶，並且追蹤、竊聽和與孩子通話”。他們可以在孩子移動時加以追蹤，也可以讓孩子看起像位在某處但其實不是。一些資料在傳輸和儲存時都沒有加密。

[TrendLabs Security Intelligence 部落格：將高科技戴在手上]

該報告還指出其中一個受測設備所具備的SOS和電話號碼白名單功能都很糟糕。佩戴者離開某些地區後的訊息傳送也很不可靠。挪威消費者委員會補充說，智慧手錶上的一些應用程式沒有提供授權合約（EULA）或使用條款，這樣違反了該國的“市場行銷管理法”和“個人資料保護法”。繼續閱讀

Google Play 再現加密貨幣採礦惡意程式

2017 年 11 月 04 日2017 年 11 月 06 日趨勢科技 TrendMicro

儘管行動裝置的效能是否能開採出足夠的數位加密貨幣還有待商榷，但對於受害裝置的使用者來說，壞處卻是很明顯的：裝置耗損更快、電池壽命縮短、手機效能變慢。

最近，趨勢科技在 Google Play 商店上發現了幾個具備數位加密貨幣開採能力的惡意應用程式。這些應用程式採用了 JavaScript 動態載入與原生程式碼注入技巧來躲避偵測。我們將偵測到的惡意程式命名為：ANDROIDOS_JSMINER 和 ANDROIDOS_CPUMINER。

這已非第一次這類應用程式在 Google Play 商店上架。多年前，趨勢科技在 Google Play 商店上發現的 ANDROIDOS_KAGECOIN 惡意程式家族即具備數位加密貨幣採礦能力。

ANDROIDOS_JSMINER：利用 Coinhive 程式庫進行採礦

我們先前曾經看過一些技術支援人員詐騙以及遭到駭客入侵的網站被植入 Coinhive 所開發的 JavaScript 數位加密貨幣採礦程式庫。不過這一次看到的卻是以應用程式型態出現，這就是：ANDROIDOS_JSMINER。我們發現了兩個應用程式樣本，其中一個是使用者誦經禱告幫手，另一個是提供各類折扣優惠資訊。