《資安新聞周報》去年台灣三大網路詐騙 點連結就可能遭勒索病毒入侵/  雲平台彙整資安日誌 生成式AI輔助加速判讀 /AI 接連翻車的 Google,要變天了

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。


資安趨勢部落格:

媒體資安新聞一周精選

雲平台彙整資安日誌 生成式AI輔助加速判讀        網管人

趨勢科技揭去年台灣三大網路詐騙 點連結就可能遭勒索病毒入侵          工商時報電子報

AI 接連翻車的 Google,要變天了       科技新報網

白宮二次警告:C/C++易導致記憶體安全漏洞   電子時報

駭客組織運用釣魚攻擊竊取 Windows NTLM 雜湊值,以提升權限並劫持帳號          科技新報網

Google AI人才三支箭 強化資安計畫         電子時報網

抗中朝駭攻 Google在日設防禦基地  自由時報電子報

Google中籍工程師 竊AI機密送中      自由時報電子報

AI深度學習技術避免網路威脅與詐騙  白色情人節留意3手法       科技島

繼續閱讀

指紋鎖不安全?滑手機聲音恐洩露指紋!不可思議駭客入侵手法大全

指紋鎖是一種方便的生物辨識技術,但並非絕對安全。使用者應提高安全意識,採取必要的防護措施,以降低指紋被洩露的風險。

滑手機聲音恐洩露指紋!

根據科羅拉多大學丹佛分校(University of Colorado Denver )和中國華中科技大學、武漢大學及清華大學組成的網路科學家團隊在 2024 年 2 月 29 日發表的研究論文,透過使用者手指滑動螢幕的聲音,的確可以推斷出使用者的指紋型樣。

該研究團隊開發了一套名為「PrintListener」的系統,該系統可以透過手機內建的麥克風,捕捉使用者手指在螢幕上滑過所產生的微弱摩擦聲。研究人員發現,這些摩擦聲會包含與使用者指紋紋路相關的資訊。

研究人員在實驗中,使用 PrintListener 系統成功地從手指滑動螢幕的聲音中推斷出使用者的指紋型樣,準確率高達 90%。

因此,上述說法是正確的。

不過,PrintListener 系統仍有其侷限性。首先,該系統需要在相對安靜的環境下才能有效運作。其次,該系統的準確率可能會受到使用者手指滑動速度、螢幕材質等因素的影響。

因此,指紋鎖使用者仍需提高安全意識,採取必要的防護措施,如設定密碼等,以降低指紋被破解的風險。

此外,PrintListener 系統目前仍處於研究階段,尚未在實際應用中得到驗證。

(以上2024.3.7更新)


14 種不可思議駭客入侵手法

(以下文章發表於2018.12.7)


有哪些不可思議的駭客攻擊手法?根據  iThome Security粉絲專頁貼文敘述:「在新興資安威脅中,也有一些可能帶來威脅但看似冷門的技術。像是近日,有研究人員利用中階的熱感攝影機,可在一分鐘內蒐集到鍵帽上殘留的餘溫,便能蒐集到使用者剛輸入的密碼。記得,在去年臺灣資安大會上,也曾經有專家分享,用生活中無線訊號感知的研究。像是家中房間有一臺無線路由器,而使用者在這樣的空間用電腦打字,這時訊號會受到某種程度都卜勒效應干擾,因此打字的動作將反應在此訊號上,再傳送到接收端,而這個現象可以被觀察到,如果建立起一個模式,就有可能一一區分使用者現在正在按哪個按鍵。資安威脅真的是無所不在。

無所不在的新興資安威脅有哪些?本文整理了四大類 14 起不可思議的攻擊手法,讓我們繼續看下去:

😳 失「手」竟會外洩密碼

  • 手指按壓過的鍵盤餘溫,竟會洩漏密碼 !
  • SIM卡劫持,讓你的手機無法打電話或上網,Google、FB帳戶密碼也被竄改
  • 「一指」ATM 領款好方便,又安全!?日專家:數位相機拍下手掌照片就可在 10 分鐘內解讀出手指靜脈圖
  • AI 可產生假指紋以假亂真

😳「聽」力超強的駭客攻擊

  • 「海豚攻擊」(Dolphin Attack)的技術,可向智慧語音助理,發送人耳接收不到的聲音
  • 「Mosquito」(蚊子) 概念驗證攻擊,可利用喇叭或耳機從連網或隔離的電腦將資料外傳
  • 只靠控制電流噪音就能「聽」出你的螢幕內容
  • 喇叭或耳機可將電腦資料外傳

😳 萬物皆聯網 萬物皆可駭

  • 結帳櫃檯的網路攝影機,偷拍信用卡資料
  • 信用卡資料外洩,付款時網路攝影機搞鬼!
  • 好脆弱!大聲一吼電腦系統就崩潰了

😳 崩潰了!這樣也能駭

  • 不連網也中招!利用電線傳遞電流的變動,盜取電腦數據
  • 閉關修練! 數百名囚犯利用電子系統「JPay」漏洞,聯合竊取22.5萬美元(約台幣689萬元)

😳 失「手」外洩密碼

1.手指按壓過的鍵盤餘溫,竟會洩漏密碼 !


中階熱感攝影機,可利用鍵帽上殘留餘溫,蒐集使用者在一分鐘內輸入的密碼。

如果你輸入密碼後就立刻離開座位,密碼可能立馬被人竊走。

加州大學艾爾文分校(University of California, Irvine, UCI)研究人員發展出以熱感攝影機量測手指留在鍵盤上的餘溫,藉此竊取密碼。此攻擊手法,可在輸入密碼後一分鐘內,利用中階熱感式攝影機蒐集到鍵帽上被按壓過的溫度。

●原文參考來源: IT  Home

繼續閱讀

長相超逼真的山寨line官網出沒,小心不只帳號被盜用還不小心安裝到惡意軟體

長相超逼真的山寨line官網出沒,小心不只帳號被盜用還不小心安裝到惡意軟體

台灣幾乎人人有的Line,近期爆出有山寨版網站出現!甚至在Google投放廣告讓搜尋結果排在第一位,誘使大家不小心點進假的Line官網,假冒的Line官網甚至跟原版幾乎一模一樣,民眾一不小心就會給出個資甚至下載到惡意軟體或是在試圖登入的過程中洩漏個資。

近期有防詐達人的用戶回報,當他在 Google 搜尋”Line”時,第一名及第二名的搜尋結果分別為「LINE 官網 – LINE 網頁版」及「LINE | 始終陪伴在你身旁」。如果是你,你會點選哪一個?

究竟你能不能意識到…第一個網站居然是假的?!

繼續閱讀

你在 FB、IG 等社群網路上的隱私,真的安全嗎?五步驟立即檢視!

3月5日晚間,全球50 萬網友同步焦慮症發作,因為 fb 臉書跟 IG 等社群軟體,發生大當機。連 META發言人史東(Andy Stone)也只能在當機發生後半小時於X(Twitter前身)發文表示「正在處理中」。這也讓特斯拉執行長馬斯克,撿到槍抓到機會開酸:「如果你能看到這篇貼文,代表我們的伺服器正在運作。  」 這事件讓不少人因帳號被強制登出,又忘記密碼無法登入而感到驚慌。甚至有駭客連夜製作網路釣魚信件,提醒大家輸入密碼之前,請再三確認是否為網路釣魚,以免帳號落入駭客手中。雖然兩小時後陸續恢復, 這事件也提醒重度依賴FB(Facebook,臉書)和 IG (Instagram)的我們,是時候定期檢視社群網路帳號,並保護好自己的社群帳號了。     

*密碼怎麼都想不起來?只要一組超級密碼,就能自動登入網站的密碼管理通,為您保護並記憶管理各種複雜的網站帳號密碼,讓你無須每次手動輸入帳號密碼立即免費下載

繼續閱讀

12張情歌梗圖,教你識破網戀真愛黑白騙,這首網友最推薦

愛神來了,財神也來了?先談感情再談投資,詐騙集團標準套路!

內政部指出,假投資自2021年起,連三年蟬聯詐欺財產損害金額第一名,無獨有偶的感情詐騙結合投資詐騙也幾乎成為詐騙集團標準套路。趨勢科技舉辦的《網戀暈船勸世情歌投票&網戀行為調查》活動,根據真實感情詐騙事件設計的12張情歌梗圖,邀請網友進行投票選出最適合分享給正在網戀暈船,可能遇上愛情詐騙的朋友的梗圖,目前公布票選初步統計結果,第一名是動力火車《我很好騙》,詐諞情境與先交友後投資的感情詐騙相關。

「我很好騙,對愛太渴望變成死穴」遇投資感情詐騙聽這句最扎心!


|「我很好騙,對愛太渴望變成死穴」遇投資感情詐騙聽這句最扎心!

「假」網路交友、「真」投資詐騙;:冒充投資專家邀你加入交易,是感情詐騙熱門詐騙手法,近幾年虛擬貨幣的討論度提升,除了傳統的高飆股詐騙,新型態虛擬貨幣亦成了詐騙集團利用的手段之一。詐騙集團大量利用社群平台或交友軟體逐步取得受害者的信賴,包含:透過日常對話拉近距離,以照片傳達個人投資致富的故事,或假冒自己是投資顧問誘導被害者進行投資等。初期,詐騙集團可能會以小額利潤誘導受害者深入投資,待投入大筆資金後,便直接消失甚至關閉帳號。趨勢科技提醒,別太輕易相信網路上的投資話術與來路不明的交易平台,應隨時保持高度警覺性。

繼續閱讀