惡意簡訊是將受害者引導至惡意網站的手法之一。網路犯罪者會偽裝成知名企業等身分,傳送看似合理的訊息,因此未經深思熟慮的手機用戶很可能就會不經意開啟簡訊內的連結。本文將介紹假簡訊的手法及防範對策。
電子郵件不再是進入惡意網站的唯一入口,簡訊服務(SMS)也是其中一種途徑。心懷不軌的人只要將隨機的數字組合成電話號碼的形式,就可將惡意訊息隨機散布給許多使用者。
網路犯罪者會假冒知名企業等身分,傳送看似合理的訊息,並企圖使收件人開啟惡意網址連結,主要目的是引導使用者進入惡意網站,以騙取資訊或金錢。接著讓我們來了解假簡訊的手法。
攜手建構全球最新以安全為設計基礎 (Secure by Design) 的Open EV Platform電動車開放平台
【2021年10月20日,台北訊】 全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 與MIH Consortium共同宣布,為了兼顧汽車安全及資訊安全,攜手建構全球首創以安全為設計基礎的「EVKit」電動車開放平台。
未來的電動車主流是透過軟體定義,應用人工智慧,大數據及車聯網,以提供各式各樣創新的個人化駕駛體驗。趨勢科技和 MIH 的合作,結合趨勢科技全球的車聯網資安專業,首度以安全為設計基礎 (Secure by Design) 概念制定並實作EVKit軟體的安全架構以及介面,除了提供一個安全的軟體執行環境,並可讓各項資料與數據得以安全的傳輸與存取,且在EVKit中提供車廠及第三方應用開發者方便、安全且具備認證機制的開發環境。
「為有效縮短開發周期和降低進入門檻,MIH正透過軟體定義車輛 (Software-Defined Vehicles – SDV) 的方式替開發者創建 Open EV Platform電動車開放平台。Open EV Platform 由硬體和軟體組成,應用範圍涵蓋了完整的電動車開發與測試的生命週期,並提供開發者一個 Open EV marketplace。」MIH 技術長魏國章表示。「身為MIH在車輛安全上最重要的夥伴之一,趨勢科技憑藉著領先全球的資安專業,協助MIH定義屬於電動車的通用安全框架,不但全面支援車載網路的入侵檢測、系統保護以及網路威脅防護等,更統一了開發者介面,幫助全球從事資安解決方案的合作夥伴,大幅降低參與建構MIH安全生態系統的門檻,以吸引更多優秀的開發者加入。」
趨勢科技核心技術執行副總裁兼首席資訊長鄭奕立表示:「研究指出,至2035年時全球銷售的汽車中,聯網智能汽車佔比預計高達80%註1,2030年時行車數據所帶來的年增值可望達到4,000億美元註2。利之所在,往往威脅之所趨,資訊安全勢必將成為聯網汽車最關鍵的要素之一,然而目前傳統汽車業常採用的外掛資安方案對未來的資安威脅並不是最有效的方式。解決連網智能汽車資訊安全的最有效方式就是直接在軟體架構上採用以安全為設計基礎、具備資安防護機制的開發平台,才能有效提升未來汽車的資安。為了提供安全無虞的電動車開放平台,趨勢科技也特別建立專業的車聯網資訊安全技術團隊,與MIH共同為EVKit平台提供與時俱進的安全架構。」
趨勢科技與MIH以安全為設計基礎 (Secure by Design) 概念,為EVKit建構與設計車內資安軟體架構,包括:
註1:Fuji Keizai:コネクテッドカー(つながる車)の世界市場を調査
註2:McKinsey & Co: Unlocking the full life-cycle value from connected-car data
日本獨立行政法人資訊處理推進機構(IPA)近日再次針對「應用程式(APP)存取權限」提出呼籲,此項呼籲對於安全地使用智慧型手機相當重要。
安裝及使用智慧型手機的應用程式(APP )時,有時會彈出畫面,要求允許「應用程式存取權限」。很多人沒看清楚條款就允許了各種應用程式存取權限,之後才擔心「不知道資料會不會外洩?」。
由於智慧型手機處理的資料包含許多隱私相關資訊,因此會讓使用者選擇是否同意「應用程式存取權限」,並確認每個應用程式可使用的資料及該功能範圍。例如,「可拍照的應用程式」就會要求「使用手機相機的權限」、「將拍攝之照片存成檔案的權限」、「記錄影片聲音所需的麥克風使用權限」以及「記錄拍攝地點所需的位置資訊存取權限」等。
當你同意了 「應用程式存取權限」 ,會發生什麼事呢?以下簡單舉幾個例子:
1. 同意APP取得相簿中的相片–你的私人生活照可能在你不知情的狀況下被他人存取。
2. 同意麥克風收音–他人可監聽你在視訊或通話時曾經說過的話。
3. 同意 GPS 定位–他人可以輕易得知你目前所在位置、你曾經到訪的地方、你的生活圈以及生活習慣。
很可怕嗎?但其實想想,手機裡有多少APP曾經向你要求過權限呢?這些APP日積月累地記錄你的生活點滴,也同時讓你的生活在網路另一端過度曝光。
繼續閱讀電腦病毒在技術上來說,是一種會自我複製的可執行程式。大部份的電腦病毒都會有一個共通的特性:它們通常都會發病。當病毒發病時, 它很可能會破壞硬碟中的重要資料, 有些病毒則會重新格式化 (Format) 您的硬碟。
早期製作電腦病毒的目的,主要是為了癱瘓或破壞使用者的電腦,造成公司行號或社會的混亂,進而讓駭客可以在自己的圈子裡獲得名聲。
現代的病毒可能不會造成電腦系統的損毀,但是會讓使用者的電腦不知不覺就被侵入或操縱。 進而竊取使用者的資料,例如:個人資料、銀行帳號密碼、拍賣帳行、遊戲帳號,讓不法集團得利。
有價値的個人資料可能會有國家或地域的限制。所以不法組織為了竊取有價値的個人資料,可能會針對犯案的地區設計特殊的病毒。
對於現代人來說,電腦可說是不可或缺的重要工具,不過每每遇到電腦出問題,想要解決狀況其實並不是一件重要的事情,尤其是讓人聞之色變的病毒、木馬,一但「中標」就得付出龐大的代價來解決,尤其是寶貴的時間就這樣白白浪費掉了,實在是讓人覺得搥心肝啊!
另外除了防毒、防駭的煩腦,對於 3C 科技產品不是太靈光的朋友,也經常會因為這類產品的問題一個頭兩個大,像是電腦莫明其妙不能開機,或是買了印表機、無線路由器卻卡在安裝,甚至手機與 App 的使用也都容易成為浪費我們時間的重要元兇! ▲別以為網路上的駭客和你沒有關係,若是疏於網路安全防護,很可能你的個人隱私就會完全曝光!(圖片來源:Pexels )
2021 上半年趨勢科技攔截的電子郵件威脅、惡意檔案與惡意網址數量高達 409 億,較去年同期增加 47%。請參考完整報告「來自四面八方的攻擊:2021 上半年資安總評」(Attacks from All Angles: 2021 Midyear Security Roundup)。
勒索病毒仍是今年上半年最主要的網路資安威脅,根據趨勢科技的偵測資料顯示,2021上半年勒索病毒攻擊以亞洲地區為大宗,占了全球的60%。其中銀行產業遭勒索病毒攻擊的數量較去年同期暴增 1,318%。
除此之外,駭客集團依然持續瞄準大型機構發動攻擊,他們會與其他駭客合作來取得進入目標機構的網路存取權限,並運用「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊) 工具和技巧來竊取受害者的資料,然後再將資料加密。值得注意的是,現今的攻擊者善於使用「雙重勒索」攻擊手法威脅企業並竊取有價值的企業資料,除了要求支付贖金以換取資料解密之外,駭客還可能以洩露機密資料來威脅企業,對於擁有知識產權的企業將會是嚴重的問題,恐將面臨面臨監管處罰、訴訟和聲譽損失。
當企業邁向下半年時,回顧影響2021上半年的重大網路安全事件並從中學習會很有幫助。
駭客和勒索病毒 組織用一次又一次的大型攻擊轟炸了網路安全世界,讓受影響企業及其客戶在當今疫情下難以恢復。
在今年的前六個月,總計有近410億次惡意威脅被封鎖和偵測,包括檔案、電子郵件和網址。接下來是我們「來自各方位的攻擊:2021年中網路安全報告」裡所探討企業在這段期間面臨重大網路安全問題的資料概要。
勒索病毒的偵測數量減少了一半以上,從2020上半年的超過1,400萬次減少到今年同期的超過700萬次。但這並非表示勒索病毒不再是個緊迫的資安問題;事實上,勒索病毒繼續演變成更加惡毒的威脅。這展現了駭客如何從機會主義和以數量為主的模式轉向更具針對性的新型勒索病毒手法和大型對象獵殺。
上一代和新型勒索病毒都列在今年上半年的前十大勒索病毒榜單上。曾經疫發不可收拾的勒索病毒WannaCry( Wcry,想哭)勒索病毒儘管其偵測數量有顯著地下降,仍然位居榜首,另一方面,新型態勒索病毒,如DarkSide、REvil(又名Sodinokibi)和Nefilim因為駭客組織不斷改進其技術和勒索手法,偵測數量因而增加。