「你的IG 帳號出現非法登入活動」一點選帳號就被盜!

雙因子身份認證(2FA)早已成為使用者提升網路帳號安全一個非常簡便好用的方法。但即使這樣,雙重認證卻無法百分之百防範駭客的攻擊。事實上,網路犯罪集團正利用雙重認證通知簡訊來詐騙 Instagram 的使用者,目的是要騙取使用者的帳戶登入憑證。
[延伸閱讀:Machine learning-powered security technology can help stem the tide of credential phishing]

這起相當奸詐的網路釣魚攻擊會先發送一封電子郵件給受害者,告知其 Instagram 帳號出現非法登入活動。要受害者透過該連結至 Instagram 的網頁來確認其身分,點進去後,會導到看似IG 官網的釣魚網站,並假裝雙重認證要求輸入6 位數驗證碼。

網址與登入頁面露出馬腳!

儘管歹徒費盡心機地模仿了 Instagram 的網頁,但其網址還是透露出這是一起網路釣魚詐騙,因為該網址的頂層網域名稱為「.cf」,這是中非共和國的網域代碼, IG 正確官網網址:https://www.instagram.com。
還有另一個詐騙徵兆是該網頁並未提供透過 Facebook 登入的按鈕。但如果平常就不用 Facebook 帳號來登入 Instagram 的使用者,或許不會注意到這點。

繼續閱讀

網路釣魚進化成 AI 語音釣魚,偽裝老闆聲音騙走 770 萬台幣!

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 是一種針對企業進行匯款支付詐騙的精密騙局,通常偽裝成公司內的高階經理或往來客戶的名義向公司員工寄出郵件,且網路犯罪者會事先準備好銀行帳號,再指示員工匯款。 北市某貿易公司業務經理的電郵帳號遭仿冒,宣稱上游供應商要求變更匯款帳戶,逕行匯款,損失折合台幣近百萬元。
不過令人更憂心的是,針對企業的網路釣魚( Phishing ) 匯款詐騙已經進化到語音釣魚( Vishing )了!

《華爾街日報》報導,新型的詐騙透過 AI 合成的語音,一家英國能源公司主管以為接到德國總公司執行長來電, 因為對方操著德國口音,語調也跟他熟悉的德國總公司 CEO 幾乎一樣,因此不疑有他,就把款項轉了過去, 被騙走了 22 萬歐元(近台幣 770 萬元) 。

「媽.我被打了,快送錢來」這個台灣人熟悉的詐騙模式,會不會將來也被 AI 機器人取代,用更逼真的對話、語調進行更高效率的詐騙?

調查報告指出,從 2013 年到 2017 年,語音詐騙增長了 350%,其中每 638 個詐騙電話中就有一個是機器合成的。

繼續閱讀

「你在瀏覽色情網站時,已被側錄」駭客威脅不給錢,就公開

ChaosCC 駭客集團精心策劃性愛勒索騙局,要求受害者支付 700 美元的比特幣

ChaosCC 駭客集團精心策劃性愛勒索騙局,要求受害者支付 700 美元的比特幣

根據最近一篇報導,一個名為「ChaosCC」的駭客集團在一起電子郵件詐騙當中向受害者表示他們已經駭入受害者的電腦並錄下受害者在觀賞色情網站時的過程。根據 Bleeping Computer 的報導,在這起性愛勒索詐騙中,歹徒要求受害者支付價值 700 美元的比特幣 (Bitcoin)。

駭客反諷:下次逛色情網站時務必將裝置相機貼起來

這場性愛勒索騙局,受害者會先收到一封宣稱來自 ChaosCC 駭客集團的電子郵件 (該集團並非白帽駭客團體 Chaos Computer Club,切勿搞混)。

如同之前類似的詐騙,歹徒先利用電子郵件告訴受害人其帳號已被 (寄件人) 入侵。接著,再利用受害者在網路上的「性愛冒險」來恐嚇受害者。

郵件會告訴受害者,當他們在瀏覽色情網站時,裝置的相機已自動開啟並錄下他們觀賞色情內容的過程,並宣稱這段錄影已自動上傳到駭客集團的伺服器。最後,郵件會警告受害者如果不匯 700 美元到駭客的比特幣錢包,就要將這段錄影發給受害者通訊錄上的聯絡人。

繼續閱讀

充電線別亂用,可能引發你生活危機

隨意使用來路不明的充電配件,除了先前 趨勢科技旗艦服務 3C 好麻吉 討論過的充電安全性外,更有可能會有資安上的風險。

美國聯邦調查局 (FBI)做出提醒,偽裝成USB充電器的盜錄裝置 KeySweeper,可以透過 Wi-Fi來竊取從 微軟系統的無線鍵盤上的行為,若是被放在辦公室或住家中,可能會讓自己的行蹤被他人側錄或是用於取得商業機密、個人資料、信用卡資料等藉此獲利,因此美國聯邦調查局(FBI)建議限制無線鍵盤的使用或是確保充電器的安全性,避免偽造的充電器在生活中流竄。此外,這些資料是由鍵盤傳出,可能還未送到中央處理器(CPU)中就被攔截,可能讓安管人員追蹤不到訊號被傳送去哪個地方。


相關報導:FBI:小心偽裝成USB充電器的盜錄裝置KeySweeper

外觀跟蘋果原廠一模一樣的Lightning 線,一接上就被駭!

你有沒有想過每天使用的手機充電線沒想像中的那麼安全嗎?

一條外觀跟蘋果原廠一模一樣的Lightning 線,不僅可以正常充電與傳輸資料,iPhone 或電腦也無法偵測到異常,但在2019 Defcon世界資安大會上資安研究員 Mike Grover 公開展示的自製代號為「O.MG」的改裝 Lightning 線卻內含 Wi-Fi 無線晶片,當它連接裝置時就會變成一個 Wi-Fi 熱點,可竊取裝置密碼甚至進行遙端操縱,只要把這條線插進iPhone 或電腦,就能趁機竊取資料。

Mike Grover 表示這種線存在於市場上已經很長一段時間了而且其他 USB 線材也能運用這類技術。

繼續閱讀