2018年不可思議14個駭客入侵手法懶人包

2018 年有哪些不可思議的駭客攻擊手法?根據  iThome Security粉絲專頁在 7 月貼文敘述:「在新興資安威脅中,也有一些可能帶來威脅但看似冷門的技術。像是近日,有研究人員利用中階的熱感攝影機,可在一分鐘內蒐集到鍵帽上殘留的餘溫,便能蒐集到使用者剛輸入的密碼。記得,在去年臺灣資安大會上,也曾經有專家分享,用生活中無線訊號感知的研究。像是家中房間有一臺無線路由器,而使用者在這樣的空間用電腦打字,這時訊號會受到某種程度都卜勒效應干擾,因此打字的動作將反應在此訊號上,再傳送到接收端,而這個現象可以被觀察到,如果建立起一個模式,就有可能一一區分使用者現在正在按哪個按鍵。資安威脅真的是無所不在。

今年無所不在的新興資安威脅有哪些?本文從 2018年媒體或本部落格報導的資安新聞中整理了四大類不可思議的攻擊手法,讓我們繼續看下去:

失「手」竟會外洩密碼

  • 手指按壓過的鍵盤餘溫,竟會洩漏密碼 !
  • SIM卡劫持,讓你的手機無法打電話或上網,Google、FB帳戶密碼也被竄改
  • 「一指」ATM 領款好方便,又安全!?日專家:數位相機拍下手掌照片就可在 10 分鐘內解讀出手指靜脈圖
  • AI 可產生假指紋以假亂真

「聽」力超強的駭客攻擊

  • 「海豚攻擊」(Dolphin Attack)的技術,可向智慧語音助理,發送人耳接收不到的聲音
  • 「Mosquito」(蚊子) 概念驗證攻擊,可利用喇叭或耳機從連網或隔離的電腦將資料外傳
  • 只靠控制電流噪音就能「聽」出你的螢幕內容
  • 喇叭或耳機可將電腦資料外傳

萬物皆聯網 萬物皆可駭

  • 結帳櫃檯的網路攝影機,偷拍信用卡資料
  • 信用卡資料外洩,付款時網路攝影機搞鬼!
  • 好脆弱!大聲一吼電腦系統就崩潰了

崩潰了!這樣也能駭

  • 不連網也中招!利用電線傳遞電流的變動,盜取電腦數據
  • 閉關修練! 數百名囚犯利用電子系統「JPay」漏洞,聯合竊取22.5萬美元(約台幣689萬元)

 

 

失「手」外洩密碼

1.手指按壓過的鍵盤餘溫,竟會洩漏密碼 !

中階熱感攝影機,可利用鍵帽上殘留餘溫,蒐集使用者在一分鐘內輸入的密碼。

如果你輸入密碼後就立刻離開座位,密碼可能立馬被人竊走。

加州大學艾爾文分校(University of California, Irvine, UCI)研究人員發展出以熱感攝影機量測手指留在鍵盤上的餘溫,藉此竊取密碼。此攻擊手法,可在輸入密碼後一分鐘內,利用中階熱感式攝影機蒐集到鍵帽上被按壓過的溫度。

●原文參考來源: IT  Home

繼續閱讀

從中攔截:能源與水資源基礎架構漏洞

能源與水資源是我們生活當中最重要的兩大關鍵基礎架構 (Critical Infrastructure,簡稱 CI)。近年來,這兩大產業皆經歷了一些必要的變革以因應科技的最新發展,同時也改善天然資源開採及輸送的方式。目前,這些變革正朝著連網系統的方向發展 ,尤其開始整合了工業物聯網 Industrial Internet of Things (IIoT) 技術。能源與水資源產業的持續發展,已讓個人和企業獲得更有效率、也更穩定的資源供應。然而,卻也因為如此,想要妥善保護這些關鍵基礎架構背後的系統,也變得更加困難。隨著 CI系統的漏洞不斷增加,尤其是監控與資料擷取 (SCADA) 系統人機介面 (HMI) 的漏洞,我們有必要好好檢視一下這些關鍵產業所面臨的風險。

我們經由公開來源的情報 (OSINT) 即可一窺能源與水資源產業所面臨的一些問題。藉由網際網路搜尋引擎 (主要為 Shodan) 與實體定位技術,趨勢科技找出了許許多多暴露在外且容易遭到攻擊 HMI 系統,這些全都屬於中小企業所有。這顯示了網路資安對整體供應鏈的每一階層以及每一基礎架構產業有多麼重要。

完整的調查結果與相關影像,請參考趨勢科技的完整報告:「暴露在外而可能遭受攻擊的基礎架構:能源與水資源產業」。本文將列舉幾個我們在全球各地一些能源與水資源相關產業發現暴露在外的 HMI 系統,以及這些案例將對基礎架構供應鏈帶來什麼影響。

暴露在外而可能遭受攻擊的 HMI 系統

在水資源產業,我們在全球各地都發現一些暴露在外的 HMI系統。這些系統包括各種水資源系統的監控介面, 例如:水加熱、地熱、抽水、水過濾、海水逆滲透及消毒等等。 繼續閱讀

Google Play出現假語音應用程式,竊取姓名電話住址等個資

趨勢科技注意到Google Play上有好幾個偽裝成語音訊息平台的App(應用程式),會自動跳出假調查和進行欺詐性廣告點擊。這些惡意應用程式變種從10月開始陸續出現,未來可能發動殭屍網路等惡意攻擊。雖然目前感染數量仍不大嚴重,但因為其快速的發展及在行動生態系內的散播行為,仍須持續觀察相關應用程式上傳和使用者下載的狀況。

來自七個已知應用程式ID的所有樣本有著相似的編碼和行為,令人懷疑網路犯罪分子還在開發其他模組並將部署更多的惡意應用程式。

botnet fake voice messenger app google play_1

圖1、上傳到Google Play上偽裝成語音訊息應用程式的其中之一

繼續閱讀

【 2018資安事件回顧】運動賽事威脅:2018 世界盃足球賽帶給我們什麼啟示?

像世界盃這麼大的賽事總是會引起安全上的問題,而且不光場地、觀眾、運動員、各國代表等實體人身安全需要注意,數位安全也同樣重要。

今年六至七月所舉辦的第 21 屆世界盃足球賽 (FIFA World Cup),是史上最多人觀看的運動比賽之一,全球將近半數人口皆緊盯著螢幕收看這場足球盛會,光數字就令人乍舌。除了收視人口之外,俄羅斯更斥資約 120 億美元來舉辦這場賽事。當然,國際足球總會 (FIFA) 和其他主辦單位也因而進帳數十億美元。在規模方面,世界盃足球賽是世界上少有其他活動能夠匹敵的賽事。

當然,像這麼大的賽事,總是會引起安全上的問題,而且不光場地、觀眾、運動員、各國代表等實體人身安全需要注意,由於大型運動賽事在網路上同樣相當受到關注,例如第 51 屆超級盃 (Super Bowl LI) 即創造了 2.4 億次臉書互動與近 2,800 萬則推特訊息,因此線上安全也同樣重要。

運動賽事與網路犯罪

網路犯罪集團趁著大型運動賽事舉辦的期間犯案早已不是什麼新聞。像這麼盛大的活動,正是網路犯罪集團海撈一票的最佳時機。在近幾年的大型運動賽事當中,最受網路犯罪集團關注的莫過於奧林匹克運動會世界盃足球賽

[延伸閱讀:Sports-related cybercrime examples]

這些攻擊行動通常會利用一些屢試不爽的犯罪工具和技巧 (如垃圾郵件網路釣魚) 來誘騙那些沉醉在歡樂氣氛當中的使用者。在今年的世界盃足球賽期間,我們發現了幾個相當厲害的社交工程詐騙範例,成功引誘了使用者下載惡意程式。這些攻擊儘管相當單純,但卻經常能夠成功,原因就在於人們的好奇心以及龐大的關注人口。

Android 惡意程式偽裝成影音串流應用程式

全球有數百萬人無法經由官方頻道來觀賞賽事,因此他們會尋找一些可讓他們免費即時觀賞比賽的影音串流應用程式和網站。所以,數千人同時透過某個應用程式來觀賞同一場比賽的情況也就不令人意外。其中一個我們發現的影音串流應用程式 (趨勢科技命名為 AndroidOS_DarDesh.HRX),表面上看似正派,但其實暗地裡會散布 Android 惡意程式。

此應用程式是透過一個專門介紹熱門球員 (如梅西和羅納度) 的網站來散布:

當然,該網站還提供了一些使用者所沒料到的內容。當使用者在 Android 裝置上點選網頁上的「Download Now」(立即下載) 連結時,就會下載並安裝一個惡意程式。

此惡意程式會出現各種惡意行為,包括搜尋和竊取感染裝置上的各種資訊:

  • Android 裝置名稱
  • 定位資訊
  • 發送和接收到的簡訊
  • 暗中側錄電話內容的音訊檔
  • 外接裝置上的檔案 (PDF、txt、doc、xls、xlsx、ppt、pptx)

繼續閱讀

趨勢科技歷年來打擊網路犯罪成果

趨勢科技與美國特勤局聯合研究專案捍衛全球網路安全超過十年 ,請檢視以下時間表,瞭解在公私部門合作下,歷年來打擊網路犯罪的重大成果。

信用卡盜刷時代 :2000-2010 年

地下網路犯罪的發展,可能是源自俄國的信用卡盜刷論壇和市場,罪犯透過這些途徑,將遭竊的支付卡資訊提供給有心人士,以供進行身分竊盜或釣魚式攻擊。支付卡持有人經常遭受釣魚式攻擊,使得網路罪犯可以無限制地存取其個人識別資訊 (PII)。遭竊的詳細資訊會出售給其他罪犯,供其生產偽造支付卡。這些網站中最龐大的可能是 Dmitry Ivanovich Golubov 和 Roman Vega、Vladislav Anatolievich Horohorin 在 2001 年共同建立的 CarderPlanet

 

2003 3

    • CarderPlanet 首腦 Vega (又名 Boa/Roman Stepanenko/Randy Riolta/RioRita) 在塞浦路斯被捕並引渡回美國
    • 美國特勤局

2004 10

    • 28 名涉嫌參與 CarderPlanet 和類似網路的罪犯被捕 (21 名在美國,另 7 名在 6 個不同國家)
    • 美國特勤局及夥伴

2005 7

    • CarderPlanet 創始人 Golubov (又名 Script) 被捕
    • 美國特勤局與烏克蘭政府

2007 8

2009 1

    • CarderPlanet 首腦 Vega 俯首認罪
    • 美國特勤局

2009 5

2010 3

2010 8

    • CarderPlanet 首腦 Horohorin (又名 BadB) 在法國被捕並引渡回美國
    • 美國特勤局與法國政府

資料外洩年:2011年

2011 年受封為「資料外洩年」,全球企業受創於目標型漏洞攻擊,並損失了價值形同於「新型數位貨幣」的寶貴資訊。這一年對於資安產業倍具挑戰,若干受害企業遺失機密資料,並花費大筆金錢彌補損失,導致商譽受損。RSA 與 Sony PlayStation 等受害者別無選擇,只能公開揭露基礎設施遭到攻擊的事實,以確保客戶獲得適當的補救方案。 繼續閱讀