行動應用程式(Mobile applications)在我們日常生活當中發揮了莫大的幫助,不僅讓我們隨時隨地都能發揮更高的生產力,而且讓我們很輕鬆地和家人、朋友及工作夥伴溝通並分享資訊。而活絡的行動應用程式市集,更是不斷帶來針對我們各種需求的應用程式。這一切聽起來雖然很棒,但也不是沒有隱藏的風險。
Apple 的 iOS 應用程式商店 App Store對應用程式的審查相當嚴格,因此讓應用程式相對安全。但 Android 的應用程式卻無法具備相同的安全性,主要原因在於 Google Play 的應用程式審查程序較為寬鬆,而且那些非官方的 Android 應用程式商店就更加寬鬆,甚至毫無審查機制可言。所以,有些行動應用程式會出現一些可疑的行為,例如一些惡意的應用程式會即時拷貝使用者裝置上的資料,然後傳送至網路犯罪集團的伺服器。惡意應用程式會暗中在行動裝置背後默默執行,一般使用者在正常使用情況下通常不會留意。
繼續閱讀本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞
小米監視器爆漏洞 竟能看陌生人睡覺 台灣蘋果日報網
Travelex遭駭客勒索300萬美元 iThome
被駭超過20次卻不知不覺的InfoTrax與FTC和解 iThome
揭開瑞士政府的「護民主」藍圖;教4歲小孩資訊安全與隱私 報導者
WhatsApp 通知恐怖份子帳號被駭,使歐洲政府調查受阻 INSIDE
趨勢2020資安預測報告 縱深防禦乃雲端最有效防護 Ctimes
招搖的Maze勒索軟體駭客集團被告上法院了 iThome
亞馬遜申請手掌辨識專利,顧客掃描手掌就可在超市結帳 科技新報網
【駭!公民專欄】港府利用eID追蹤遊行者,你敢換數位身分證? 天下雜誌網
星巴克因員工重大疏失,導致內部系統API金鑰置於GitHub公開資料夾 iThome
微軟:RDP暴力破解平均持續2-3天,成功率不低 iThome
繼續閱讀
合作無間是任何一家企業機構成功的重要關鍵,而且對於致力共同保護這個連網世界安全的我們來說更是如此。這就是為何趨勢科技一直積極向外尋求產業合作,希望共同建立一個更安全的世界,並且提升客戶所受到的防護。我們與 Microsoft 數十年來的密切合作就是最好的具體實踐。
也正因如,能夠參加今年二月即將舉行的 Microsoft Security 20/20 頒獎典禮,趨勢科技倍感榮耀,而且我們還入圍了兩個最受尊崇的獎項。
沒有任何機構能夠憑空獨立存在,在今日,高科技與網網相連的環境是企業最大的力量來源,但同時也是最大的弱點。趨勢科技從成立的第一天起即秉持著讓客戶所處的世界更加安全的使命。但我們也很早就意識到,要實現這樣的願景,大家必須彼此合作。因此我們與全球頂尖科技平台和科技大廠密切配合,提供融入其環境、並為其環境最佳化的防護。
身為 Microsoft 的金級應用程式開發合作夥伴 (Gold Application Development Partner) 我們與 Microsoft 的合作行之有年,目的是要確保我們的防護能與其產品密切整合,確實保護 Azure、Windows 及 Office 365 的用戶,涵蓋端點、伺服器、電子郵件及雲端。這一切都是為了創造簡化、最佳化、專為支援企業靈活性及成長而設計的防護。
行動銀行應用程式讓使用者可以很方便地查看帳戶餘額、執行轉帳或支付帳單,因此很快就在各大銀行掀起旋風,成為銀行的一項標準服務。然而,為了讓使用者在交易時能更快、更有效率,銀行正不斷開發一些更花俏的功能和服務。此外,一些其他最新崛起的網路支付服務,例如 PayPal 的 Venmo,或是 Square 的 Cash 應用程式,也正如雨後春筍般冒出。許多消費者都看上了這類應用程式所帶來的速度和便利性。
不過,隨著這類應用程式逐漸獲得市場青睞,網路犯罪集團也隨之而來。
駭客有各種不同的方法可能危害行動銀行的使用者,從提供冒牌應用程式與暗中窺探,到經由惡意網路連線或使用偷來的帳號登入憑證來攻擊使用者,而且這些都還只是冰山一角。此外,銀行木馬程式也在 2019 年開始變得更為進化、更加精明。例如,Aunbis 惡意程式自 2018 年首次問世以來便持續不斷更新。2019 年,它加入了動作感應功能來躲避資安軟體的沙盒模擬分析,並且透過重疊畫面的方式來竊取使用者個資。今年 8 月,銀行惡意程式 Trickbot 發動了一波挾帶惡意附件的垃圾郵件攻擊。近期一點,還有專門散布 Ginp 木馬程式的冒牌應用程式出現,專門竊取使用者的登入憑證和信用卡資訊。
由於銀行應用程式與使用者的銀行帳戶通常有著密切的關聯,甚至直接與銀行帳戶連結,所以成了網路犯罪集團鎖定的目標,為此,使用者應將安全列為第一考量。以下提供一些保護行動銀行應用程式的秘訣和原則,希望能協助建立更完善的防禦來防範各種數位威脅。
一直按「取消」和「關閉」彈跳視窗都關不掉! 新技術支援詐騙利用iframe 凍結瀏覽器 ,如果你經常瀏覽本部落格的文章,你就會知道駭客是很堅定的一群人,會使用各種工具和策略來竊奪你的身份和辛苦錢。技術支援詐騙(Tech Support Scams,TSS)就是其中一種, 上述的案例只是眾多伎倆之一 。微軟客戶服務在2017年收到153,000份關於此類詐騙的報告,比前一年增加了24%。有許多人因此損失了數百美元。
但是這類威脅的真正規模可能還要大上許多倍。
如果你還不知道什麼是技術支援詐騙以及該如何保護自己,這份指南會提供你所需要知道的一切。
技術支援詐騙的目標是各種裝置、平台和軟體的使用者,有著許多不同手法。一般來說,騙局中會包括有網路元素及電話,偽裝成來自可信賴公司(如Microsoft或你的電信業者)的技術支援人員。他們試圖騙你相信自己的電腦有問題,這樣就會同意付錢(和信用卡詳細資料)來「修理」,或讓他們遠端連到你的電腦 – 讓他們可以偷偷地安裝資料竊取惡意軟體。
以下是技術支援詐騙主要的兩種起始方式:
他們通常會說服你下載特定工具好讓他們遠端連到你的電腦。接著他們會假裝你的電腦中毒並要求付錢移除或購買無用的維護合約、服務或安全包。諷刺的是,讓他們連到你的電腦反而讓詐騙者有機會下載真的病毒來竊取更多個人資料。