情人伴侶經常為自己挖的四個資安漏洞

臉書只是跟好友聊天抒發的平台?一個離婚官司案件,法官下令雙方將臉書 ( Facebook )密碼交給對方律師,進行相關蒐證 。
共享帳號密碼是給予對方承諾的最佳方式 ? 56% 的情侶都這麼認為, 但真實案例告訴我們,這後果有多慘烈 。
跟對方共用電腦很一般嗎?她竟讓自己的臉書密碼被換掉,還被上傳裸照!
拍下私密影像前,是否有被公開的心理準備?

情人節

丙對兩說:「你家什麼時候多了一個人,結婚了?」結婚,似乎是愛情故事最美的結局,但如同這句網路流傳的金句所言:「愛的力量大到可以使人忘記一切,卻又小到連一粒嫉妒的沙石也不能容納。」
於是戀人阿,請從現在開始熟記以下的四個戀愛資安守則,避免犯下以下列舉的錯誤,並謹記: 人,才是最大的資安漏洞。

1. 社群網站過度分享

被貼到社群網站的內容,現在也會被拿來在法庭聽證會上作為證據。像是在離婚過程中,會利用上傳到 Facebook 的照片來證明丈夫的不忠。

在這個案例中美國法官命令1對離婚夫妻互換Facebook密碼,法院下令,申請離婚的夫婦必須向對方提供所有社交網站的密碼,以便於雙方律師能夠登錄尋找指控證據。根據法庭的命令,夫婦雙方都被禁止修改社交網站密碼,也不能刪除任何資訊。另外,他們也被禁止用對方的帳號發佈消息,弄虛作假或抹黑對方。

繼續閱讀

《看漫畫談資安》旅行時,使用標註記號(#)有何不妥?

全家計畫出遠門旅行度假時,大多數人都會花點時間去確認房子是安全的。我們可能會請鄰居過來幫忙收信、開關窗簾,並且會全部巡過一遍。我們會鎖好所有的門窗,甚至可能會設定計時器來定時開關燈,讓別人以為房子內還是有人在的。但是當我們旅行時,我們會同樣精明地去維護我們數位生活的安全嗎?

家裡長時間空著沒人的這段期間,在Facebook 或 Twitter、 Instagram、實況直播應用程式等社群網站上進行貼文時應特別留意,一不小心極可能被闖空門。

旅行時,使用標註記號(#)有何不妥?旅遊時的社群安全備忘錄
旅行時,使用標註記號(#)有何不妥?旅遊時的社群安全備忘錄
旅行時,使用標註記號(#)有何不妥?旅遊時的社群安全備忘錄
旅行時,使用標註記號(#)有何不妥?旅遊時的社群安全備忘錄

 利用 Facebook 臉書等社群網站來秀自己的假期有多精采是讓人無法拒絕的誘惑。炫耀自己的旅遊體驗肯定是很有樂趣的。但是不要忘了,你在社群網路上所分享的內容可能會比你預期的被分享得更加廣泛。分享照片、利用GPS來打卡自己的位置或是敘述自己會享受多久的陽光等細節,就像是在你家屋頂上架一個超大的霓虹燈,亮著「沒人在家」。

想要分享自己的旅程,就等到回家再來做。而且,幹嘛要花假期的時間來上社群網站呢,不是應該好好享受嗎?

你是否會在多數不特定的社群網站上寫下,「旅行中」、「從O號至O號為止停留在O」等的留言呢?在社群網站上,不知會被誰?為了何種目的所瀏覽。在網路上公開旅途中所發生的事或是旅行計畫內容,宛如在你家屋頂樹立個大跑馬燈大肆昭告天下: 「現在家裡沒有人!」。不但可從過去的社群貼文及個人簡介、追蹤資訊或是交友關係等被判斷出住家地址,極可能被歹徒闖空門。

繼續閱讀

「你的IG 帳號出現非法登入活動」一點選帳號就被盜!

雙因子身份認證(2FA)早已成為使用者提升網路帳號安全一個非常簡便好用的方法。但即使這樣,雙重認證卻無法百分之百防範駭客的攻擊。事實上,網路犯罪集團正利用雙重認證通知簡訊來詐騙 Instagram 的使用者,目的是要騙取使用者的帳戶登入憑證。
[延伸閱讀:Machine learning-powered security technology can help stem the tide of credential phishing]

這起相當奸詐的網路釣魚攻擊會先發送一封電子郵件給受害者,告知其 Instagram 帳號出現非法登入活動。要受害者透過該連結至 Instagram 的網頁來確認其身分,點進去後,會導到看似IG 官網的釣魚網站,並假裝雙重認證要求輸入6 位數驗證碼。

網址與登入頁面露出馬腳!

儘管歹徒費盡心機地模仿了 Instagram 的網頁,但其網址還是透露出這是一起網路釣魚詐騙,因為該網址的頂層網域名稱為「.cf」,這是中非共和國的網域代碼, IG 正確官網網址:https://www.instagram.com。
還有另一個詐騙徵兆是該網頁並未提供透過 Facebook 登入的按鈕。但如果平常就不用 Facebook 帳號來登入 Instagram 的使用者,或許不會注意到這點。

繼續閱讀

《資安漫畫》拍照上傳社群網站,路人甲一起入鏡,沒關係嗎?

 

 

日乘客把涉電車性騷影片上傳 ,恐也觸法?!

近日有一則新聞日國中生電車涉性騷 同車旅客偷拍上傳恐也觸法,日本一名男學生故意在電車上製造書包內物品散落地板的假象,在混亂藉以偷看女子裙底風光,甚至去觸碰女學生,全程行徑都被乘客拍下後上傳社群網站 Twitter (推特),該男行為引發熱議,影片也意外引發偷拍恐觸犯日本刑法41條。

在台灣也有類似的討論根據 ETtoday新聞 報導,就讀王姓研究生與李姓女友交往期間,未經過同意偷拍 17 次私密照及影片上傳到雲端相簿,女友發現後罹患躁鬱症,一審被判處10個月有期徒刑,王姓男子上訴,卻被二審法官駁回打臉。

在幾乎人人都有智慧型手機的年代,還是提醒大家未經同意擅自將他人照片上傳到網路,當心會有侵害照片中人肖像權之虞。

自拍也有風險

趨勢科技針對668位網友「媽呀,上傳了什麼照片這麼糗 !」三大自拍風險 你犯了幾項?調查結果發現,榮登照片分享的三大風險王分別為:

(一)出國時 PO 登機證打卡文 個資全都露

(二)拍照時開了定位功能,曝露所在位置

(三)分享照片時除曝光位置也將手機型號洩露出

網友最想跟喜歡拍照上傳照片的媽媽說的六件事,依票數排行依序是:

  1. 檢查照片後再上傳( 別犯了跟英國威廉王子同樣的錯誤)
  2. 不要出賣我的童年(上傳我小時候的裸照/糗照還標籤我)
  3. 媽,你是最美的媽媽,不需要美圖 APP
  4. 下次在家自拍時請通知可能不小心入鏡的人(尤其是我在上廁所時)
  5. 媽,你按到錄影了
  6. 不要跟別人上傳的母親節聚餐照較勁 我的心意最重要

繼續閱讀

駭客利用 Twitter 發送 Meme迷因梗圖,藉圖像隱碼術( Steganography )躲避偵測

圖像隱碼術(Steganography) – 將惡意檔案藏在圖片中來躲避偵測的方法,一直以來都被駭客用來散播惡意軟體或進行其他惡意攻擊。趨勢科技最近發現有駭客在「MEME」迷因圖(梗圖)上使用了這種技術。在10月25日和26日,攻擊者透過一個在2017年建立的 Twitter 帳號發表了兩條包含惡意Meme迷因圖的推文。圖內嵌了命令,讓惡意軟體從惡意 Twitter 帳號下載到受害者電腦後加以解析。變成電腦內惡意軟體的C&C服務。但要注意的是,惡意軟體並非從 Twitter下載,我們也沒有觀察到惡意軟體是用哪種機制散播給受害者。

 

編按:「Meme」指在網路上快速傳播擴散的爆紅內容,也有用發音/miːm/直譯為「迷因」, Meme圖通常指具有某種梗的圖片。

 

這個新威脅(偵測為TROJAN.MSIL.BERBOMTHUM.AA)值得注意的地方在於,惡意軟體透過合法服務(也是熱門的社群網路平台)接收命令,使用看似正常實為惡意的Meme迷因圖,而且除非關閉惡意Twitter帳號,不然無法中斷此威脅。Twitter在2018年12月13日已經關閉了該帳號。

隱藏在所提到圖片中的命令是「/print」,指示惡意軟體擷取受感染電腦的螢幕截圖。螢幕截圖會被送到駭客控制的C&C伺服器(利用pastebin.com來取得網址)。

截取受感染電腦螢幕截圖回傳給駭客

趨勢科技發現,一旦惡意軟體在受感染電腦上執行,就會將從Twitter帳戶下載惡意Meme迷因圖到受害者電腦上。接著會取出圖內所藏的命令,在此次案例中是「print」命令,讓惡意軟體截取受感染電腦的螢幕截圖。接著惡意軟體會從Pastebin取得C&C伺服器資訊。再將所收集的資訊或命令輸出上傳到指定網址,傳送給攻擊者。

圖1、顯示Pastebin網址的惡意軟體程式碼

 

在分析過程中,我們看到Pastebin取得的網址指向內部或私有IP地址,這可能只是攻擊者臨時的設定。

圖2、Pastebin取得的網址指向私有IP地址

繼續閱讀