2015金毒獎得獎名單揭曉:「勒索軟體肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件

 

2015 金毒獎票選結果

 【2015 年 12 月 28日台北訊】全球雲端資安廠商趨勢科技一年一度的金毒獎得獎名單火熱出爐,超過千名網友票選,「iOS漏洞」與「勒索軟體肆虐台灣」事件備受網友關注,而「駭客入侵網路攝影機 遠端偷窺女性」則讓大眾人心惶惶。此外,「中小企業郵件訂單」、「Windows 10免費更新通知」以及「手機簡訊」都淪為駭客犯罪的工具,透過散佈惡意連結、釣魚網址或木馬程式,誘導民眾點擊並竊取個資。趨勢科技預測,駭客攻擊技巧會不斷隨著周遭環境蛻變,更新、更精密的攻擊方法將持續出現,呼籲民眾需持續提升資安意識,了解駭客攻擊手法以降低誤觸資安地雷的風險。

勒索軟體攻擊手法全面進化 企業、民眾防不勝防  iOS、Android漏洞好毒!廣大行動用戶深受其害

今年發生多起Android及iOS行動裝置漏洞遭駭事件,而勒索軟體攻擊手法不斷進化,讓較無資安意識的民眾與企業成為駭客眼中的肥羊。趨勢科技邀請網友針對2015年所發生的資安大小事進行投票,選出讓人印象深刻的金毒獎得主,根據票選結果顯示,大眾一向較為安心的iOS系統發生數起漏洞,「iOS安全神話一再破功」高票當選《駭人聽聞獎》,在今年攻擊數量大幅提升的「勒索軟體肆虐台灣」則獲得《年度驚世駭俗獎》;「假免費獲得Windows 10 更新通知信暗藏勒索軟體」消息則是駭客最喜歡的攻擊誘餌,以36.1%壓倒性得票率高票當選《最駭新人獎》,顯示網友對於駭客攻擊途徑與工具變得如此多元頗有所感在新的一年對於維護自身的資訊安全也更能提高警覺,輕鬆享受數位科技,連網安心不擔心!

 

2015趨勢科技金毒獎得獎名單如下:

過去資安攻擊事件相對較少的iOS系統,今年也成為駭客攻擊的目標之一,包括XcodeGhostYiSpecter惡意程式感染事件,建議使用者應隨時更新作業系統和應用程式到最新的版本,以降低可能有未修補漏洞的風險。

 

勒索軟體 Ransomware數量於今年大幅提升,2015上半年台灣遭遇勒贖軟體攻擊次數是2014年的三倍 ,預測明年攻擊情勢會更嚴重,消費者與企業都需提高警覺。

勒索軟體



 

PCC2016_1Y3U_TW box

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密)!即刻免費下載試用

 

 

 


 

隨著物聯網普及,可連網的裝置都成為駭客攻擊的目標,駭客入侵私人家用監控平台偷窺事件時有所聞,讓人冷汗直流,家用網路安全性需更加重視。

DLP3

繼續閱讀

「為何有這麼多資料外洩是因為裝置遺失導致?」

解構資料外洩事件:妥善保護您的裝置

趨勢科技 稍早曾發表了一篇名為「揭開五個資料外洩的迷思」的研究報告,深入探討資料外洩背後的發生原因。該報告的目的是希望針對資料外洩做一次深入的剖析,讓企業機構更了解這項問題的本質以及如何加以防範。

mobile 手機 nb usb

報告刊出之後,獲得了大量的迴響,而且不只一位讀者問:「為何有這麼多資料外洩是因為裝置或物品遺失/失竊造成?」這是一個非常關鍵的問題,根據我們的觀察,物品遺失/失竊所造成的資料外洩 (不論電子檔或書面資料) 大約占了所有案例的一半以上。

圖 1:資料外洩事件的發生原因。

因為物品遺失/失竊而導致資料外洩情況有很多種,例如:裝置 (桌上型電腦、筆記型電腦、平板、智慧型手機) 或儲存媒體 (行動硬碟、USB 隨身碟、光碟) 隨意亂放、員工不小心遺失、或者被歹徒偷走。由於企業不可能將這些物品牢牢銬在員工身上,因此這類事件很難避免。

不過,沒有任何特定產業是這類遺失/失竊案件的最大受害者,該報告觀察到的所有產業都存在著這項問題。這些事件絕大多數都可歸諸於人為疏失或是因為歹徒太容易得逞:歹徒在街上看到有機可乘就會隨手帶走您的筆電,他才不管上面有什麼資料。就連一些沒有什麼轉手價值的物品 (例如行動硬碟和隨身碟),同樣也會成為一些輕罪竊盜案的目標。至於企業機構高階主管的裝置,則可能會成為特殊竊賊的鎖定對象,但這類攻擊的數量遠不及一般日常發生的遺失和竊盜案件。

物品遺失/失竊占了資料外洩問題相當大的比例。或許,經由網路的資料外洩可能更為嚴重,也更容易成為媒體焦點,但物品遺失或失竊卻更常發生。那麼,企業該如何解決這項問題?

盡量「減少」物品遺失/失竊的機率不失為一種辦法。除了提醒員工小心照顧自己的裝置之外,也可以借助科技的力量。無線標籤技術 (例如藍牙或 NFC) 可協助使用者注意自己隨身攜帶的物品。這類標籤一旦離開主裝置一定距離以上,就會發出警報,而主裝置通常是一台智慧型手機再搭配一個監控標籤所在距離的應用程式。 繼續閱讀

什麼是資料外洩?從五個資料外洩案例,認識事件發生原因、外洩資料類型與資料流向

一班 通用 資料外洩 data-breach-101

今日似乎已經開始走到一個人們對資料外洩事件逐漸麻木的時代。因為,新聞上三不五時就會有企業出面表示自己遭到駭客入侵,接著就是說明受害的影響範圍以及他們正在如何善後。其實,資料外洩是一項社會大眾應該仔細關心的問題。因為資料外洩很可能造成數百萬筆個人記錄和敏感資料外流,而且受影響的不光只有遭到入侵的企業而已,甚至包括每一個資料遭到外洩的人。

何謂資料外洩事件?

所謂資料外洩事件,是指駭客入侵某個資料來源並且偷走敏感資料的事件。竊取的方式包括直接進入企業內部然後偷走電腦或網路上的檔案,或者從遠端突破企業的網路安全防禦並進入其網路內部竊取資料。企業遭駭客攻擊的情況多半為後者,一般來說,資料外洩事件的攻擊過程如下:

  1. 研究 – 駭客會先研究目標企業的人員、系統或網路是否存在者任何安全弱點。
  2. 攻擊 – 駭客接著利用網路攻擊或社交攻擊的方式來試圖展開第一次接觸。
  3. 網路攻擊/社交攻擊 – 所謂的網路攻擊是指駭客利用電腦基礎架構、系統與應用程式的弱點來滲透企業網路。社交工程(social engineering )攻擊是指誘騙企業的員工,讓員工在不知情的狀況下引清兵入關,讓駭客進入企業網路。例如,員工可能被騙提供了自己的帳號密碼,或者開啟了某個惡意的附件檔案。
  4. 資料外傳 – 駭客一旦進入企業的電腦,就能進一步在其網路上游走,找出企業機密所在。當駭客成功取得資料並且將資料外傳之後,攻擊就算大功告成。

遭竊的通常是何種資料?

駭客的動機直接決定了他們的攻擊目標,因為不同機構可竊取到的資料不同。以下是一些經常遭到攻擊的目標類型,以及五個知名的相關案例。

  • 美國人事管理局 (OPM) (2015 年 4 月)
    聯邦機構
    駭客竊取了超過 1,800 萬筆聯邦政府員工的資料,其中包括:社會安全碼、工作職務及培訓相關資料。
  • Ashley Madison 偷情網站 (2015 年 7 月)
    社群網站
    駭客激進份子從 Ashley Madison 偷情網站竊取了大約 10GB 的資料並且外流到深層網路 (Deep Web)。失竊的資料當中包含了帳號詳細資料和個人身分識別資訊,約有 3,200 萬名會員受害,同時也包含了信用卡交易資料。
  • 美國 Target 連鎖超市 (2014 年 1 月)
    零售業者
    駭客入侵了 Target 的網路並感染了所有的銷售櫃台 (PoS) 系統,因而竊取了將近 4,000 萬筆信用卡和現金卡資料以從事詐騙。失竊的資料包括:卡片 PIN 碼、持卡人姓名以及其他銀行相關資訊。
  • JP Morgan Chase & Co. (2014 年 10 月)
    授信機構
    該公司表示大約有 7,600 萬個家庭和 700 萬家企業的資料遭到外洩,其中包括:姓名、住址、電話、電子郵件地址等等。
  • Anthem Inc. (2015 年 5 月)
    醫療
    一項從 2014 年 4 月開始行動的攻擊導致了超過 8,000 萬筆新舊客戶資料外流,其中包括:姓名、出生年月日、社會安全號碼、電子郵件地址以及就業情況等等。

繼續閱讀

「 行動惡意程式數量將成長至 2,000 萬」, PC花了 21 年才累計達到這個數字

獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量,發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看,2012 年底的時候我們才發現 35 萬個行動惡意程式,沒想到短短幾年之內將會成長到 2,000 萬。由此可見,歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。

手機 行動裝置

在「趨勢科技 2016 年資安預測:細微的界線」報告當中,我們的技術長 Raimund Genes 預測:「截至 2016 年底,行動惡意程式數量將因中國而成長至 2,000 萬;至於全球,則是新的行動支付方式將受到攻擊。」讓我們來仔細看看這項預測,並且從幾個不同的觀點來協助您了解行動裝置威脅情勢的發展。

首先,惡意及高風險的行動裝置應用程式數量大幅成長,這一點是肯定的,尤其在 Android 系統。然而,2016 年底將達到 2,000 萬個?這可是一個相當驚人的數字。為了和 PC 領域做比較,獨立測試機構 AV-Test.org 還特地統計了 PC 領域從 1984 年以來的惡意程式累積樣本數量,發現 PC 領域花了 21 年的時間才累計達到 2,000 萬個惡意程式。單就行動裝置來看,2012 年底的時候我們才發現 35 萬個行動惡意程式,沒想到短短幾年將會成長到 2,000 萬。由此可見,歹徒開發行動惡意程式的速度遠遠超越 PC 領域。同時也讓我們見識到行動裝置對網路竊賊有多大的吸引力。

然而,是否所有行動裝置使用者都因而陷入危險當中?這一點卻不盡然,因為絕大多數的行動惡意程式都是在中國製造,並且用於中國。這不令人意外,因為中國擁有最龐大的行動裝置用戶數,所以駭客也就擁有龐大的潛在受害者可攻擊。不僅如此,絕大多數的中國使用者都不透過 Google Play 商店來下載應用程式,而是經由非官方應用程式商店,或是直接從網站下載安裝檔案,因此更容易遭遇行動惡意程式,畢竟非官方來源的上架審查程序沒有官方 Google Play 商店來得嚴格。這讓中國以外的使用者學到了一點,那就是務必從官方 Google Play 商店下載應用程式。 繼續閱讀

《小廣和小明的資安大小事 》阿嬤好想要的神奇回春乳液

資安漫畫 回春特效乳液 15日本資安漫畫 banner

智慧型手機就一定安全!?

你是否如同漫畫中的阿嬤,認為智慧型手機很安全呢?

性質與電腦相近的智慧型手機,與電腦同樣可能碰到網路上的危險。其中必須注意的包括網路釣魚(Phishing)攻擊及誘騙付費攻擊、偽造的安全警告等,利用非法網站詐騙使用者的行為。目前已確認有針對使用智慧型手機瀏覽而刻意製作的非法網站。

網路釣魚攻擊

此手法乃利用假冒實際存在的企業所發出的電子郵件或社群網站的訊息,引誘使用者進入與真正的網站極為相似的非法網站,然後騙取使用者在網站上輸入的ID/密碼等個人資料。

【延伸閱讀】搜尋” LINE”,跳出假冒 LINE 網路釣魚詐騙網站,意圖盜帳號密碼!

誘騙付費攻擊

此手法會在使用者按下成人網站的圖片或電子郵件的網站連結之後,顯示「已完成入會註冊。請支付費用」等要求付款的畫面,藉此要求使用者付費。

繼續閱讀