自動儲存 ID /密碼的優點與缺點
使用網路銀行或網路購物時,您是否曾經於登入網站時,在輸入ID/密碼的輸入欄位(表單)中輸入第一個字,就自動顯示您所要輸入的ID/密碼?IE(Internet Explorer)等網頁瀏覽器具有儲存使用者在表單或搜尋欄位中所輸入字串的功能。若在IE中啟用所謂的「自動完成」功能,即可節省輸入繁瑣的ID/密碼的時間,非常便利。
但是,自動完成功能有可能將你在表單輸入的資訊外洩給其他人。我們原本就不建議於網咖等多人使用的電腦中輸入個人資料,但不得已時,務必先關閉自動完成功能。
以 IE 為例,若要關閉IE11的自動完成功能,請按一下右上角的齒輪圖示,然後選擇「網際網路選項」。開啟網際網路選項之後,按一下「內容」標籤,然後按一下自動完成的「設定」。取消勾選「表單」或「表單上的使用者名稱和密碼」等不希望IE儲存的項目,然後按一下「確定」。
趨勢科技威脅研究團隊發表了一篇報告,裡面詳細介紹了被稱為Rocket Kitten駭客組織的活動,這群駭客已經從事網路間諜活動好幾年了。我們之前發表過關於此組織的報告,但之後在另一研究機構 ClearSky 的協助下又發現了一些新的活動,於是我們共同合作發表了這篇新的報告。
經由受害者所竊取得來的資料,進一步深入其所在的產業
今天的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)大多數都是為了竊取資料獲利。有趣的是Rocket Kitten的目的似乎不是為了賺錢,而是在進行網路間諜活動。其攻擊目標也不像我們在之前攻擊中所看到的組織,而是特定產業內的個人。網路間諜活動很難確認實際被竊的資料以及被如何的使用,但分析這些攻擊所使用的惡意程式碼,很明顯地發現會經由受害者所竊取得來的資料,進一步深入其所在的產業,因此推斷間諜活動似乎是攻擊的原因。 繼續閱讀
對網路犯罪來說,電子郵件是門大生意。
在2014年,每天有1963億封電子郵件在收發。在這之中,有1087億封是商業郵件。每天電子郵件大發送的數量,吸引網路犯罪分子會利用電子郵件攻擊大型企業。而這些攻擊可能導致數百萬美元的損失跟資料竊盜。根據報導,Home Depot外洩事件造成該公司6200萬美元的損失,而Target資料外洩事件造成2億2900萬的損失。
但這並不代表企業是唯一容易遭受電子郵件攻擊的對象。根據趨勢科技在上半年度的觀察,電子郵件威脅在找尋受害對象時是一視同仁的。
今年上半年在垃圾郵件(SPAM)威脅環境有兩個趨勢。首先是巨集病毒相關垃圾郵件(SPAM)持續上升。第二是大量出現透過垃圾郵件寄送的勒索軟體 Ransomware攻擊。
舊玩意新花樣
在今年的前幾個月,趨勢科技注意到巨集垃圾郵件的威脅顯著地增加。這些垃圾郵件(SPAM)夾帶著.DOC、.DOCM、.XLS和.XLSM等Microsoft Office副檔名的附加檔案。在下圖一中整理出我們每月所見的惡意軟體相關垃圾郵件。雖然UPATRE(紅色)仍然是首要的垃圾郵件類型,我們可以看到巨集垃圾郵件(綠色)在許多月份都有所增加。
我們也看到一些包含PDF附件的電子郵件。這些附件實際上嵌入了.DOC文件。該.DOC文件包含執行後會下載惡意.EXE檔案的巨集。
歡迎來到資安新聞週報,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
《中文媒體》
如何讓Windows 10停止監視你?(T客邦)
Windows 10內建了新的個人化廣告的設定,文中提出四個步驟,讓你可以掌握自己的隱私權要不要「被出賣」。
【延伸閱讀】假免費 Windows 10 更新通知信暗藏勒索軟體
Windows 10 的新瀏覽器Microsoft Edge:有改進但也有新風險
中國網路犯罪地下市場,掀起一波行動勒索軟體風潮(趨勢科技資安部落格)
中國網路犯罪地下市場因少數中國網路駭客而掀起一波行動勒索軟體風潮,他們都是以同一套廣為流傳的惡意程式原始碼為基礎。而網路犯罪地下市場的運作模式更助長了這類威脅的大量繁衍。這一波威脅幕後的駭客都非常年輕 (16 至 21 歲),但他們卻能輕易製作出 1,000 個以上的 Android 勒索軟體變種,這些都是趨勢科技所偵測到的 ANDROIDOS_JIANMO.HAT
【延伸閱讀】中國免費App,充斥山寨行騙,附贈間諜軟體,廣告軟體及付費簡訊
:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式
汽車駭客威脅 趨勢提3招應對(聯合財經)
趨勢科
技全球支援與研發中心Trend Lasbs一項研究,揭露Skoda汽車所使用的SmartGate系統,在安全上的漏洞,恐遭受汽車駭客攻擊,造成車主安全上的疑慮;研究並進一步提出變更無線網路發射功率、變更無線網路密碼和變更Wi-Fi D
irect PIN碼,以及變更無線網路名稱等三項防護建議。
Fiat Chrysler召回近8000輛Jeep休旅車修補軟體漏洞!( IT home)
今年7月研究人員展示如何入侵Fiat Chrysler所開發的Uconnect車載資訊娛樂系統,從遠端操控汽車的空調、音響、雨刷及剎車,幾天後Fiat Chrysler即宣布史上頭一遭因軟體漏洞而召回汽車的活動。這已是Fiat Chrysler近兩個月內第二次因為類似原因召回汽車。
【延伸閱讀】陌生人遠端接管你的車子,但你仍在駕駛座上 !! 談汽車聯網安全
【資安大會焦點直擊】韓國KrCERT如何重金打造全球最大網安危機處理中心(IT Home)
韓國長期面對北韓的威脅,韓國電腦網路暨危機處理協調中心(KrCERT/CC)副研究員朴文範(Park Moonbeom)來台分享了KrCERT/CC如何確保民眾和中小企業在網路世界的安全。早在十多年前韓國民眾或企業便可直播24小時服務的188資安服務電話專線,協助解決資安問題。
【延伸閱讀】趨勢科技「白帽菁英養成計劃」 率先響應政府資安人才培育政策 多元投注資源培育台灣資安人才
網購風險86小舖居冠 牢記防騙三「不」曲(卡優新聞網) 繼續閱讀
加油站的儲油槽被人動手腳是件相當危險的事。由於汽油的揮發性很高,因此如果油量表因為遭到篡改而導致油氣外洩,那麼只要遇到一點點的火花,就足以引發一片火海。想像一下,如果駭客有能力從遠端竄改油量表,會是多麼危險的一件事。尤其,全球有些石油公司的油槽監控系統就與網際網路相通。
正如我們在 BlackHat 駭客大會上所分享的,我們設計了一個實驗來檢驗這類自動化油槽系統的安全性。我們架設了一個叫「GasPot」的特製誘捕環境,這個環境曾經多次遭到駭客攻擊。此外,我們也從實驗中看到駭客對攻擊目標的偏好,例如,駭客特別喜歡攻擊美國的 GasPot 環境。此結果與我們實驗一開始的預期吻合。從一些證據判斷駭客可能來自伊朗的 Dark Coders 團體,或是敘利亞的 Electronic Army 團體。
如需更多詳細內容,請參閱趨勢科技的報告:GasPot實驗:油槽監控系統暗藏不定的危機 (The GasPot Experiment: Unexamined Perils in Using Gas-Tank-Monitoring Systems)。
駭客能做些什麼?
駭客能做些什麼,要看油槽監控系統的精密度而定。遇到簡單的油槽系統,駭客只能觀看系統的狀態,但若遇到較精密的系統,駭客就有可能直接操控、甚至破壞油槽設施。
攻擊的型態及駭客的動機可能非常廣泛,有些只是非常輕微的破壞(例如常見的是篡改油槽的產品標示),有些則是嚴重的攻擊 (例如改變油槽的運作方式,造成公共危險等等)。
修補這類系統會很困難嗎?
談到聯網裝置和聯網基礎架構的攻擊,系統修補向來是一項艱困的挑戰。大家總是在問這類裝置或系統到底要如何更新?不論是聯網汽車,或是數百萬美元的 SCADA (監控與資料擷取) 系統,或者是儲油槽系統,其軟體更新都有許多需要克服的困難。誰該負責套用這些修補程式?廠商或是使用者?需要什麼專業技能或工具?需要什麼成本?是否所有暗藏漏洞的裝置都有辦法獲得更新? 繼續閱讀
