資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

揭開五個資料外洩的迷思

2015 年 10 月 14 日2015 年 12 月 09 日趨勢科技 TrendMicro

在過去十年來，出現了許多美國史上最令人矚目的資料外洩事件。有2005年的AOL的事件，一位內部人士流出了敏感資料。索尼（2011）和Target（2014）事件洩漏了數百萬筆客戶記錄。而光今年一年，我們就看到醫療保險公司（Anthem）、政府機關（OPM）、甚至是網路約會服務（Ashley Madison）也都發生資料外洩事件。被竊資料的數量非常驚人，所包含的種類更是繁多。

對這些資料外洩事件的關注多半集中在誰受到影響及如何復原。另一方面，被竊資料被視為是外洩的原因。不過關於什麼被竊，其實有許多值得研究學習的地方。跟著資料走，我們可以瞭解攻擊者在尋找什麼，他們如何使用這些資料，它值多少及最終到了哪裡。

趨勢科技前瞻性威脅研究團隊的Numaan Huq分析十年來的資料外洩事件來找出企業面臨入侵外洩事件的各種相關數字。這樣的概率研究讓企業可以評估自己目前的風險等級，以便制訂更好的策略來捍衛自己的網路。同時還可以幫我們證明對資料外洩的了解是正確的還是只是迷思。

迷思一：駭客和惡意軟體是資料外洩的主要原因。

儘管新聞充斥著某些惡意軟體或駭客團體要對哪些資料外洩事件負責的故事，但事實是，大多數其實是由設備遺失所造成。總體上，它佔了所有資料外洩事件的41%，相較之下，駭客攻擊和惡意軟體佔了25%。企業經常會忽略儲存在員工筆記型電腦、行動裝置甚至隨身碟上的敏感資料。如果這些設備遺失或被竊且沒有防護，就成為竊取資料的簡單途徑。

但這並不表示駭客和惡意軟體不嚴重。這類型的威脅絕不能掉以輕心。相較於設備遺失或被竊可以透過遠端設備刪除、使用虛擬基礎架構和實施更嚴格政策來加以解決，駭客入侵及使用惡意軟體攻擊更加有計劃性和有特定意圖。在這些情況下，需要高度客製化的防禦解決方案和策略。

繼續閱讀

信用卡安全:磁條卡轉換成EMV晶片卡,對減少信用卡盜刷的幫助

2015 年 10 月 12 日2015 年 10 月 12 日趨勢科技 TrendMicro

EMV是 Europay歐洲支付公司、MasterCard國際組織、VISA國際組織三大國際卡組織英文名稱的字首縮寫，1994年這三大組織正式宣佈共同開發 EMV 晶片卡國際統一標準規格，並計劃全面展開轉換。磁條卡將資訊用容易讀取的格式儲存，EMV卡則會加密卡片上的資訊。2015年10月1日是美國的信用卡公司將原本使用1960年代磁條技術的信用卡轉換成支援EMV（晶片信用卡的產業術語）的日子,所以也稱為EMV日。

EMV卡已經在歐洲及其他美國以外的地區使用數年了。在那些地區，信用卡通常需要跟個人識別碼（PIN）一起使用，稱為「chip-and-PIN（密碼刷卡）」，顧客需要提供信用卡並在終端機輸入PIN碼以完成交易。

兩年前，信用卡公司呼籲美國要廣泛使用EMV，部分原因是這有助於防止像從2014年開始影響Target及其他零售業的資料外洩事件。就如我們最近有關資料外洩事件的報告：「跟著資料走：剖析資料外洩和揭開迷思」顯示出這樣的擔憂是有道理的：零售業的資料外洩事件自2009年以來就開始顯著增加。信用卡公司選擇2015年10月1日為轉換到EMV的目標日期。繼續閱讀

趁著 iPhone 6s 上市，複習基本的行動安全守則

2015 年 10 月 08 日2015 年 10 月 08 日趨勢科技 TrendMicro

小改版的 iPhone 6s 和 6s Plus 或許不像前一代那樣令人驚艷，但仍有一些足以讓忠實粉絲開心的功能。

短短的幾年之內，智慧型手機在設計上已有飛躍性的成長。但是，當科技發展如此迅速時，安全通常會跟不上腳步。對網路犯罪集團來說，就算只是一丁點的漏洞，他們也會找到潛入你裝置的方法。

危機四伏

智慧型手機其實就像一部口袋裡的迷你電腦，所以，家中的網路 PC 會遇到什麼樣的威脅，智慧型手機一樣也會遇到，例如：

	網站式攻擊社群網站威脅和 Facebook 隱私權風險網路銀行攻擊網路釣魚（Phishing）、垃圾郵件(SPAM)，以及其他藉由電子郵件傳播的威脅

不僅如此，還有一些是智慧型手機特有的威脅，例如：

	裝置遺失或失竊不安全的 Wi-Fi 網路可能潛藏的攻擊 (尤其是中間人攻擊) 惡意應用程式

惡意應用程式經常假冒正牌應用程式，它們常見於非官方應用程式商店。這類程式包括專門撥打高費率付費電話的「盜打程式」、間諜程式、勒索軟體 Ransomware，以及資訊竊取程式等等。繼續閱讀

《小廣和小明的資安大小事》免費的最貴…

2015 年 10 月 07 日2015 年 10 月 07 日趨勢科技 TrendMicro

「按這裡停止訂閱」的陷阱: 絕對不要回覆可疑的電子郵件!!

你是否曾經收到「高級名牌包2折」「您專屬的優惠」「只有今天贈送現金券」等非常吸引人的電子郵件？

這或許是網路犯罪者為了引誘你進入網路釣魚（Phishing）的陷阱。網際網路與現實世界同樣有許多類似的好康資訊。如果大意按下電子郵件中的連結，可能會進入偽造的網路商店，並且遭騙取信用卡號或購物的金錢。

不幸的，行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址，加上螢幕比較小,所以會讓使用者輕易地認為自己瀏覽的是正常網站。

提醒您,當你發現可疑的電子郵件，是否曾因為不想再次收到，而按下電子郵件下方的「按這裡停止訂閱」連結，然後在該網站中輸入電子郵件信箱？繼續閱讀

未來學（FuTuRology）：醫療科技可能致殘?!

2015 年 10 月 06 日2016 年 01 月 26 日趨勢科技 TrendMicro

我們現在來看看未來科技水晶球內會出現什麼。這是「未來學（FuTuRology）」計畫的第三篇，來自趨勢科技前瞻性威脅研究（FTR）團隊預測熱門科技未來的部落格系列文章。

在前面的兩篇裡，我們介紹了我們對未來技術威脅環境的專案，並開始描繪醫療保健產業在未來幾年會變成什麼樣子。

第一部：一窺逼近熱門技術的威脅

第二部：穿戴式裝置和智慧型醫療設備，資料驅動醫療未來的零件

今天我們想要預測的是關於其他醫療科技在更遠的未來會帶給攻擊者什麼樣的機會或是對醫療使用者帶來什麼威脅。

3D掃描和列印

因為硬體一年比一年便宜也讓此項技術迅速地成為主流。到了某一天可能有辦法對四肢及身體剖面進行足夠精準的掃描，讓醫生可以3D列印個人化的義肢，從臨時用來打石膏到永久性治療的肢體更換。我們所談論的是大規模客製化仿生科技的誕生。我們在這一代看到了跟其他人在網路上分享私密照片所帶來的影響。如果3D掃描變得更加可行，掃描檔案會比今日的2D照片更被網路犯罪販子當作目標，用來進行敲詐勒索。

實驗室晶片（Lab-on-a-Chip）藥物

這令人興奮的領域在未來有出現更多酷東西嗎？被稱為「驚奇的縮小實驗室」或實驗室晶片（Lab-on-a-Chip）藥物如何？這些藥片或貼片可以自動提供所需的正確劑量。可能是利用來自外部感應器或雲端演算法診斷產生的身體參數。這病人看起來需要這個藥物10毫克？馬上就來！

我相信要判斷不同的藥物成分和劑量有其技術難度。一旦這些被克服，而這裝置上市了，攻擊者攔截那些藥物參數可能是會致命的。即使只是延遲給藥也可能夠糟糕的了。這可能成為未來的終極不付費就死的勒索軟體 Ransomware。阻斷醫療服務攻擊呢，是不是有可能？

智慧型服裝

我們不只是在說帶有健身感應器和各種噱頭的T恤（最近的確出現過類似的東西），而是可能會更廣泛地出現在未來的東西。外骨骼如何？不，我們不會很快就看到亞德曼金屬骨骼或是伸縮的爪子。我們所談論的是讓受損的身體可以活動的設備，因為有了伺服馬達（servo motor），可以幫助肌肉萎縮或癱瘓的人進行物理上的活動。有聽過嗎？這些已經被開發用在軍事用途上，有助於攜帶更多重量或在戰場上吸收更多衝擊力。隨著3D掃描和列印設備越來越進步也更加便宜，讓一般疾病也負擔得起的治療方式變得更加可能。運動愛好者，尤其是極限運動者，也可以用智慧型服裝作為護具。

機器人看護

說到機器人或安裝在身體上的外骨骼，我們可能很快就會看到更多的機器人看護。機器人當護理人員助理並非無法想像。醫療設備在本質上已經變得越來越自動化，因為所帶來的高效率可以讓投資充分回收。這將讓機器人手術應用在那些高度自動化的手術上變得更為可行，外科醫生可以給出確切指示而機器人可以準確的按照設定好的程式執行。這些已經被應用在某些領域上，隨著技術變得更加準確且更加便宜能夠讓它更為普及。理論上，駭客可以連上機器人導致實體上的傷害，但在現實中這不太可能發生，大多只是科幻小說中的內容。對於那些駭入網路、逆向工程韌體和控制機器人所能做到的事情，可以更輕易地利用現實中的傳統方法造成。但這可以很好地和物聯網（IoT ,Internet of Things）或聯網設備駭客攻擊的題目連結。這裡的想法是只要有連接網路的東西就可能被攻擊。再一次地，作為目標的可能性和設備種類有關係。我不會去討論細節，但無論是否可能遭受攻擊，有較高風險的設備顯然需要更多的防禦。一部聯網汽車需要比聯網烤麵包機有更多的保護。這同樣適用於任何會身體連結或直接影響人體的醫療裝置。

資料視覺化和分析

有了此一領域的最新進展，醫生可能可以透過擴增實境強化來視覺化核磁共振成像（MRI）或X光斷層成像（X-ray CT）產生的病患3D掃描成像資料。視覺化技術類似於Oculus Riff，可用來深入病患內臟，充分了解他們的狀態，給出更準確的診斷，仔細檢視資料並規劃重要手術。我不知道我該為醫生感到高興或為這遠景感到恐懼。

很顯然地，現在技術的狀態和發展會為所有的人類領域帶來新玩意。醫療領域也不例外。然而也為這產業增加更容易被攻擊的風險及可能帶來危及生命的後果。醫療科技需要想在前頭。開發者需要從一開始就建立一定程度的安全性，因為在這個領域中，即使是偶然或意外的出錯都可能會真的致殘。

＠原文出處：FuTuRology: Watch Out for Literally Crippling Healthcare Technologies |作者：David Sancho（資深威脅研究員）

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

【推薦】PC-cillin 雲端版榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載