《資安大會精彩議程回顧》2020年面臨五大資安威脅:機器人、自動車、USB插座、無人機、智慧電視

與 CLOUDSEC 並列台灣重要的資安盛會 — 【 ITHOME 2017 台灣資安大會】上周登場 。
趨勢科技身為共同主辦單位 ,提供十多場的最新資安議題。 以下整理五位趨勢科技講師及一名資安長的精彩回顧:

2020年面臨五大資安威脅:機器人、自動車、USB插座、無人機、智慧電視
◢ 企業如何重新界定新的網路邊界?

延伸閱讀:
用惡意插頭充電,手機會發生什麼事?
◢  萬物皆可駭時代如何自保?

為何駭客特別愛用 IoT 裝置當作攻擊跳板?
◢ 裝置管理權責劃分出了什麼問題 ?

「緊急通知」或「付款到期」開頭的信件,駭人獲利竟逾 30 億美元
◢   防 BEC 變臉詐騙小秘訣

機器學習是萬靈丹?
◢  趨勢資料科學家揭露網路威脅分析更聰明的關鍵架構

民用無人機在無線電控制訊號和GPS模組存有重要安全漏洞,可能導致無人機遭駭客任意操控
◢  趨勢科技全球核心技術部資安研究員駱一奇揭露可能會影響無人機飛航的安全漏洞安全。

同場加映:
「資安長這份工作讓頭髮茂密的人也會變成光頭」
◢  當團隊很小的時候,資安長該怎麼辦
?

 

 

2020年面臨五大資安威脅:機器人、自動車、USB插座、無人機、智慧電視

◢ 企業如何重新界定新的網路邊界?

延伸閱讀:

用惡意插頭充電,手機會發生什麼事?

◢  萬物皆可駭時代如何自保?

 

為何駭客特別愛用 IoT 裝置當作攻擊跳板?
◢ 裝置管理權責劃分出了什麼問題 ?

Continue reading “《資安大會精彩議程回顧》2020年面臨五大資安威脅:機器人、自動車、USB插座、無人機、智慧電視"

《資安漫畫》智慧娃娃「凱拉」,是駭客派來的臥底間諜?! 送孩子智慧型裝置前,家長先問自己這 8 個問題

德國政府今年2 月禁賣名為「我的朋友凱拉」(My Friend Cayla),這種可透過網路連接來跟兒童聊天的洋娃娃,並且警告它是「間諜裝置」,甚至建議家長把「凱拉」娃娃銷毀。這個堪稱歐美最受歡迎的玩具,曾於2014年被選為「年度10大玩具」,由於「凱拉」需要與行動裝置配對、連網使用,所以駭客也可以先入侵使用者的行動裝置,再取用娃娃的音響設備竊聽。

駭客也可能透過藍芽連線,在15公尺的範圍內,就能竊聽孩子與娃娃之間的對話,甚至透過娃娃的麥克風和孩子說話。

選購智慧型玩具,保護孩童們個人隱私及資訊,請先問自己這 8個問題:

為孩童們選購智慧型裝置時,家長們必須留意的事項。

目前不單是智慧型手機,連能夠連結上網的玩具(智慧型玩具、智慧裝置)也都陸續一一問市了。其中包含內藏相機及攝影機的裝置,除了可以拍攝影片他人共享,也可以與孩子們進行即時視訊交談,或是用於教導學習讓會話更添樂趣。 Continue reading “《資安漫畫》智慧娃娃「凱拉」,是駭客派來的臥底間諜?! 送孩子智慧型裝置前,家長先問自己這 8 個問題"

盤點 2016 年全球針對政治團體的高調攻擊活動

縱觀歷史,具有政治動機的威脅份子會有意地影響輿論來達到自己的目的。而近來網際網路的普及也讓這些威脅分子拿到了新工具。他們不僅利用社群媒體來操弄新聞,散佈謠言和假新聞,同時也積極地入侵政黨團體。

政黨團體對這些想造成傷害的威脅分子來說是相對容易的目標。從本質上看,政黨團體必須要跟成員、媒體和公眾坦誠溝通。在忙亂的選舉期間,政黨團體也特別容易遭受間諜活動和網路攻擊,因為安全防禦措施在此時可能會被視為影響運作的累贅。但近來在2016年的事件顯示出安全防護對政黨團體來說有多重要。

2016年,至少有八起針對政治團體的高調攻擊活動

在2016年,我們至少看到八起針對政治團體的高調攻擊活動,發生在美國、德國、烏克蘭、土耳其和蒙特內哥羅等國家。這些攻擊不只是為了進行間諜活動,而是要積極地干預政治程序和影響公眾輿論。維基解密和主流媒體都被利用來讓廣大人民知道被針對政治團體所可能涉及的醜聞。竊取的資料被發布了,但資料真實性通常沒有經過證實。這讓威脅份子有空間來為了自身利益變造竊取資料,然後發表時假裝資料真實而沒有經過變動。而發布精心挑選而未經變造的資料可以讓威脅分子更好地影響公眾輿論,往有利他們利益的方向發展。

在2016年,據稱美國民主黨成為Pawn Storm的目標,這駭客團體已知曾對俄羅斯的個人和團體造成威脅。在2014年到2016年間,Pawn Storm至少對十數個國家的軍隊發動攻擊活動。Pawn Storm的活動顯示出地緣是國內外間諜活動和其產生影響的主要動機,而非金錢利益。

民主黨成員的電子郵件被竊是一個例子。這些電子郵件由維基解密和dcleaks[.]com流出,後者有可能是Pawn Storm所控制的網站。我們可以確認在2016年3月和4月,Pawn Storm對美國民主黨各高層成員的企業和免費網路郵箱發動一波積極的憑證網路釣魚攻擊活動。

在競選期間,數十名政界人士、民主黨全國委員會(DNC)工作人員、演說稿作者、資料分析師、前歐巴馬競選活動人員、希拉蕊競選活動人員,甚至是企業贊助者都曾被多次鎖定。我們知道是因為我們從2014年開始就一直在追蹤Pawn Storm的憑證網路釣魚攻擊活動。我們獲取對數以萬計網路釣魚網址的大量點擊統計資料,並曾在2015年發表對該資料的早期分析

在2016年6月,趨勢科技發現一起針對民主黨國會競選委員會(DCCC)網站的嚴重駭客事件呈現和Pawn Storm駭客集團類似的行為模式。我們是此入侵事件的最早期發現者之一,並立即對美國當局披露。入侵問題在我們回報問題的數小時後就解決,DCCC網站也已經經過清理。

除了維基解密,威脅分子也試圖利用主流媒體來影響公眾輿論,並對政黨團體造成傷害

Pawn Storm利用主流媒體來讓普羅大眾知道他們的惡意攻擊已經有例可循。數家主流媒體已經證實它們被提供Pawn Storm竊取資料的獨家取得權。這顯示除了維基解密,威脅分子也試圖利用主流媒體來影響公眾輿論,並對政黨團體造成傷害。 Continue reading “盤點 2016 年全球針對政治團體的高調攻擊活動"

Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧

英國每日鏡報(Mirror)報導,個資外流的雅虎帳號中,最常用的密碼分別是以下十個:
❶ 123456
❷ password
❸ welcome
❹ ninja
❺ abc123
❻ 123456789
❼ 12345678
❽ sunshine
❾ princess
❿ qwerty

(2016/11/11 更新)

如果你還待在地球上,應該已經知道Yahoo發生了大規模資料外洩事件。這家網路先驅最近承認5億筆帳號相關資料是兩年前竊自它的網路,只是最近才發現。這可能給了壞人很長一段時間來侵害你的資料,如果你是Yahoo使用者的話。在前一篇文章專家提醒大家光是變更密碼並不足夠保護帳號安全!,請檢查使用Yahoo帳號的iPhone郵件應用程式是否仍可存取,這一篇文章我們來複習保持密碼安全小技巧。

這是一連串網路巨擘出現資料外洩事件的最新一起,其他還包括了LinkedIn、tumblr、MySpace等等。但它是目前以來的最大咖,可能也是外洩最嚴重的一次。讓我們藉此機會來檢視一些最佳實作跟安全提示,可以幫助你保護使用密碼帳號的安全。

當心假冒 Yahoo官方發送的確認帳號網路釣魚信

根據Yahoo所說,國家等級的駭客侵入了它的網路,可能已經取走姓名、電子郵件地址、電話號碼、出生日期、密碼雜湊值,還在某些情況下的加密或未加密的安全問題和答案。這影響了整個Yahoo、Yahoo理財、Yahoo運動和Flickr使用者。

當此種網路攻擊發生時,不只是會讓該公司陷入麻煩,還包括其服務的使用者們。Yahoo指出使用者的支付資料和銀行帳號資料不會儲存在系統中,所以是安全的。但使用者在攻擊過後仍然面臨許多風險。

本落格曾報導過刑事局警告:假 Gmail異常登入通知,真騙密碼!駭客善於利用竊來的帳號資料來進行所謂的網路釣魚(Phishing)攻擊,偽裝成Yahoo或其他公司來寄送電子郵件給目標。詳細的資料可以用來讓電子郵件看起來更真實。他們可能會要求受害者點入連結來確認帳號或是類似的手法。這樣做的目的是為了得到更多使用者的敏感資訊,通常跟財務有關。或甚至利用資料竊取惡意軟體來加以感染。

萬萬不可一組密碼走天下

更甚之,許多Yahoo使用者可能會在不同網站使用相同的密碼,甚至是相同的使用者名稱/密碼組合。如果這樣,那麼擁有你詳細資料的網路犯罪份子就可以侵入其他網路帳號,造成更多的傷害和經濟損失。

刑事局曾破獲歹徒將生日電話等個資破解數百名Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。總之別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全

犯罪者會利用這些隨處使用同一組帳號密碼的使用者心理,將到手的帳號密碼組合使用,嘗試登入各種服務。因此,若隨處使用相同的帳號密碼,其他各種服務也會遭到非法登入,受害的範圍將會擴大。

LINE台灣臉書官方帳號公布「7種最常被盜的登入密碼」,看看你中獎了嗎?

1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣 Continue reading “Yahoo雅虎驚爆史上最大資料外洩, 必學!五步驟密碼安全小技巧"

Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!

Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫(ZDI)的Simon Zuckerbraun所指出,光是換新的密碼是不夠的。為什麼?

password 密碼

 

如果你有一個Yahoo帳號,那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導,超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們,來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議,也是好的第一步,零時差專案(ZDI)研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。

變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!

和許多人一樣,Simon收到帳號被列入外洩事件的通知。也和許多人一樣,Simon登錄自己的帳號並變更了密碼。然後,他開啟設定會使用Yahoo帳號的iPhone郵件應用程式,原本預計將會出現輸入新密碼的提示,但是有些驚訝的是,他發現並不需要。儘管他已經變更了Yahoo帳號的密碼,手機仍然可以存取。

根據調查,顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期,變更密碼也不會撤銷。換句話說,如果有人取得你的帳號並且設定在iOS郵件應用程式內,他們還是可以存取該帳號,即便是在變更密碼之後。更糟的是,你很可能不會發現有人仍然可以存取你的電子郵件。

 

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

Windows10Banner-540x90v5

 

 

Continue reading “Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!"

又有明星私密照?是時候好好正視密碼這道防線了!

本週娛樂新聞亮點除了布裘銀色夫妻組解散,還有GD戀小8歲日本嫩模 私密浴照火辣流竄。年僅 20歲的日籍女模小松菜奈於9月18日被爆與BIGBANG隊長GD相戀,起因源自於GD私人Instagram帳號疑似遭駭客盜用,而使得GD與小松菜奈的私下親密照曝光。
01
明星、名人私人照流出已不是第一次了,2014年
蘋果 iCloud 平台遭逢駭客攻擊,多位明星私密照流出,包含許多已刪除許久的照片、影片。當時涉及到的明星包括奧斯卡影后珍妮佛勞倫斯(Jennifer Lawrence)、愛莉安娜·格蘭德(Ariana Grande),凱特·阿普頓(Kate Upton)和維多利亞·嘉絲蒂(Victoria Justice)等等。

雖然多數民眾的私人社群照片不會如同明星們的廣為流傳,但一想到自己的照片在網路上任人宰割總還是怪怪的吧?這邊有幾個小撇步讓大家好好保護自己喔!

Continue reading “又有明星私密照?是時候好好正視密碼這道防線了!"

趨勢科技與國際刑警組織 (INTERPOL) 合作逮捕奈及利亞網路犯罪集團首腦

在趨勢科技研究人員的協助下,國際刑警組織 (INTERPOL) 和奈及利亞經濟與金融犯罪委員會 (Economic and Financial Crime Commission,簡稱 EFCC) 最近破獲了一個變臉詐騙集團 (又稱為商務電子郵件入侵Business Email Compromise, BEC)   ,並且逮捕了 40 歲的奈及利亞籍犯罪首腦「Mike」,該集團涉及了多起 BEC 詐騙、419 詐騙以及愛情詐騙等等。

Mike 旗下的犯罪集團成員遍布奈及利亞、馬來西亞與南非等國,警方相信其不法獲利超過 6,000 萬美元以上,受害者分布廣泛,其中單一受害者甚至損失 1,500 萬美元以上。

趨勢科技對於 BEC 詐騙集團的調查

我們是在 2014 下半年調查 Predator Pain 和 Limitless 兩個 BEC 詐騙惡意程式時開始注意到 Mike (他曾經化名為「Chinaka Onyeali」和「Beasley Martyn」)。我們在分析前述惡意程式幕後操縱 (C&C) 基礎架構的過程中追查到 Mike。隨後在 2014 年末,我們將所有關於 Mike 的資料轉交給國際刑警組織。國際刑警組織正是透過這份資料,再加上其他研究人員提供的資訊,循線追查到 Mike 並於 2016 年 6 月將他逮捕到案。

BEC 可說是一種非常有效的詐騙手法,歹徒已經從各式各樣的企業手中騙到相當龐大的金額。根據估計,從 2013 年至 2015 年,BEC 已累積造成 23 億美元的損失,到了 2016 年甚至攀升至 30 億美元。這類詐騙專門鎖定企業內部掌管公司帳目的員工 (會計、行政及財務),且專門假冒成公司高層主管 ( CXX之類的)。這種詐騙手法可說是屢試不爽,許多企業都曾遭其毒手。我們先前就曾在「數十億美元的詐騙:商務電子郵件入侵 (BEC) 背後的數字」一文當中探討過這類手法。

趨勢科技從 2014 年起便 經由國際刑警組織在新加坡的全球創新總部 ( Global Complex for Innovation,簡稱 IGCI) 與國際刑警組織展開密切合作 。這項合作案已促成多個網路犯罪集團的破獲及逮捕行動,其中甚至包括一些自以為躲在法律鞭長莫及之處的歹徒。未來,我們將繼續與國際刑警組織密切合作,協助他們將更多網路犯罪集團繩之以法。

 

趨勢科技技術長 Raimund Genes 表示:「趨勢科技一向致力推動公私部門合作共同打擊網路犯罪。這群專門利用科技來犯罪的分子是我們的共同敵人,因此趨勢科技將盡力協助執法機關逮捕並起訴這些網路歹徒。這一次的成功經驗,象徵著網路資安社群合作又再度邁向另一個里程碑。」

這位奈及利亞籍嫌犯據稱是某個 40 人犯罪集團的首腦,其成員遍布奈及利亞、馬來西亞與南非,他負責提供惡意程式並執行網路攻擊。同時,警方懷疑他利用中國、歐洲與美國洗錢集團提供的人頭帳戶來存放贓款。

國際刑警組織全球創新總部 (INTERPOL Global Complex for Innovation) 執行董事 Noboru Nakatani 表示:「這次的逮捕行動全靠資安社群成員們的群策群力才能順利達成。因為,創造一個更安全的網際網路世界,是大家共同努力的目標。由於複雜性使然,變臉詐騙非常難以追查,因此公私部門合作變得非常重要。」

趨勢科技身為國際刑警組織的策略合作夥伴,經常透過該組織位於新加坡的國際刑警組織全球創新總部為該組織及其會員國提供必要的知識、資源及策略來打擊全球網路犯罪。

ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升

 近日台灣發生銀行ATM 遭盜領 7千萬事件震驚全國,其實自動提款機盜領在國際間層出不窮,本文介紹目前已知的幾種 ATM 攻擊手法。

歹徒再也不必靠蠻力就能輕鬆偷走 ATM 自動提款機的錢。現在,資安產業和執法機關已意識到,ATM 也開始成為駭客攻擊的目標。早在幾年之前就有資安研究人員發現專門攻擊 ATM 提款機的惡意程式,而且也實際看過歹徒得逞的案例。在這些案例中,歹徒使用的是專門針對 ATM 設計的惡意程式。從實體轉到數位的犯案手法,意味著犯罪集團已經發現一項事實,那就是:採用惡意程式來竊取提款機中的鈔票或提款卡資料,反而更輕鬆、更隱密。看來,這股趨勢未來只會更加嚴重,因此值得我們來探討一下網路犯罪集團目前已知的幾種 ATM 攻擊手法。

圖 1:歐洲 ATM 攻擊案例 (2011 至 2015 年)。
圖 1:歐洲 ATM 攻擊案例 (2011 至 2015 年)。

 

ATM 相關詐騙與實體攻擊

前述數字顯示,ATM 相關詐騙和攻擊數量在過去幾年大致呈現上揚的走勢 (ATM 相關詐騙與攻擊從 2014 至 2015 年成長了 15%)。軟體攻擊的成長趨勢,意味著精明的網路犯罪集團已意識到駭客工具在該領域的潛在應用商機。然而這些數字卻還只是惡意程式在 ATM 竊盜領域初試身手而已,未來勢必更加猖獗。 Continue reading “ATM 盜領事件非偶發,自動提款機惡意程式逐年攀升"

網路黑暗動機:網路犯罪集團和恐怖組織共同青睞的技術 

 

網路上的工具和服務總是無法避免地會被網路犯罪集團所濫用,這類案例不勝枚舉,而且無所不在。從攻擊軟體、網站及網站應用程式的漏洞,利用雲端服務來散佈惡意程式元件,到利用社群網站貼文和連結引誘不幸使用者掉入詐騙陷阱等等。不管未來將出現什麼樣的技術或服務,永遠都可能會遭到不當濫用。

在研究網路犯罪的過程當中,趨勢科技發現有一群人和網路犯罪集團一樣擅長利用合法的服務來從事不法行動,那就是恐怖組織。這些人可說本身就是網路犯罪分子,因為他們在網路上同樣也是從事違法行為。不過,這兩群人的動機截然不同:網路犯罪分子的動機是錢,恐怖分子的目標則是宣揚理念,而非散播惡意程式。

本文將探討網路犯罪分子和恐怖分子在利用網路科技與平台來達成目的時有何共通之處,並且著重於他們採用的方法、運用的服務,以及他們自行開發什麼樣的輔助工具,來方便追隨者更容易參與他們的行動。

避免在網路上留下可追查的蹤跡和身分,傳授「隱匿技巧教戰守則」

這兩種集團一向擅長利用原本專為有正當理由必須隱藏身分的使用者所開發的工具和服務。 Continue reading “網路黑暗動機:網路犯罪集團和恐怖組織共同青睞的技術 “