Ashley Madison 是一個專門針對想要尋求婚外情的人設計的約會網站。經營該網站的 Avid Life Media 公司在 2015 年遭某個稱為「Impact Team」的駭客集團入侵並竊取了資料。駭客集團要脅 Avid Life 若不關閉 Ashley Madison 網站和另一個類似的網站,就要公開其竊取到的敏感資訊。當時該公司並未答應歹徒的要求,因此 Impact Team 便將數百萬名使用者的資料散布到暗網/黑暗網路(Dark Web)上。
該起資料外洩事件發生之後,各種網路犯罪集團隨即開始利用該起事件散布電子郵件威脅。這些資料也在 2017 年引發了另一起恐嚇事件。很顯然的,在最初的資料外洩事件發生之後多年仍有受害者遭到恐嚇。
外出洽公,使用免費公共無線網絡(WiFi)竟讓公司遭駭!
偷情網站 Ashley Madison去年 8 月遭駭,但用戶數反而大幅增長 400 萬人
核二廠遭駭怎麼辦?國家級資安攻防演練首度納入核電廠
跨國星級飯店頻外洩信用卡資料,POS到底有什麼潛在風險?
請看近日資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
電郵詐騙 8.8億元飛了… 世界新聞網
使用免費公共無線網絡(WiFi)令不法分子有機可乘。
據報導,警方發現,近期商務電郵騙徒採取新策略,除透過釣魚電郵入侵外,更相中時下公司職員普遍會在公眾地方使用手機或手提電腦,並連接免費公共WiFi處理工作的習慣。中小型企業較易成騙徒目標。
騙徒多假借促銷、特價批發等標題,以「漁翁撒網」方式寄出含病毒附件的電郵,員工一不留神電腦可能已遭駭客入侵。
警方更發現騙徒為提高得手機會,會仔細分析相關公司及其高層人員的電郵和家庭背景、動向及有密切往來的商業夥伴資料再下手。
[延伸閱讀]:奈及利亞駭客新手法 「鷹眼」勒索全球中小企業
借用一下別人的 Wi-Fi 無線網路上網沒關係嗎?
偷情網站Ashley Madison 被駭後 會員數反倒暴增400萬人 Pchome 新聞
偷情網站 Ashley Madison 網站先前遭駭,導致數百萬會員個資外洩,但之後用戶數反而大幅增長 400 萬人。
被駭時會員數 3900 萬人,該網站稱現在會員數成長到 4300 萬人。
對此,美媒《CNNMoney》詢問了該網站母公司 Avid Life Media,但其發言人不願回應。原因是自 8 月 31 日後公司便沒有發表公開聲明,所以無法評論。
在其最近的公開聲明中,網站表示稱其將立即毀滅過於誇張,因為用戶仍持續使用,來到一個前所未見的程度。
[延伸閱讀:駭客給偷情網站的警告:關閉網站,否則公布 3700萬男女風流帳 ]
PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
智慧家居聽起來很美好,但你也需要知道這些事 Myshare
遠端察看家裡的情況、用聲音而不是遙控器來控制家電、各種裝置互相連接,自動調整工作狀態……在很久很久以前,人們就已經幻想住在這樣的房子裡。而最近幾年物聯網、智慧家居的發展,使得這樣的幻想逐漸變成了現實。
根據美國調查與諮詢公司 Gartner 公布的數據,到了 2016 年,在「智慧家居」領域一共有 3.391 億件聯網裝置投入使用,是 2015 年數量的接近 2 倍。不過在享受智慧裝置帶來的服務時,也不能忽略一個非常重要的問題:安全與隱私。
[延伸閱讀:《IoE 萬物聯網安全趨勢 》採購智慧型裝置該注意些什麼? ]
Windows 10可自動在雲端備份使用者的加密金鑰,是安全還是風險? iThome
專門報導美國國安局(NSA)機密文件的The Intercept指出,微軟Windows 10內建的磁碟加密功能雖然可用來保障使用者的資料,但當使用者以微軟帳號登入Windows 10時,該系統就會自動將復原金鑰上傳到雲端,以備不時之需,The Intercept認為,這將讓駭客或欲監控民眾的政府有機可趁。
其實不論是蘋果的Mac OS X或是微軟的Windows 10都內建了磁碟加密功能,但雙方相異之處在於蘋果用戶可以選擇不要把復原金鑰備份到iCloud雲端帳號中,但Windows 10的預設值卻會直接將復原金鑰備份到用戶的OneDrive帳號中。
又出包!Win 10 更新大漏洞 Word 客製化設定通通不見了! 自由時報電子報
微軟(Microsoft)去年 7 月底推出全新作業系統 Windows 10 之後,就用盡各種方法要推動大家升級,不過卻也出現不少狀況。微軟的官方論壇上最近有用戶抱怨,系統推出了最新的更新 KB3124200 之後,竟然破壞了 Office Word 所有的客製化功能,而且連 Edge 瀏覽器、Explorer、Outlook 2016 和 Calculato 等應用程式都一起故障了!
國外科技媒體《Softpedia》報導,部分微軟用戶指出, KB3124200 這個更新檔破壞了許多 Word 的客製化功能,包括客製化範本、AutoText、巨集、信封地址、自動校正與 AutoFormat 設定;還刪除了用戶原本儲存的自動拼音校正。
幫別人守住秘密值多少錢?根據利用Ashley Madison偷情網站入侵事件的駭客,它最多只值一比特幣(Bitcoin),以目前的匯率計算大概是230美元。
在外洩資料流出公眾後不久,我們就知道會有某些威脅趕上這股潮流。對於Ashley Madison的會員來說,當然希望機密不要被公開,於是網路犯罪分子從中找到獲利的商機。
事件爆發沒多久,我們很快就開始收到各種垃圾郵件(SPAM)有系統地寄給Ashley Madison資料庫中的電子郵件地址。
有些郵件試圖敲詐收件者支付一些錢(最初是要求一比特幣;後來的郵件只要求一半)。如果使用者不付錢,他們的朋友和家人就會收到通知。表面上,這列表可以從使用者公開的Facebook朋友列表取得。這類型的電子郵件經常帶有Ashley Madison或Avid Life在其寄件者名稱中,或許是為了讓郵件看上去更加可信。(結果造成這些地址所用的網域更容易被注意到也很快就被關閉。)
圖1、勒索郵件(點入以看大圖)
媒體可能會報導資料外洩事件,但人們的興趣往往只持續一兩個禮拜,之後就歸於平靜。但最近的Ashley Madison 資料外洩事件,是個例外,這個鼓勵偷情的網站與名為 Impact Team的駭客組織對峙長達一個月。
延伸閱讀:》駭客給偷情網站的警告:關閉網站,否則公布 3700萬男女風流帳
七月,Ashley Madison 成為資料外洩的受害者。發動攻擊的 Impact Team要求該網站和其他相關網站永久關閉。駭客接著披露片段帳號資料及公司資料,其中包括了公司內部的伺服器。
該駭客團體對其威脅說到做到,帳號資料很快就流入了深層網路。被洩露的資料有幾個可探討之處。例如有15,000個帳號使用了.mil或.gov的電子郵件地址。整理了郵件地址後,其他媒體發現工作用郵件地址被大量的用在帳號中。
》延伸閱讀:偷情網站3700萬名會員名單曝光,猜猜香港、台灣以政府機關網址登記的會員有多少?
(有趣的是,上述外洩的資料證明該網站實行其他網站所沒有的安全措施。例如,用某種形式的加密來儲存密碼,而非只使用明文。) 繼續閱讀
歡迎來到資安新聞週報,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
會竊聽電話的 Hacking Team RCSAndroid 間諜工具
隨著之前關於iOS設備面臨Hacking Team間諜軟體風險的消息,現在繼續延伸到Android的領域。RCSAndroid(遠端控制系統Android)程式碼被認為是到目前為止已知的Android惡意軟體中開發最專業且成熟的一個。
汽車也遭駭,飛雅特克萊斯勒召修140萬輛車
飛雅特克萊斯勒(Fiat Chrysler)上周五宣布召修140萬輛配備某些觸控面板無線電的汽車,將進行軟體升級以防範可能的網路攻擊,因為先前電腦安全專家公開證明他們成功駭入車用無線通訊系統,而控制住一輛行進中的Jeep休旅車。這是美國首例因駭客入侵疑慮的車輛召修,並且顯示汽車業積極推進萬物聯網(IoE ,Internet of Everything)所面臨的風險。
駭客入侵你的車!不只控制音響還能把引擎熄火
美國一對資深網路安全專家示範,他們可利用網路讓行駛中的車輛熄火。美國網路媒體 《Wired》的編輯駕駛了一部配備有 UConnect 通訊娛樂系統的 Jeep Cherokee,並開上了高速公路,兩名駭客利用手邊的筆記型電腦,控制了車輛的空調、音響及雨刷,最後甚至直接將車輛熄火。
