資安主管請注意:勒索病毒再進化的 4 類資安風險

趨勢科技 TrendMicro

未來勒索病毒(勒索軟體,Ransomware) 的商業模式勢必改變,以下四點預測可協助您確保自己的企業不會遭到新型態的網路勒索襲擊。

數十年來,資安領導人和資安長 (CISO) 一直在保護自己的企業免於勒索病毒襲擊,並因應技術的變遷來防範資料竊盜及關鍵系統停機的昂貴風險。然而歹徒總是能想出更多新的招數,如今,全世界的勒索病毒集團似乎正在準備掀起一場革命,好讓他們變得績效更好、更多才多藝、也更危險。

勒索病毒的商業模式將如何演變?


其實,勒索病毒的感染過程只要稍加調整就能輕易地轉成其他類型的犯罪活動。駭客可以轉而從事網路勒索、變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise, BEC)、竊取虛擬加密貨幣,以及操弄股市。事實上,有證據顯示這樣的轉變已經發生。

為了隨時保護企業免於新一代的資安風險,資安領導人應認真思索以下四個勒索病毒可能演進的方向。

如欲進一步了解有關勒索病毒商業模式未來可能的 7 大演變,請閱讀「 勒索病毒商業模式的短期與長期未來」(The Near and Far Future of Ransomware Business Models) 一文。

⭕️ 1. 勒索病毒集團開始幫政府工作

目前已經有勒索病毒集團接受政府招募,將其滲透企業的技能轉而投入正當用途。例如,英國國家犯罪調查局 (National Crime Agency) 就成立了 一個計畫來改造青少年駭客,讓他們成為有道德的資安專家。不過,其他國家則對於如何利用這些駭客的工具和技能比較有興趣,而非改造他們。

繼續閱讀

《資安新聞周報》直擊駭客競賽 VICONE防堵車輛資安漏洞/用 LINE 玩 ChatGPT 小心詐騙,過幾天你會發現 AI 機器人變真人了!  /FBI 示警:別用機場USB充手機 帶「這2物」最安全

趨勢科技TrendMicro

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

趨勢科技公佈三大網路犯罪組織類型          iThome

VicOne獲得DEKRA德凱ASPICE CL2級認證證書 車用軟體也能安全使用  tvbs新聞網

VicOne 與友通攜手讓車聯網環境內資料分享更安全  電子時報 

直擊駭客競賽 VICONE防堵車輛資安漏洞 中國時報

近距離看高手較勁 VicOne在Pwn2Own 2023駭客競賽現場直擊Tesla Model 3漏洞揭露成功 CompoTech Asia 電子與電腦

TXOne Networks榮獲2023年網路資安卓越獎「網路防護」、「ICS/SCADA」及「資安調查」獎項   iThome

美NSA資安主管警告:若中國入侵台灣將造成全球資安崩潰         新頭殼

公共場所充電注意!FBI 示警:別用機場USB充手機 帶「這2物」最安全     CTWant

FBI對決北韓駭客!搶回「加密貨幣贓款」的秘密是什麼?          BLOCKTEMPO

以色列間諜軟體駭入iPhone 受害者至少分布10國 中央通訊社

【資安日報】4月7日,英國數位ID驗證解決方案業者OCR Labs曝露開發環境組態,恐波及英國、澳洲金融業者          iThome

傳美國擬對俄國卡巴斯基實驗室採取執法行動          中央通訊社

Siri失效有解!蘋果緊急釋iOS 16.4.1修復兩大Bug 自由時報電子報

HP揭露涉及數十款雷射印表機的資訊外洩漏洞        iThome

勒索軟體攻擊導致肯德基、必勝客母公司用戶資料外洩          iThome

勒索病毒再演進更難防 因應四大動向趨吉避凶     編輯部

勒索軟體集團盯上台灣電競大廠 微星證實遭駭客勒索1.2億元 上報

非公務機關洩個資 最重罰千萬    自由時報電子報

eTag扣款失敗!假簡訊真盜刷133萬 12車手被起訴     TVBS

國內首見!詐騙集團設「假基地台」 發釣魚簡訊騙個資盜刷300萬元(警方提供)  自由時報電子報

資安公司監測160萬人,竟有3.1%員工上傳機敏資料到ChatGPT            iThome

用 LINE 玩 ChatGPT 小心詐騙,過幾天你會發現 AI 機器人變真人了          蘋果仁

ChatGPT掀機密外洩風險 台灣公部門2原因暫不禁用     自由時報電子報

ChatGPT會衝擊人類文明!金管會示警 金融業不能被控制           ETtoday新聞雲

資通法把關且非軟體 我公部門暫不禁ChatGPT   自由時報

AI 新技術「秒破解」750萬組常用密碼組合!5招學會設立安全密碼強度     自由時報電子報

台灣新聞通訊社-「拜託不管怎樣請幫我做到」 專家揭施壓話術…恐逼ChatGPT洩密 台灣新聞通訊社

微軟Outlook爆嚴重漏洞,只要收信不必點開就能洩露身分認證資訊     T客邦

繼續閱讀

趨勢科技公佈三大網路犯罪組織類型

趨勢科技 TrendMicro

最新報告指出網路犯罪集團組織規模幾近合法企業

【2023年4月12日,台北訊】全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704) 發布最新研究,說明網路犯罪集團業務規模擴大時,其運作將開始越來越像一般企業,同時也須面對隨之而來的成本與挑戰。

完整報告「網路犯罪組織內部運作」(Inside the Halls of a Cybercrime Business)

趨勢科技威脅情報副總裁 Jon Clay 表示:「網路犯罪地下市場正快速邁向專業化,隨著犯罪集團的成員與營收增加且日益複雜,他們也紛紛開始模仿一般合法企業。然而,網路犯罪組織變大卻可能更難管理,而且會出現更多辦公室角力、混水摸魚以及成員互信的問題。這份報告指出, 資安調查人員在面對一個網路犯罪組織時,了解其規模的大小至關重要。」

繼續閱讀

CISO 如何培養企業資安文化來降低風險?

趨勢科技 TrendMicro

想要培養良好的資安習慣,應從獲得全體員工認同開始。看看 CISO 如何培養企業資安文化來降低風險。

ˇˇ

「再好的藥,如果人們不願服用或是讓人討厭,也沒有用。」
Anthony Fauci 醫生

資安習慣為何重要?


隨著資料外洩的成本不斷攀升,企業必須隨時維持良好的資安習慣。然而,光採取一些資安控管與程序 (例如使用防毒軟體和套用資安修補) 是不夠的。我們需要改變作法。想要避免資料外洩和資安事件發生,所有可能造成資安措施無法普及或導致資安習慣不良的行為都應該列入考量。

人員通常是防禦的第一線,遠距上班以及大量連網裝置與行動裝置連上不安全的家用網路已經使得企業的 受攻擊面因而擴大。Verizon 指出,有 82% 的資安事件都是人為錯誤所引起。此外,Reciprocity 也指出,僅有 55% 的人在家上班時會特別留意網路資安的問題。因此,即使您架設了 VPN 給遠距上班人員使用,如果員工在登入自己的信箱時根本沒有連上 VPN,那一切都是惘然。

這不僅讓企業陷入風險,而且員工也會受到影響,因為昂貴的資安事件很可能導致企業破產或倒閉,員工將因而失業。

繼續閱讀

「Payzero」詐騙與 Web3 資產竊盜手法演進

趨勢科技 TrendMicro

本文探討一種 Web3 詐騙情境:詐騙集團利用假的智慧合約 (smart contract) 攻擊潛在受害者,進而以零元的代價取得其數位資產 (如 NFT token)。我們將此詐騙手法稱為「Payzero」(支付零元) 詐騙。

Web3 是一項擁有龐大獲利潛力的新興技術,能讓人透過各種賺錢方式從數位資產快速致富。Web3 與傳統 Web2 不同之處在於使用者不再只是參與者,同時也是數位資產的擁有者。只不過,Web3 使用者不再透過傳統的使用者名稱和密碼來進行驗證,而是透過使用者持有的一對加密金鑰來簽署交易,透過簽署的方式來確認及認證使用者的動作。

相較於 Web2,這又多了一層複雜性,因為新的典範和認證機制有時並不易理解。在 Web2 中,使用者是透過使用者名稱和密碼來向大型線上服務進行認證。然後,這些服務再負責與第三方應用程式進行驗證程序,使用者必須記住自己在這些服務使用的帳號和密碼。

然而到了 Web3,最重要的登入憑證是使用者錢包的私密金鑰。使用者必須自己執行認證手續,而這手續有時相當複雜,尤其對新手而言。圖 1 顯示 Web2 與 Web3 在認證方式上的差異。


圖 1:Web 2 與 Web3 認證方式比較。

由於加密金鑰是一串使用者很難記住或幾乎不可能記住的字元,所以使用者可透過一串比較容易記住的「助記詞」(seed phrase) 來備份和重新產生加密金鑰。

繼續閱讀