準備好迎接PSD2了嗎?開放銀行的風險

趨勢科技 TrendMicro

趨勢科技的研究報告強調了金融業必須抵禦的當前及新風險,並預測網路犯罪分子將會如何利用和攻擊開放銀行。

下載「準備好迎接PSD2了嗎:開放銀行的風險」

9月14日代表歐盟(EU)修訂的第二號支付服務指令( Payment Service Directive ,以下簡稱 PSD2)的實施 – 也稱為開放銀行。PSD2的目的是替大眾提供更多便利及更好的銀行資料控制。同時讓第三方金融科技(FinTech)公司取得跟傳統銀行附加服務相同的客戶銀行資料處理權限,好進行資料分析和財務管理建議,以及其他可能的服務。

2015年核准的PSD2取代了2007年的支付服務指令(PSD),強調了服務商和使用者的具體保護程序、權利和義務,以激勵金融業的創新和競爭。雖然它的設計和主要適用於歐盟成員國,但該指令影響超出了該地區。該指令被譽為金融業的遊戲規則改變者,因為它移除了傳統銀行對客戶資料的控制,讓使用者有權與金融服務商分享銀行資料,用於財務管理及其他目的。

為了遵守法律安全規定,銀行在確保建立必要的安全基礎設施及獲得銀行客戶同意資料存取後,向金融科技公司開放API。但已經出現了些關於準備狀況的擔憂。

有了PSD2,新興金融科技公司可以推出新應用程式來整合多個銀行帳戶的資料。
有了PSD2,新興金融科技公司可以推出新應用程式來整合多個銀行帳戶的資料。
圖1. 有了PSD2,新興金融科技公司可以推出新應用程式來整合多個銀行帳戶的資料。
繼續閱讀

《資安新聞周報》FBI警告:出外旅遊少用免費 Wi-Fi /遭爆料為監控工具,通訊軟體 ToTok遭下架/純網銀時代來臨!專家預測資安問題恐升溫

趨勢科技TrendMicro

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空,它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

媒體資安新聞

曾駭高通、Riot 中國駭客在美服刑期滿、回上海續授課        自由時報電子報

當心!這五大常見「網路詐騙偽裝法」:LINE 免費貼圖騙個資、網購盜圖賣假貨、人氣 App 陷阱通通上榜    T客邦

人紅是非多,內含木馬惡意郵件「環保少女」之名散布 .edu 信箱     電腦王阿達

Maze勒索軟體駭客公布佛州彭薩科拉市資料  iThome

美國廣播公司Entercom遭駭客攻擊,被迫拿錄音節目墊檔   iThome

中國駭客集團APT20已破解2FA認證        iThome

被指假便民真監控 ToTok遭蘋果谷歌下架        世界新聞網

AirDrop 分享照片好方便,但如何防止「AirDrop 痴漢」?   ETtoday新聞雲

FBI警告企業留意LockerGoga與MegaCortex勒索軟體   iThome

FBI發文呼籲:避免使用公共免費Wi-Fi 慎防惡意程式偷走個人機密   新頭殼

2019大型網路攻擊事件頻發,AI能擋住每39秒一次的攻擊嗎? T客邦

「123456」 最差密碼榜冠軍      世界新聞網

趨勢科技文化長陳怡蓁也斜槓  粉墨登場創新演繹漢代風華 民眾新聞網

組織穀倉怎麼破 趨勢科技文化長陳怡蓁 用文化心革命 培養軟性人才力  iThome

一周大事:FBI警告筆電別和物聯網裝置共用Wi-Fi。Chrome 79現災情會清空本機儲存和WebSQL       iThome

玉山人工智慧公開挑戰賽 高水準      卡優新聞網

純網銀時代來臨!專家預測資安問題恐升溫    LineToday

趨勢科技頒發「2019金偽獎」 「LINE免費貼圖詐騙」騙最大     ETtoday新聞雲

「貼圖詐騙」手法升級  網友票選最難分辨! 新頭殼

下載小心!中國發出通報:41款APP違法蒐集使用個資       新頭殼

繼續閱讀

《看漫畫談資安》線上遊戲安心玩的10個建議

趨勢科技 TrendMicro

線上遊戲的帳號或道具、虛擬貨幣遭竊的報導時有所聞,花了那麼長的時間及金錢好不容易掙來的道具一夕之間消失,對被害者而言是相當大的打擊。

這些被害案件大多數是,因為線上遊戲的認證遭駭。惡意的第三方利用釣魚詐騙等的手法騙取認證資訊(帳號及密碼),並使用某種方法得到用戶在多數的線上服務所使用的認證資訊內容,進行非法登入,並盜取用戶的道具等。

《資安漫畫》線上遊戲安心玩的10個建議

《資安漫畫》線上遊戲安心玩的10個建議
繼續閱讀

什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法?

趨勢科技 TrendMicro

所謂零時差攻擊(zero-day attack)就是利用尚未修補的漏洞進行攻擊。通常,未修補的漏洞在廠商釋出修補更新之前,就是一場駭客與廠商之間的競賽,前者試圖開發漏洞攻擊手法,後者則試圖修補漏洞。

檢視圖文解說:資安基礎觀念:零時差漏洞與漏洞攻擊手法
檢視圖文解說:資安基礎觀念:零時差漏洞與漏洞攻擊手法

所謂零時差攻擊(zero-day attack)就是利用尚未修補的漏洞進行攻擊,因此企業若正在使用含有漏洞的系統,將深受影響。通常,未修補的漏洞在廠商釋出修補更新之前,就是一場駭客與廠商之間的競賽,前者試圖開發漏洞攻擊手法,後者則試圖修補漏洞。以下將詳細說明企業對於零時差漏洞所該知道的事,包括何謂零時差漏洞以及零時差漏洞如何運作,以協助企業更有效降低自身的風險,防範專門利用這類漏洞的威脅。

何謂零時差漏洞(zero-day vulnerability)?



所謂的零時差漏洞零日漏洞(英語:0-day vulnerability、zero-day vulnerability)是指軟體韌體硬體設計當中已被公開揭露但廠商卻仍未修補的缺失、弱點或錯誤。或許,研究人員已經揭露這項漏洞,廠商及開發人員也已經知道這項缺失,但卻尚未正式釋出更新來修補這項漏洞。

這樣的缺失就是所謂的「零時差」漏洞,因為廠商及開發人員 (以及受此漏洞影響的企業和使用者) 才剛知道這個漏洞的存在。隨後,當廠商及開發人員針對這個漏洞提供了修補更新,那這漏洞就會變成「已知」漏洞 (有時亦稱為 N-day 漏洞)。

虛擬修補如何協助防範已知和未知的漏洞

當應用程式或企業 IT 基礎架構含有未修補漏洞會如何?這份圖文解說解釋了虛擬修補如何協助企業解決漏洞與修補管理的困境。

繼續閱讀