資訊安全

【資安日報】5月11日,資安業者Dragos遭到網路攻擊,駭客企圖假冒即將就職的員工入侵[轉載自IThome]

文/周峻佑 | 2023-05-11發表 員工就職的流程竟成為駭客意圖入侵資安業者的管道!資安業者Dragos證實近日遭到使用勒索軟體的駭客組織攻擊,駭客假冒尚未就職的員工,通過相關流程並取得部分存取權限,所幸該公司察覺異狀採取行動而沒有成功。但離譜的是,駭客事後竟向其高階主管開口索討贖金,揚言不付錢就會對其家人不利。WordPress網站的外掛程式漏洞也相當值得留意,有資安業者揭露外掛程式Advanced Custom Fields的漏洞CVE-2023-30777,並指出至少7成網站曝險,呼籲網站管理者要儘速處理。 【攻擊與威脅】資安業者Dragos證實遭遇資安事故,駭客企圖入侵其網路環境並進行勒索專精工控領域的資安業者Dragos證實,5月8日有已知的網路犯罪組織企圖對他們發動攻擊及勒索,所幸駭客沒有成功,該公司亦表示旗下系統皆未遭到入侵。該公司指出,駭客針對即將任職的業務人員下手,在該名員工尚未到職之前藉由其電子郵件信箱取得存取權限,並完成入職流程,然後存取新進業務人員的SharePoint系統、合約管理系統,駭客讀取其中1份含有客戶IP位址的調查報告,該公司已對此客戶進行通報。而對於攻擊者的身分,Dragos透露該組織會使用勒索軟體加密檔案,但這些駭客在尚未得手的情況下,竟向Dragos高階主管進行勒索,並聲稱要對他們的家人不利。對此,Dragos對於就職員工的流程加入額外的驗證程序,以防類似的攻擊事件再度發生。 WordPress外掛程式Advanced Custom Fields出現漏洞,百萬網站曝險資安業者Patchstack揭露WordPress外掛程式Advanced Custom Fields的漏洞CVE-2023-30777(未提供CVSS風險評分),此為跨網站指令碼(XSS)漏洞,影響免費版與付費版用戶,攻擊者若是具備存取此外掛程式的權限,就有可能在採用預設配置部署的網站上觸發漏洞,且無需通過額外的身分驗證,開發者獲報後發布6.1.6版予以修補。由於有超過2百萬個網站安裝了此外掛程式,但截至5月11日仍有逾7成使用6.0以下的版本,使得研究人員呼籲網站管理者應儘速升級。北韓駭客Kimsuky利用惡意軟體ReconShark跟蹤使用者資安業者SentinelOne揭露北韓駭客組織Kimsuky的攻擊行動,駭客透過特製的網路釣魚郵件,假借政治議題來引誘收信人上當──例如,中國與北韓之間的核武協商,或是俄羅斯與烏克蘭之間仍在進行的戰爭等,意圖散布惡意軟體ReconShark。在其中一起事故裡,駭客針對名為Korea...

Read More

Google帳號支援Passkey登入,強調比密碼、2SV安全方便[轉載自IThome]

繼Android、Chrome後,Google帳號也將支援通行密鑰(Passkey),讓用戶不需記憶密碼或執行兩步驟驗證就能登入旗下服務。文/林妍溱 | 2023-05-04發表圖片來源: Google 繼去年10月宣布Android和Chrome支援通行密鑰(Passkey),以及12月釋出的Chrome M108穩定版已開始支援後,Google昨(3)日再宣布,Google帳號將支援以通行密鑰(Passkey)登入旗下服務,讓用戶不需再記憶或管理密碼,也不需再執行兩步驟驗證(2-Step Verification,2SV)。從即日起,用戶就可以在個人Google帳號加入Passkey。和由一串數字、字母或符號組成的密碼不同,Passkey是由一組金鑰組成,其中的公鑰用於註冊網站或App,私鑰則是存放在用戶裝置上,省去用戶記憶或管理密碼的麻煩。Passkey是基於FIDO 2/WebAuthn標準,可在所有主要平臺及瀏覽器使用,允許用戶透過指紋、臉部及本地端個人識別號碼(PIN)解鎖電腦或手機來登入。Passkey比傳統密碼更安全,它只存放在用戶裝置中,無法寫下來,也不會被不小心傳給歹徒,比密碼安全,而且也比2步驟驗證安全而方便;2SV不但多一道手續,也無法完全防範釣魚攻擊(例如可能被攔截簡訊)及SIM卡交換(SIM swap)等精準攻擊。但使用Passkey登入Google帳號,可有效證明用戶使用自己的裝置來登入。少了傳送密碼及驗證碼的過程,讓Passkey可防止網釣攻擊或密碼管理不善,如密碼外洩或同一組密碼重覆用於多個網站,解決了2SV的問題。當用戶在Google帳號加入Passkey,Google會在用戶一開始登入,或是執行敏感行動時要求建立Passkey。Passkey本身儲存在手機或電腦上,因此這機制會要求用戶輸入螢幕解鎖的生物辨識(如指紋、臉部辨識)及PIN碼,證實是用戶本人。這生物辨識資料目的在解鎖Passkey,不會分享給Google或其他單位。由於每把Passkey只會用於單一帳號,因此也不會有多個帳號共同一組密碼的風險。Google帳號(或其他帳號)也就不會有因共用密碼而被駭的問題。針對在多種裝置或不同裝置上使用Passkey是否會很麻煩,Google也做出說明。如果用戶有很多臺裝置,包括PC、筆電或平板,可以為不同裝置建一個passkey。有些平臺則可將用戶Passkey備份到雲端並同步給其他裝置,例如iPhone的Passkey可透過登入iCloud帳號同步給其他蘋果裝置,防止用戶被鎖住無法使用,也能升級Passkey到其他iOS/Mac裝置。使用者可以用Passkey/Password同步服務,如Google Password Manager、iCloud...

Read More

【資安日報】3月29日,歐盟刑警組織提出警告,駭客大肆利用ChatGPT發動網釣攻擊、詐騙、製作惡意程式[轉載自IThome]

駭客發動與ChatGPT相關的攻擊行動日益頻繁,包含利用該機器學習語言模型來製作釣魚信件,或是假借提供相關應用程式來散布惡意軟體等。這樣的情況也引起歐洲警方的關注,並指出他們看到駭客運用此種機器學習模型的數種型態攻擊手法。除了ChatGPT相關攻擊橫行,商業郵件詐騙(BEC)也相當值得留意。近日美國聯邦警查局(FBI)提出警告,駭客假冒合作廠商的名義發動相關攻擊,但與過往不同的是,這些駭客現在會使用延遲付款方式,使得受害廠商不易及早察覺詐騙而難以追回貨款。而在面臨BEC攻擊行動之外,執法人員也透過反向操作、設下誘餌來找出網路罪犯。例如,英國國家刑事局(NCA)就假借提供DDoS租賃服務(DDoS-for-Hire)的名義,讓想要租用此種服務發動攻擊的駭客上當。 【攻擊與威脅】歐洲刑警組織警告網路罪犯濫用ChatGPT機器學習模型ChatGPT被用於攻擊行動的現象日益頻繁,這樣的情況也引起警方的高度重視。歐洲刑警組織(Europol)於3月27日提出警告,他們呼籲大家注意,網路罪犯正在濫用ChatGPT與其他的大型語言模型(LLM),例如,他們很可能在詐欺與社交工程領域,利用這種語言模型來模仿特定人士的書寫、說話方式,來產生網路釣魚誘餌,而且,攻擊者也可能將其拿來產生假訊息。再者,也有人將其用於製作惡意程式,在這樣的狀況下,攻擊者即便自身無開發能力,也有機會製作相關工具。 美國警告駭客假借採購名義進行商業郵件詐騙美國聯邦調查局(FBI)針對近期的商業郵件詐騙(BEC)態勢提出警告,指出駭客假借當地商家的名義,向目標公司「批發」各式商品,包含了建材、農業器具、電腦硬體、太陽能產品等。為了取信攻擊目標,駭客會冒用真實員工或前員工的姓名犯案,而且,這些駭客也採用了延遲付款的方式,如Net-30或Net-60短期融資的方式,指定在交貨後的30天或60天才付款,並付上偽造的推薦函與W-9貸款表單,從而讓受害公司收不到貨款、察覺上當為時已晚。 勒索軟體為近2年歐洲交通運輸業者的重大威脅歐盟網路安全局針對2021年至2022年10月交通領域的組織遭遇的資安事故進行分析,結果發現,勒索軟體攻擊是頭號威脅,占38%;其次是資料外洩有關威脅(30%)、惡意軟體(17%)。此外,該單位認為,針對交通運輸單位的DDoS攻擊有可能會持續,且機場、火車站、交通主管機關會是駭客的主要目標。 豐田汽車義大利分公司資安出包!市場行銷系統帳密竟在公開網路曝露逾一年半資安新聞網站Cybernews的研究人員於2月14日發現,豐田汽車(Toyota)義大利分公司的網站有資料外洩疑慮,因為該網站的開發環境組態檔案(ENV)暴露在公開網路,時間長達1年半以上,導致該公司的行銷雲Salesforce Marketing Cloud的帳密資料、客製化地圖服務Mapbox的API公開。攻擊者一旦取得這些資料,就有可能拿到該公司客戶的電話、電子郵件信箱等資料,進而以豐田的名義發送惡意簡訊或是釣魚郵件,甚至是推送通知,進行網釣攻擊。而前述的地圖服務API外曝,影響雖然不若行銷雲帳密嚴重,但攻擊者可以對其發送大量查詢請求,導致豐田本身所需支付的費用爆增。 Instagram詐騙傳出以提供時裝購物商城Shein禮物卡為誘餌的事故防毒業者Avast揭露近期的Instagram詐騙攻擊行動,駭客針對英國、澳洲、法國、西班牙、波蘭用戶下手,對方發文聲稱是2023年時裝購物商城Shein禮物卡的幸運兒,並標記一長串的Instragram使用者。若用戶依照指示存取駭客提供的URL,就會被帶往釣魚網站,而該網站會對用戶發出通知訊息,表示時限內完成問卷,就有機會贏得禮物卡,且無論使用者輸入有效答案與否,都會通過審核並要求填寫個人資料,支付些許費用取得禮物卡,然而,受害者最終非但不會拿到禮物卡,還會「被訂閱」來路不明的服務。 臺灣民眾網路詐騙抵抗力有待加強,透過錯誤資訊來確認資訊真偽的比例高達8成金融服務業者Visa針對全球18個市場、6千個成年人進行詐騙話術(Fraudulese)有關的調查,結果發現,一般人大多會擔心親友受騙,但忽略自己也是歹徒行騙的目標,再者,有81%受訪者透過錯誤資訊來確認資訊真偽──有46%主要依據公司名稱與標誌來判斷。此外,對於釣魚郵件橫行的現象,他們發現僅有6成受訪者會檢查是否來自寄件者的電子郵件信箱,且只有47%會確認郵件是否有錯字。而針對臺灣的部分,該公司表示,我國消費者最容易受到「限定期間回應」、「免費贈禮」等關鍵字的引誘。 【漏洞與修補】ChatGPT資料外洩,起因是近期新加入使用的元件出現弱點人工智慧研究實驗室OpenAI於3月24日表示,他們暫時將語音機器學習模型ChatGPT下線,起因是3月20日開始使用的Redis資料庫Python用戶端程式庫redis-py出現臭蟲,導致部分用戶能看到他人的對話。該公司也通報Redis維護團隊,並提供修補程式。此外,該公司進一步調查發現,上述臭蟲疑似還造成部分ChatGPT Plus用戶的支付資訊曝光,約有1.2%的付費用戶受到影響。 【資安防禦措施】以邪治邪!英國設置冒牌DDoS攻擊租賃服務的網站來識別網路罪犯英國國家刑事局(NCA)近日透露,他們設置了多個佯稱提供DDoS租賃服務(DDoS-for-Hire)的網站,目的是識別從事相關攻擊的網路罪犯,這些網站幾可亂真,已有數千人存取,一旦這些人依照網站指示購買相關服務,他們就會被導向另一個網站,告知過程當中已收集相關證據,執法單位將會找上門。NCA表示,他們不會透露經營的網站數量,或是運作的時間有多久。 【資安產業動態】德凱集團買下臺灣資安新創安華聯網檢測認證機構德凱集團(Dekra)於3月28日宣布,他們買下臺灣資安新創安華聯網科技(Onward Security),德凱將整合認證與研發的能量,共同為汽車、醫療、工業、物聯網產業,提供完整的資安合規解決方案。不過,兩家公司的新聞稿並未提及併購金額。在此之前,去年被併購的臺灣新創公司是Cybavo,買下該公司的是穩定幣USD Coin(USDC)發行商Circle。 原文出處:https://www.ithome.com.tw/news/156193...

Read More

FB與IG「藍勾勾」收費新制上路!需符合3大資格限制[轉載自3C科技]

繼推特社群平台推行「藍勾勾」身分認證訂閱服務後,FB臉書母公司Meta稍早也在官方新聞室宣佈,本週起將推出名為「Meta Verified」身分認證訂閱制服務,這項新制將為通過認證真實身份的用戶,提供取得藍勾勾徽章的認證資格,並可綁定於FB臉書與Instagram帳戶使用,且本週起將率先於澳洲和紐西蘭實施測試階段。並預告之後將會「很快地」陸續於其他國家地區上路。針對用戶於臉書與IG版帳號實施的「Meta Verified」身分認證訂閱新制,該費用於網頁版申辦的費用為每月 11.99 美元(約合新台幣365元)。另,「Meta Verified」身分認證訂閱制亦可於iOS系統手機版申辦,但費用稍貴3美元,iOS手機版、Android手機版的「Meta Verified」身分認證訂閱費用為14.99美元(約合新台幣456元)。Mark...

Read More

微軟強制關閉Windows 10 PC上的IE,6月將完全移除[轉載自IThome]

微軟昨(14)日宣布釋出Internet Explorer(IE)更新,目的並非修補安全或功能瑕疵,而是要把自己從Windows 10電腦上關閉,並預計6月完全移除IE圖示。微軟從2021年5月就宣布IE生命周期終點,並在2022年6月15日終止,大部分版本Windows 10上使用舊渲染引擎MSHTML的IE11桌機版本。不過大部份Windows 10還是可保留並存取IE11,直到昨日最新IE更新為止。微軟指出,這個版本更新將永久關閉大部份Windows 10的IE11桌機版App。此外,試圖開啟IE11的用戶會被導向Microsoft Edge。此外,到了2023年6月,IE11的視覺參考包括開始選單及工作列上的IE11圖示,也會在預計6月13日釋出的Windows安全更新中予以移除。屆時對大部份Windows...

Read More

Google Cloud 預測 2025 年前 90%安全措施將採自動化作業,以程式碼形式管理[轉載自資安人]

過去三年來,企業試圖解決前所未有的挑戰,因此加快了數位轉型的腳步。Google Cloud 預期,未來兩到三年間將出現更多突破性革新,這些改變的推力來自包容神經多樣性的設計(neuro-inclusive design)、開放原始碼管理,以及有助實現「週休三日」的 AI 擴展趨勢。 Google Cloud...

Read More
})(jQuery)