網路釣魚
」 駭客 詐騙 趨勢科技 密碼 信用卡驗證
詐騙新手法!加密貨幣交易商轉錯帳號 97%比特幣遭詐「損失21億」
據了解,美國近期出現針對加密貨幣交易商的詐騙手法,一名交易商因此轉錯帳號,讓旗下97%比特幣進入到詐騙集團手中,損失金額高達6800萬美元(折合新台幣約21億元)。根據《Business Insider》報導指出,這次交易商遭詐的手法是「位址汙染(address poisoning)」,這屬於一種網路釣魚的攻擊手法,攻擊發動者會先透過區塊練進行查詢,找尋到受害者的錢包位址,接著自己製造一個與受害者錢包位址極其接近的錢包位址。後續攻擊者會透過這個錢包位址向受害者的錢包位址發送少量的加密貨幣,以便讓自己製造出來的錢包位址能存放在受害者的交易歷史紀錄中。之後受害者只要進行轉帳之際,如果沒有特別檢查的話,就有機會將自己的加密貨幣轉到攻擊者製造出來的錢包位址中。區塊鏈安全公司CertiK也證實,目前已經有一個加密貨幣交易商因為一時不察,將價值6930萬美元的比特幣轉移到詐騙集團手中,受害者因此損失高達97%的加密貨幣資產,目前錢包餘額僅剩下價值160萬美元的加密貨幣。加密交易平台Trezor則呼籲,使用者在轉移加密貨幣之前,務必要仔細檢查每個地址,而且不要從交易歷史紀錄中複製位址,否則就有可能因此陷入「位址汙染」的騙局中。Trezor甚至認為,在進行大筆的交易之前,最好先發送小筆的加密貨幣進行測試,待確認無異後,再進行主要的交易。報導中也引述了FBI的調查報告,指稱在2023年這段時間,加密貨幣的相關詐騙案件數量明顯暴增,單是在2023年,這些詐騙手法讓投資者損失高達39.4億美元的加密貨幣,佔全年投資詐騙的75%以上。
TikTok突要用戶「提供iPhone密碼」 官方緊急回應
大陸短影音分享平台TikTok流行全球,不過近日卻發生,用戶使用APP前需輸入iPhone密碼才能查看內容,引發外界高度擔憂與質疑。對此,TikTok官方回應,系統更新時出現錯誤,該問題目前已經解決。根據《紐約郵報》報導,用戶使用APP前需輸入iPhone密碼才能查看內容的狀況最早於11月發生,到了12月,陸陸續續有越來越多用戶回報此問題。對此,TikTok官方回應,iOS密碼提示這是與美國的安全合作夥伴在推出更新後所導致的錯誤,這個問題影響了一小部分人,目前問題已解決,用戶將不會再看到密碼提示。TikTok官方強調,iPhone密碼是iOS作業系統用來幫助驗證使用者身分,不論是TikTok或是美國安全合作夥伴都無法蒐集或訪問iOS用戶的密碼。專家則警告,共享密碼幾乎總是一個壞主意,尤其是在這種情況下,因為存在明顯的安全風險,並且容易遭受網路釣魚攻擊。
歐美情報聯盟點名俄羅斯駭客組織 2成員遭美國懸賞3億…背後有俄軍情單位支持
俄羅斯一個名為「Star Blizzard」(Seaborgium、TA446、ColdRiver)的駭客組織,近日遭到歐美情報單位「五眼聯盟」點名,指稱該組織聽命於俄羅斯聯邦安全局(FSB),過去曾發動多次網路攻擊、干預選舉,美國甚至針對其中2名成員發布價值千萬美金的懸賞令。根據外媒報導指出,五眼聯盟(澳洲、加拿大、紐西蘭、英國、美國等五個國家情報單位組成的情報同盟)於7日發表聲明,其中點名俄羅斯駭客組織Star Blizzard於2019年起,就針對美國、英國、北約國家的學術界、國防、政府、政治人物進行網路釣魚攻擊。而從2022年起,攻擊範圍更擴大至國防工業,美國能源部的設施也成為該組織的攻擊目標。聲明中表示,該組織主要是透過「網路釣魚」的方式來接近目標,接著透過冒充各領域的專家,透過社群平台與目標接觸,接著趁隙發送活動邀約、會議通知等信件,最後達到攻擊的目的。除此之外,五眼聯盟的聲明中也直接表示,該組織聽命於俄羅斯的聯邦安全局(FSB),其中甚至有成員就是聯邦安全局的官員。目前美國司法部已經起訴該組織內的2名成員,分別是Aleksandrovich Peretyatko、Andrey Stanislavovich Korinets,美國政府也對兩人寄出千萬美元的懸賞金。
Booking.com官方私訊「信用卡驗證失敗」 消費者點連結進去就被盜刷受害
知名訂房網站Booking.com傳出有民眾下訂後,收到官方訊息表示信用卡驗證失敗,附上連結要求重新驗證,結果重新驗證後竟然信用卡就發生盜刷的狀況,許多人因此被盜刷了幾萬元,在網路上出現不少災情。不少人現在都會透過訂房網站訂房,不只可以比較還可以搶便宜,但就有民眾透過Booking.com的官方APP訂房,沒想到收到官方訊息表示信用卡驗證失敗,並附上網址要重新認證,若24小時沒填,訂房就會被取消。因此讓不少消費者都趕緊重新驗證,結果卻掉入詐騙集團陷阱。有多家跟booking.com合作的飯店都陸續發出公告,表示若有接獲不明訊息,要你掃碼或更換信用卡號,千萬別跟著操作,而booking.com也曾發出聲明,表示駭客透過網路釣魚郵件,入侵合作夥伴的帳戶,目前已經凍結風險帳號,透露這些飯店可能遭駭客入侵,因此只要在網站上訂房,就會收到這樣的驗證訊息。根據刑事局165統計,從2023年初到至今,Booking.com已經超過百件,Agoda也有30件,Trivago和雄獅則各有20件。另外旅遊達人就透露,若訂房網站可以選擇現場付款,就盡量現場付款刷卡就好。
不用密碼! Google推「Passkeys」登入速度快40%
Google在今年5月時推出了「Passkeys(密碼金鑰)」,該功能是一種不需要密碼的登入方式,官方宣布,未來預設的登入會改為此方式,將比傳統密碼快上40%。Google、蘋果、微軟等,透過FIDO聯盟發布,以Passkeys為新的驗證身份方式,取代數字、字母搭配的傳統密碼,改以內建指紋、臉部辨識,或是螢幕解鎖Pin碼等進行驗證,此項新方式更能避免密碼因為儲存在雲端中,而遭網路釣魚竊取。Google表示,11日開始登入Google帳號後,預設的選項都會是Passkeys,並非再需要用戶輸入密碼,且會導引用戶創建專屬的Passkeys,從簡登入流程,比起傳統輸入密碼快40%。目前已許多平台開始採用Passkeys,包含微軟、蘋果都已經支援,Google將會慢慢拓展至YouTube、Google Maps等平台,而Uber、eBay、WhatsApp將在近期加入。Google補充,新技術需要一段時間才會讓大眾習慣,因此傳統密碼登入方式仍會保留,用戶也可以在Google帳號中的「安全性」選擇關閉「僅在必要時才輸入密碼」,暫停使用Passkeys。
旅遊淪詐騙2/雄獅個資外洩36萬筆民眾成肥羊 警:打165查詐騙最準
【2023 12:50新增Booking.com回應】2022年雄獅旅遊曾發生重大資安事件,駭客入侵竊走36萬筆資料,民眾變成詐騙肥羊;而在2019年10月刑事局曾公布高風險旅遊賣場,其中Booking.com上榜21周,累計228件。如今「報復性旅遊」正興起,各大旅遊討論區網友竟又互相提醒「Booking.com小心詐騙」各種手法,民眾受損金額從幾千元到4、5萬元不等,最惱人的是還沒出國就被騙,大大壞了旅遊興致。據了解,刑事局165防騙網統計今年初至今,旅遊網站遭詐騙通報以及諮詢件數,Booking.com已超過百件,Agoda也有30件、Trivago20件、雄獅20件。其中,民眾小高收到Booking.com來信,表示為了確保房間的預定和保留,要求依照指示進行信用卡驗證,他當下懷疑是詐騙而向165查證。另一位A先生則接到Booking.com通知,表示因電腦當機,4筆訂單總費用11000元未刷卡成功,後續會有銀行專員與之聯繫云云,接著就接到自稱銀行人員來電,要求A先生按照其指示以手機操作解除付款,他因此損失6千多元。多個網站討論版大量出現「Booking.com詐騙」示警,警方提醒民眾可撥打165專線查證、辨別。(圖/翻攝網路)旅遊網站被詐團盯上早有前例,雄獅旅遊2022年11月29日於台灣證交所公告表示發生重大資安事件,遭受駭客攻擊,另外還接獲通報有冒名詐騙情況,該公司約有半年的顧客訂單資料遭不法詐騙份子利用。經查,駭客是透過員工電腦竊取民眾購買自由行機票、訂房、等商品訂單資料,一共36萬筆外洩,當時有60位民眾反映接到詐騙電話,其中1人遭騙10萬元。不過,雄獅指出,旅行團旅客資料及所有信用卡交易訊息均未外洩,提醒民眾接到自稱雄獅旅遊的電話,務必提高警覺再次確認,以免受騙。一名資深警官指出,近年來民眾出國多透過各種旅遊、訂房網站預定,但如果對方透過旅遊網官網「私訊」聯繫,大多都是詐騙,要特別留意。資安專家李先生也表示,由於旅遊網或訂房網公司在境外,如民眾遭詐騙以及後續確認都存在「時間差」,建議如有詐騙疑慮,最好直接聯繫官網客服,不要直接在疑似詐騙的對話框回覆訊息,或點取對話框內提供之網址。雄獅旅遊2022年間曾因駭客入侵導致36萬筆資料外洩,當時有60位民眾向警方反映有接到詐騙電話。(示意圖/方萬民攝)李先生也分析詐團作業行為模式,「通常一個時間段大多是同一個詐團在進行詐騙,由於教戰手冊一樣,某公司或品牌詐騙諮詢會在同時段內激增」,因此民眾可以撥打165查詢,以利識別是否遭到詐騙。對於Booking.com疑似被詐騙集團選為重點詐騙工具一事,本刊向該公司發出mail詢問,但至截稿前未獲得回應。對於網友遭詐騙事件,Booking.com發出聲明表示,一直以來都十分重視用戶以及合作夥伴的資料安全,同時不斷地研發並努力完善後台系統以及處理程序。他們也注意到近來網路犯罪者針對該平台合作夥伴攻擊有所增加,澄清這些並非單獨針對Booking.com 事件,而是大多數電子商務平台都會面臨的問題。經過調查,Booking.com發現近期攻擊為網路犯罪者通過網路釣魚電子郵件,入侵Booking.com合作夥伴的帳戶;他們也鄭重澄清,Booking.com 並沒有受到任何駭客入侵的情形。此外,為了保護消費者以及合作夥伴權益,Booking.com已凍結這些有風險的帳號,並協助受影響的旅宿合作夥伴們回復系統正常運作,同時協助他們通知及提供支援給予受影響的消費者。Booking.com建議消費者仔細檢查預訂確認頁面中的付款政策,如預訂的旅宿要求支付超出所列金額的付款,請即時聯繫 Booking.com 的客戶服務支援中心尋求協助。
旅遊淪詐騙1/真假旅遊網站難辨 Booking.com遭鎖定?網友示警「要小心」
【2023 12:50新增Booking.com回應】新冠肺炎疫情過後出國潮爆炸,民眾在旅遊網或訂房網訂房、訂機票、安排行程已成主流,2019年曾被刑事局列為高風險賣場的「Booking.com」近來又被網友點名、互相提醒「小心詐騙」,從今年初迄今,165全民防騙網接獲對於Booking.com的相關諮詢以及報案量已超過百件,Booking.com官網甚至在5月發出資安提醒,要會員多加小心,顯見旅遊詐騙之猖獗。據了解,刑事局165統計今年初至今,旅遊網站遭詐騙通報以及諮詢件數,Booking.com已超過百件,Agoda也有30件、Trivago20件、雄獅20件。其中,民眾小高收到Booking.com來信,寫著為確保預定和抵達,要求依照指示做信用卡驗證,他懷疑是詐騙而向165查證;娜娜同樣接到網站來信,表示她的信用卡被拒絕交易,要求重新輸入卡號等資料,但付款幣別變成歐元,害她受損上萬元。網友娜娜PO文分享自身遭詐騙過程,赫然發現扣款幣別竟變成了歐元。(圖/民眾提供)近來Booking.com詐騙成為背包客、Dcard、PTT等論壇近來熱議話題,今年5月間有網友分享慘痛經驗,因為看到自己關注的日本飯店大降價,便宜1萬元,他隨即依照要求付款下訂,填了信用卡交易密碼等資訊,結果被盜刷400多美金,折合台幣1萬多元;今年8月初,E小姐收到Booking上自己預定飯店的來信,要求驗證信用卡,她登入Booking查看,發現跟飯店的連絡對話框確實有同樣的訊息,E小姐直接連繫Booking客服,隔2天就收到Booking和飯店的通知表示「這是詐騙」。Booking客服表示,如發生錯誤扣費情況,請將該筆費用的銀行賬單包括交易商戶名稱、交易時間、交易金額和幣別上傳給他們,以做後續處理。Booking.com官網也在4個月前更新網站,提醒合作商家注意資安問題,指出詐騙集團可能會嘗試模仿官網電子郵件嘗試釣取帳號和密碼,甚至以釣魚電子郵件引導至看起來很像Booking.com後台的登入頁面,最終目的就是要竊取顧客個資,包括姓名、聯絡地址、信用卡資料與電話號碼。透過旅遊網站預訂住房、機票、安排行程已成近年旅遊型態主流,但也讓詐騙集團有機可乘。(示意圖/方萬民攝)一名資深警官表示,如果有人透過旅遊網官網「私訊」聯繫民眾,大多都是詐騙,要特別留意,尤其以私訊發送降價等優惠,附上出扣款連結,此類「最有鬼」。而在新冠肺炎疫情爆發前,2019年10月間,刑事局曾發出Booking.com疑似個資外洩警訊,據統計,該年度受害者有228人,財損金額高達3362萬元。對於網友遭詐騙事件,Booking.com發出聲明表示,一直以來都十分重視用戶以及合作夥伴的資料安全,同時不斷地研發並努力完善後台系統以及處理程序。他們也注意到近來網路犯罪者針對該平台合作夥伴攻擊有所增加,澄清這些並非單獨針對Booking.com 事件,而是大多數電子商務平台都會面臨的問題。經過調查,Booking.com發現近期攻擊為網路犯罪者通過網路釣魚電子郵件,入侵Booking.com合作夥伴的帳戶;他們也鄭重澄清,Booking.com 並沒有受到任何駭客入侵的情形。此外,為了保護消費者以及合作夥伴權益,Booking.com已凍結這些有風險的帳號,並協助受影響的旅宿合作夥伴們回復系統正常運作,同時協助他們通知及提供支援給予受影響的消費者。Booking.com建議消費者仔細檢查預訂確認頁面中的付款政策,如預訂的旅宿要求支付超出所列金額的付款,請即時聯繫 Booking.com 的客戶服務支援中心尋求協助。
手機詐騙惡意連結暴增60% 3種類型最常見
隨著科技的進步,不少詐騙、病毒也都開始針對智慧型手機發送。趨勢科技日前統計台灣當地數據,發現來自手機的惡意連結數量飆破130萬筆,相較於去年同期的80多萬筆,可以說是增加將近60%。其中以釣魚、網路購物與網路交友最多。根據媒體報導指出,趨勢科技表示,「網路釣魚」是在手機上最常見的惡意連結,常見的手法就是假冒成知名企業的官網、服務網站,甚至使用熱門關鍵字做為釣餌,以此來降低使用者的戒心。其中甚至有部分犯罪組織會透過廣購投放,讓網站搜尋排名超越真正的官網,以此來誘騙使用者。第二名則是「網路購物」,趨勢科技表示,2023年上半年度一些購物平台上出現大量鎖定賣家的詐騙案例,不法份子佯裝成買家與賣家進行溝通,接著又假冒成官方系統派送虛假的購買訊息,誘騙賣家以此付費。第三名則是「網路交友」,趨勢科技也分析常見的交友詐騙案例,其中包含了常見的盜用照片,透過假照片來獲取被害者信任後,就傳送惡意連結給被害者,之後就以此來教唆被害者投資、借貸。除此之外,趨勢科技表示,2023上半年ChatGPT的爆紅也使得AI應用成為最熱門話題,假ChatGPT應用程式和釣魚網站隨之頻繁出現在社群和搜尋引擎並透過廣告投放提高能見度,不慎點擊連結將可能被引導至惡意網站,利用漏洞攻擊自動下載惡意軟體到行動裝置,使用者在無法覺察的情況下可能失去重要個資甚至被盜刷金融卡。
別再用「這些字詞」當密碼了! Dojo:駭客易破解
受到數位科技和網路影響,民眾通常同時擁有好幾個社群帳號,但要如何設定一個不易被破解的密碼,一直是不得忽視的技巧之一。英國支付服務供應商Dojo,日前曝光2023年度最易被駭客破解的20組密碼,供大家參考。根據Dojo公布的報告顯示,大多民眾習慣以「小寫英文字母」設定密碼,位居第一名最容易破解的就是「暱稱或綽號」,前5名細項包括「King」、「Rose」、「Love」、「Boo」、「Hero」。第二名至二十名,依序為「電視劇角色」、「電視節目」、「顏色」、「時尚品牌」、「城市」、「國家」、「電影」、「身體部位」、「汽車品牌」、「寵物名字」、「髒話」、「電玩遊戲角色」、「音樂藝術家」、「電玩遊戲」、「彩妝品牌」、「運動」、「虛構人物」、「超級英雄」、「足球俱樂部」。另外,報告提到,駭客大多採用5種方式破解密碼,包括惡意軟體竊取個人訊息、網路釣魚攻擊、常用的單詞或短句組合推敲、每秒以數百萬個密碼組合嘗試,或透過不同社群平台得知使用者的生日、寵物名字等個人資料,以此反覆測試。至於如何正確的設定密碼?Dojo建議,務必混用數字、大寫字母或特殊字符,例如:$、£,長度至少8至12個字元甚至更長,其可使安全性變高之餘,也較難被破解。Dojo表示,若使用者有疑慮記得立刻更改,亦勿在不同帳戶重複使用同組密碼,為了安全起見,也不建議使用姓名、生日或寵物名字等個資當作密碼組成的選項。
北韓駭客大搞網路釣魚 完美復刻南韓最大入口網站Naver
北韓政府所扶植的國家級駭客組織,近幾年來除了入侵多個加密貨幣交易所大量取得非法資金外,也透過駭客技術取得許多隱私機密資料。而現在有消息指出,北韓駭客組織似乎有感於「主動出擊」實在太過疲累,所以回頭在網路上架設了一個完美復刻南韓最大入口網站「Naver」的釣魚網站。綜合南韓媒體報導指出,南韓國家情報院於14日表示,目前北韓駭客已經成功複製了南韓最大的入口網站Naver,而且網站頁面不僅是完全照抄Naver,就連一些即時新聞、廣告內容、證券、房地產價格等即時性的資訊,這個釣魚網站也是與原本網站一樣同步更新。一般民眾稍有不慎的話,基本上就會被北韓的釣魚網站給騙走。雖說如此,北韓這個釣魚用的Naver網站的網址是「www.naverportal.com」與原本南韓的Naver網址「www.naver.com」還是有明顯落差。但僅憑著網址上些許的差異,南韓國家情報院憂心還是會有民眾因為一時不察而登入到釣魚網站。南韓國家情報院也表示,在此之前,北韓駭客組織就曾多次偽造Naver的登入頁面,以此來欺騙南韓的網友輸入自己的帳號密碼,在取得相關權限後,從中非法蒐集南韓民眾的隱私資料。
涉隱私疑慮 義大利對ChatGPT開第一槍「全面封殺」
ChatGPT在全球掀起人工智慧(AI)浪潮,然而義大利數據保護局(DPA)在31日以涉嫌侵犯隱私為由開出第一槍,宣布禁止使用ChatGPT,並立即展開調查OpenAI對於用戶數據的處理方式,成為全球第一個禁用ChatGPT的西方國家。根據外媒報導,意大利數據保護局表示,OpenAI大量收集和儲存個人數據,來訓練聊天機器人的行為,缺乏任何法律根據。同時,由於OpenAI並不會驗證使用者的年齡,因此孩童在使用時,可能會接收到不適合其年齡認知程度的回答。將待當局展開調查,確認OpenAI與ChatGPT是否符合歐盟要求的隱私法與數位數據保護條例。另外,數據保護局也提到ChatGPT在3月20日發生的資料外洩事件,包括用戶的對話紀錄與交易付款資訊外流。該次事件持續9小時,根據OpenAI向受影響用戶發出的電子郵件,顯示用戶姓名、帳單地址、信用卡號、種類和到期日都外洩。因此數據保護局宣佈,OpenAI公司必須在20天內改善,並執行義大利個人數據保護局要求而採取的措施,直到OpenAI符合當地隱私規定為止,否則將被處以最高2000萬歐元(約新台幣6.8億)或公司全球年營業額4%的罰款。而不久前,包括特斯拉執行長馬斯克、蘋果聯合創始人Steve Wozniak、Stability AI創始人Emad Mostaque等多位科技公司高管,和頂級AI研究人員,正呼籲暫停對新AI工具的快速開發六個月或更長時間。這些人士表示,暫停將使該行業有時間制定AI設計方面的安全標準,從而防止風險最高的一些AI技術的潛在危害。馬斯克此前曾多次表達對AI的擔憂,認為AI的危險程度遠高於車禍、飛機失事、毒品氾濫等,甚至比核武器都危險得多。與此同時,AI開發人員必須與決策者合作,大力推進AI管制系統的發展,包括針對AI的新型監管機構,對高級AI系統的監督追蹤,幫助區分真實數據與AI生成的數據、並且追蹤模型洩露的源頭等。由於對ChatGPT的隱私、網路安全、假資訊產生疑慮,有越來越高的呼聲要求暫停發布新版ChatGPT,且對該款AI機器人展開調查,其實歐洲刑警組織(Europol)於周一(3月27日)就曾表達對ChatGPT等先進AI倫理與法律的擔憂,警告恐有犯罪者不當使用AI來犯案,包括網路釣魚攻擊、散布虛假訊息等情事。
APP廣告也能蓋台?全球1100萬台設備受害 駭客鑽漏洞每日投放120億則廣告獲利
根據美國資安公司一份報告顯示,目前全球有1100台裝置(包含iOS與Android)正受到一項名為「VASTFLUX」概念的侵害,駭客透過一連串有如傳統第四台的蓋台廣告的行為,直接在APP原有的廣告板位上投放自己的廣告獲利,而估計全球有1100萬台行動裝置,每日被駭客投放超過120億則廣告,但用戶卻完全不知,變成駭客獲利的工具。根據資安公司HUMAN Security一份報告顯示,「VASTFLUX」的概念其實是利用一項名為「Fast Flux」的規避技術,網路犯罪份子會使用該技術將網路釣魚、惡意軟體等事物隱藏在IP不斷變化的網路主機後面,變成後端殭屍主機的反向代理,讓各種惡意軟體的拓展網路更難以發現。報告中指出,VASTFLUX現在直接延伸到APP的廣告領域,駭客會透過VASTFLUX的概念,綁架用戶手機內的APP廣告欄位,甚至透過惡意JavaScript代碼將數十個影片廣告堆疊在一起,用戶可能是看一則廣告,但實際上駭客卻因此收入了數十則廣告的廣告費。而目前受到VASTFLUX侵害的APP數量多達1700個,而全球有1100萬台行動裝置受到影響,其中以iPhone、iPad占據大宗,估計駭客在這些裝置每日至少投放120億則廣告。HUMAN Security的資安長里德(Gavin Reid)也表示,他對於駭客利用VASTFLUX進行獲利的方式感到印象深刻,因為這樣的攻擊方式讓用戶幾乎感覺不到影響,而他們為了挖角這背後的技術概念,也是耗費了許多精神與人員。從報告中可以得知,由於駭客主要是運用技術上的漏洞,所以根本難以追查那些APP變成了駭客的廣告投放目標,但使用者還是能透過以下幾點來注意APP是否被駭客從漏洞植入廣告:網路流量異常增高手機螢幕隨機亮起,但沒有顯示任何APP畫面或通知APP因為不明原因崩潰另外報導中也指出,在HUMAN Security與詐欺受害者組織合作後,HUMAN Security成功的保護廣告客戶避免VASTFLUX的侵害,而在宣布破壞成功的3個月後,目前使用VASTFLUX攻擊的行為就直線下降了。
北韓駭客組織出新招!已有多名美國學者受害 微軟:間諜取得巨大成功
美國外交事務分析師德佩崔斯(Daniel DePetris)在10月收到一封來自美國智庫「北緯38度」(38 North)主任唐恩(JennyTown)的電郵,委託他撰寫文章。但寄信的人其實不是唐恩,據3名網路安全研究人員的說法,發信人疑似是一名北韓間諜,這次他們並未如往常一樣祭出釣魚網站竊取敏感資訊,而是假扮成唐恩,企圖釣出美國學者對北韓安全問題的看法。據《路透社》的報導,德佩崔斯表示「當我聯繫寄件者並提出後續問題時,才發現唐恩根本沒有發起任何委託,我意識到這可能是非法行為,而且恐怕已經發展成為一場廣泛的間諜活動。」德佩崔斯補充,「他們非常專業老練,信件上還附有智庫標誌,看起來很正常。」唐恩則聲稱,駭客複製了她的完整簽名檔,但電郵是以「.live」結尾,而非官方帳號「.org」。最扯的是,有一次駭客冒充她時,還把她的電郵也包括在回覆名單上。微軟威脅情報中心(MSTIC)專家艾略特(James Elliott)則表示,這種新的駭客行動在1月份首次出現,他們「使用這種非常非常簡單的方法,取得巨大的成功。」據悉,目前已有多名專家受騙,提供自己的意見或論文。《路透社》引述網路安全專家的分析,指出這封電郵疑似是北韓駭客組織發起的一項前所未有的資訊盜竊行動。駭客的目標專門針對在外國政府中具有影響力的人士,以更好地釐清西方國家對北韓的政策走向。報導稱,這個被相關安全人員稱為Thallium或Kimsuky的北韓駭客組織,長期以來一直使用被稱為「魚叉式網路釣魚」(Spear phishing)的電郵來誘騙目標登錄其帳號密碼,使攻擊者可以藉機安裝特洛伊木馬或其他間諜軟體,竊取機密。或於員工時常瀏覽的網頁中置入病毒自動下載器,並持續更新受感染系統內之變種病毒。北韓駭客在那封電郵中向德佩崔斯提問了包括:中國對北韓新核試驗的反應,以及是否有必要對北韓的「挑釁」採取「比較安靜」的態度等。
男子離奇全裸猝死摩鐵 竟是遭「網友下藥洗劫」害命
台中市北區一家汽車旅館,去年6月間發生林姓男子全裸猝死案件,警方查獲與林男入住的陳姓女網友,經深入追查,發現陳女與江姓丈夫透過網路釣魚方式,誘騙網友到摩鐵後下藥並洗劫,半個月內得手7次,未料,林男因有心臟病導致用藥後猝死,才揭露兩人犯行,台中地院去年底依強盜致死等罪判陳、江各17年有期徒刑。判決指出,陳姓女子與江姓男子是配偶關係,因江男罹患失眠、憂鬱症,去年3至6月間多次到身心科診所就診,並藉此取得安眠藥物「服爾眠」、「腦樂靜」等藥品,兩人卻將取得的藥物拿來犯案。判決書指,陳、江因疫情影響收入不佳,兩人合謀透過交友軟體尋找目標,並下手強盜,由陳女在「Good Night」、「BeeBar」等軟體邀約對象喝酒聊天,待雙方見面後,由陳男先支開被害人、江男負責在酒內摻加藥物,等被害男子喝下摻入藥物的酒昏迷後,兩人再洗劫他們身上財物,從去年6月初開始短短半個月不到,已有藍姓、詹姓等6人受害。料想不到的是,陳、江兩人食髓知味,去年6月12日以相同手法邀約林姓男子(45歲)到台中摩鐵,同樣給林男喝下摻了藥物的酒後便洗劫林男財物後離去,卻沒想到林男因本身有心臟肥大、左心室增厚等疾病,用藥後引發酒精及多重藥物反應死亡,被旅館員工發現他全身赤裸倒臥在房內地板。警方獲報後介入偵辦,查獲陳女與林男一同入住該摩鐵,但陳女到警局後辯稱,她與林是網友,因林男喝醉酒脫褲子,她害怕被性侵,才會趁機落跑。台中地院法官認為,陳、江兩人不循正常途徑獲取所需,竟以藥劑方式讓被害人陷入昏睡且無法抗拒,進而盜取他們的財物,甚至盜刷被害人信用卡,且雖主觀上無故意致人於死,仍導致林姓男子死亡,具相當惡性,衡量兩人犯後態度尚可,而林男弟弟不願與陳、江和解,依強盜、強盜致死等罪判他們17年刑期。可上訴。★中時新聞網關心您,尊重身體自主權!請撥打113、110。★中時新聞網關心您:喝酒過量,有礙健康;酒後不開車,安全有保障!
元大落難記3/道高一尺魔高一丈駭客天天攻擊 股民下單三招防身術免淪肉票
國內共7家證券商、期貨商通報「密碼撞庫攻擊」資安事件後,金管會等主管機關隨即高分貝提醒民眾,「勿用身分證、生日作為登錄帳密」,並要求業者清查「交易下單憑證」的防護力。CTWANT調查,各證券期貨商現也正趕工升級再加一層簡訊動態密碼「OTP」(One-time password),提高交易安全防護力。這次「1125密碼撞庫攻擊」事件爆發,令資安界十分傻眼。知情人士向CTWANT記者透露,「這次駭客攻擊成功,主要是有些證券、期貨商在採用兩道關卡的『登錄帳號、密碼+下單憑證』雙重驗證中,讓客戶登錄及申請憑證都可以使用『出生年月日』,才會在駭客蒐集到民眾的個資、帳號密碼後遭到破解。」「雙重驗證,這是最基本防駭之道,為何可以用『出生年月日』當密碼這種事,竟出現在受到高度監管的證券、期貨商。」這位資安專家不解的說。「其實金管會、證交所一直宣導業者須提高資安防護力,很多同業都是禁止客戶使用最容易遭外洩的個資,像是身分證、生日當帳號、密碼。」相關主管機關高層也分析說,「由於一直有客戶向券商、期貨商反映不擅長網路交易,希望帳號、密碼可以簡單些,才會開這道寬門可用身分證、生日完成下單憑證。結果出事了,業者也只能自己吞下損失的金額。」對此,元大證券強調他們在提供投資人第一道的「登錄」服務時,是禁用「生日」當作密碼。民眾網路交易愈加頻繁,愈加要留意陌生網址的優惠吸引,這是屬於一種釣魚取得個資的手法之一。(圖/翻攝趨勢科技防詐達人臉書)CTWANT調查,今年1月金管會、證交所、期交所等主管機關,就有要求證券、期貨商落實下單登錄時,應採雙因子(例如:下單憑證、綁定裝置、OTP、生物辨識等)認證防護機制。目前,券商網路、App等下單平台系統,基本上採取二道交易安全防護關卡,第一關是用戶人登錄的帳號、密碼,第二關交易下單憑證。11月底的密碼撞庫事件後,在金管會、證交所等強烈建議下,證券、期貨商已經在增設第三關的「OTP」,藉此加強交易安全防駭力。目前國內配合主管機關提供的「下單憑證」機制的安控廠商,主要為全景軟體、臺灣網路憑證這二家公司;看盤App設計廠商則以三竹資訊為最大宗。這三家廠商正將完成的「OTP」程式設計送至Apple、Google上架App更新系統審核中,這也是元大行動精靈App尚未恢復複委託電子下單的原因之一。趨勢科技資深技術顧問簡勝財跟CTWANT記者說,「網路交易的方便性與安全性,是天秤的兩端,如何取得平衡,考驗企業、消費者的智慧與人性」,「最簡單做好交易防護,其實就是最麻煩的作法「每一個網路、App平台登錄的帳號、密碼,都要不一樣。」趨勢科技資深技術顧問簡勝財提醒民眾,使用容易外洩的個資像是身分證、生日當帳號、密碼,雖是最便捷,但也最容易被駭客取得。(圖/趨勢科技提供)簡勝財指出,除了身分證、生日是很多人常用的帳密之外,現在也常見用Fb、Google、IG等社群平台帳號,輕易登錄許多網站,一旦密碼相同,遭到駭客取得外洩的個資,或者是透過網路釣魚手法,在民眾的電腦、手機植入木馬程式,側錄到民眾的帳號、密碼,就很容易讓駭客用相同的帳號、密碼去測試其他網站,一旦成功冒名做金融交易,即成為「密碼撞庫攻擊」資安事件。「大家也要留意,『OTP』也有可能是遭駭客偽造,有被騙取個資的機會,建議網路交易頻繁的民眾,可將常登錄及下單交易的品牌企業官網加到『我的最愛』,避免不小心或是未注意而登錄到陌生的連結與網站。」簡勝財提醒,「下載的App等系統,須隨著業者通知更新時做更新,因為每次更新,都有可能是業者在加強網路安全等級,另可透過防毒軟體等為電腦掃毒。」臺灣網路認證公司策略發展部則指出,駭客攻擊手法日益變種進化升級,可說是「道高一尺,魔高一丈」,天天與企業上演攻防戰,建議民眾可多參考資訊界常使用的三種「多因子憑證」,作為自己的帳號、密碼。第一類是用戶所知(What you know)因子,譬如說只有用戶自己個人會知道私密記憶,像是由個人設計的密碼等,身分證字號、生日的個資因為常在許多App使用,相對來說反而安全性低。第二類是用戶所擁有(What you have)因子,像是透過民眾的手機裝置、行動電話SIN卡發出的簡訊認證。第三類是用戶天生具有(Who you are)因子,即是每個人擁有的獨特生物辨識系統,像是透過掃描臉部、指紋識別等。
網路釣魚和勒索病毒攻擊頻傳 84%企業過去1年曾遭殃
根據最新的調查,隨著疫情帶來的遠距工作模式普及,加重了網路釣魚和勒索病毒威脅的力道,研究也顯示,半數的美國企業機構皆無法有效對抗網路釣魚和勒索病毒威脅,更有超過84%的企業過去一年曾遭遇網路釣魚和勒索病毒威脅。趨勢科技委託Osterman Research的研究調查中,專訪了130家北美中大型企業機構的網路資安人員,針對勒索病毒及網路釣魚相關的17項關鍵項目,從最佳實務領域防止端點感染惡意程式,到確保所有系統迅速套用修補更新等來加以評分,並發現84%的受訪資安人員表示,至少曾經歷過其中一種攻擊。這份報告最後得到有50%的受訪者認為他們無法有效全面防護網路釣魚和勒索病毒、72%認為他們無法有效防止家用網路成為駭客攻擊企業網路的管道、僅有37%認為他們能落實研究中所列的11項最佳實務原則。趨勢科技指出,網路釣魚依然是駭客攻擊的首要管道,雖然網路釣魚可能只是勒索病毒攻擊的第一階段,但也可能是變臉詐騙,或者導致受害者感染各種惡意程式,如:資訊竊取程式、銀行木馬程式、間諜程式、挖礦程式等。勒索病毒已成為一種現代流行病,不論政府機關、醫院、學校、私人企業或任何組織存在著可被勒索的弱點,並且有能力支付贖金,都可能成為目標而遭殃。勒索病毒攻擊最常見的結果就是資料損失,並伴隨著嚴重的IT服務中斷。隨著網路釣魚和勒索病毒攻擊的高成功率,意味著這兩項問題在未來幾年將更加嚴重。
台灣居全球第15名以疫苗為誘餌的惡意攻擊國家 1~5月逾2萬多起
正當全球各國進入接種新冠肺炎(COVID-19)疫苗的階段,也傳出有網路犯罪分子藉由接種疫苗假資訊造成大眾恐慌,甚至利用疫苗進行網路惡意活動,其中亞洲及歐洲成為相關威脅和攻擊次數最高的地區,台灣今年截至5月,共發生了21,860 起疫苗相關攻擊事件,台灣在全球排名第15名。根據資安業者趨勢科技研究報告指出,全球利用疫苗為誘餌的惡意攻擊次數在2020年第三季開始攀升,直至第四季達到高峰,今年1月至5月亞洲及歐洲地區更是偵測到新冠肺炎疫苗相關威脅和攻擊次數最高的地區,光是台灣今年前5個月就發生了21,860 起疫苗相關攻擊事件,名列全球疫苗相關資安威脅第15名,日本和法國的被攻擊次數高達20萬次以上,是惡意軟體威脅受害最嚴重的國家。趨勢科技表示,常見攻擊手法包括網路釣魚、詐騙、後門程式、假冒的應用程式以及惡意軟體。駭客也可能利用大眾對疫苗分配及測試訊息的高關注度,和全球疫苗接種的狀況做為誘餌發動社交工程攻擊。網路犯罪分子對接種流程越來越感興趣,從散播假消息等錯誤資訊造成大眾恐慌,到乘勢利用疫苗進行網路惡意活動。趨勢科技分析,全球自2020年9月起,網路犯罪分子開始大量利用疫苗認識、生產和分配的發展作誘餌來針對企業和消費者,去年10月達到最高峰,單月有402,443起,今年的高峰來到一月時有236,370起,逐漸和緩後在5月又有攀升的趨勢。台灣名列全球疫苗相關資安威脅第15名,今年前5個月止共發生了21,860 起攻擊事件。(圖/趨勢科技)
瘋網購自保7招 慎防個資送駭客
經常網購的”手滑族”們一定有類似經驗,買完商品下單後,不到五分鐘就收到詐騙電話或簡訊,通知你「記得拿會員好禮」、「恭喜中獎」、「你的網購商品到貨了」,這表示你的手機號碼已經被洩漏了。資安業者指出,駭客大多是看準民眾對網路的高依賴度,選擇在購買力旺盛的送禮時節,如情人節、雙十一等,設下比平時更多的詐騙陷阱意圖牟利。每逢購物節,供應商都會提前備貨,迎戰暴量的訂單。(圖/新華社)駭客以「轉輪盤」的抽獎方式,誘騙消費者輸入個資。(圖/報系資料庫)傳簡訊 誘點擊假網址事實上,三月初就有消費者曾收到詐騙簡訊,內容為「【蝦皮購物】您的帳號異常登陸,存在被盜風險,請立即登陸賬號驗證修改個人資訊https://shopetw.xyz」。短短幾行文字中就出現兩個錯字,且「蝦皮購物」台灣首頁正確網址為「https://shopee.tw」,上述簡訊附的連結網址自然是假的。這就是網路釣魚頁面,若不小心點擊進入還輸入個資,駭客就能藉此盜取銀行帳戶。這種釣魚頁面不只會發送簡訊,也可能出現在社群網站貼文裡,引誘消費者使用假的網頁或服務,騙取手機號碼、出生日期、住址、連絡電話等重要個資。蝦皮購物在去年雙11當天,狂銷2億件商品,買氣十分驚人。(圖/報系資料庫)民眾在網購後,可能會收到附有假網址的詐騙簡訊,藉此騙取重要個資。(圖/翻攝自165全民防騙網)針對假貨充斥現象,蝦皮購物推出「蝦皮直送」服務,為消費者把關正品。(圖/蝦皮提供)資安業者─趨勢科技表示,手段更高明的駭客,可能在消費者網購按下送出結帳資料的同時,就偷偷記下信用卡刷卡授權資料或銀行帳戶資料,藉由傳到網路詐騙集團或駭客伺服器的方式,加以進行盜刷及個資的使用,使得消費者面臨信用卡遭盜刷的風險。據趨勢科技統計,光是2021年1、2月,台灣偵測到詐騙網址數量高達1500萬個,其中包含竊取個資、詐騙等。靠代碼 阻絕詐騙電話刑事局年度統計資料也顯示,2020年度因個資外洩,導致消費者接到歹徒受理解除分期付款電話詐騙案件,警方統計高風險賣場前五名,以「momo購物網」383件最多,其次為「小三美日」283件、「讀冊生活」275件、「486團購網」242件,以及「HITO本舖」208件。知名的486團購網,被刑事局列為2020年高風險賣場第四名。(圖/翻攝自486團購網臉書)刑事局也提醒民眾,如接獲來電顯示開頭帶「+」號、「+2」、「+886」等號碼,或是在電話中聽到「解除分期付款設定」、「重複扣款」及「升級VIP」等關鍵字,應立即掛斷電話,這些都是常見的詐騙手法。其中,被列為高風險賣場第一名的momo購物網,在去年雙十一當日銷售額突破新台幣30億元,單日湧入千萬瀏覽人次,顯見樹大招風的電商平台確實很容易成為詐騙集團目標。每月推出各種促銷活動的momo購物網,吸引手滑族進站採購。(圖/momo提供)對此,momo富邦媒體科技公司董事長林啟峰認為,消費者既然選擇在momo購物,可見他們對此平台有足夠的信賴度,目前偶爾會傳出消費者在momo買完東西,就接到詐騙電話的情形。「我們有研究個資外洩的原因,發現在配送過程中,包括商品供應商及負責配送的物流業者,都有可能造成個資外洩,但並非從momo主機端洩出。」從電視購物成功轉向經營電商的momo富邦媒,總部位於台北市內科園區。(圖/黃鵬杰攝)林啟峰強調,預計從4月或5月起,momo購物網交給物流業者或供應商的資料中,就不會有消費者的電話,而是以一個「代碼」的方式來呈現,此代碼只有在消費者購物期間才會生效;導入這樣的機制後,就能減少以後在momo購物的消費者接到詐騙電話的機率。momo富邦媒體科技公司董事長林啟峰和員工深入研究,極力解決個資外洩的問題。(圖/戴嘉芬攝)*符號 遮蓋物流資訊另一家本土電商PChome24h購物則表示,為了保護消費者個資,不僅下單時以「*」符號屏蔽寄件人、收件人的姓名與地址,讓資訊變得不完整,包裹上的寄件資訊,也同樣以*符號替代個資,避免消費者沒有銷毀資料,就讓紙箱外流。此外,PChome 24h購物主要採取線上客服,取代傳統電話客服,降低使用電話溝通的必要性。PChome 24h購物更強調,不會主動打給消費者,以防止犯罪集團進行電話詐騙。PChome 24h購物寄出的每件包裹,寄件資訊都以「*」符號替代相關個資。(圖/PChome提供)台灣樂天市場則指出,為了提升消費者在網購時的安全性,除了建立資訊安全管理系統外,在軟體開發過程中也會進行安全審查並消除安全漏洞;且樂天市場所有員工都需培養資安的觀念,每半年會進行一次測驗,包含新進員工必須在報到一周內完成資安測試,並且達到滿分才能通過資安考核項目。在輸入個資之前,需確定付款頁面採用SSL憑證加密連線,可避免個資外洩。(圖/樂天提供)若消費者使用信用卡付款,可藉由3D驗證確認購物者的身分,以確保只有持卡人才能使用這張卡片。(圖/樂天提供)台灣樂天市場取得「dp. mark資料隱私保護標章」逾8年,每年定期進行自評。(圖/樂天提供)網購防詐小撇步1.不點擊下載電腦端隨時更新軟體和瀏覽器版本,App端則開啟自動更新,以提高應用程式安全性,並秉持「不亂點擊、不亂下載、不亂安裝」,避免電腦被惡意程式感染。2.辨網址真假對於自己經常造訪的購物網站,要記下正確的網址,如果收到詐騙簡訊、假網址連結或危險網頁通知,就可輕鬆辨認。包括假網址和危險網頁連結,均可透過瀏覽器設定或防毒軟體來封鎖。(圖/趨勢科技提供)3.認鎖頭符號通常大型購物網站會有「SSL鎖頭符號」(即憑證機制Secure Sockets Layer),透過加密演算法,確認雙方的身分,讓第三者無法從中側錄或竊取資料。大型購物網站提供SSL安全憑證機制連線,可在瀏覽器中看到「鎖頭」符號。(圖/趨勢科技提供)4.避一頁購物不少惡意賣家會建置一頁式購物網站,再向社群媒體買廣告。頁面上通常強調超低價、免運費,設有倒數計時按鈕,且多半只能使用ATM轉帳或信用卡付款,藉以獲得買家主動輸入的個資。一頁式購物網頁常見「破盤好康」和「限時倒數」等話術,吸引消費者下單。(圖/趨勢科技提供)5.定期改密碼為每個電商平台設定不同的登入密碼,且定期做更改,避免跨平台使用相同帳號密碼。6.檢查對帳單每月詳細核對銀行寄送的信用卡對帳單,檢視是否有任何未經授權的交易。每月需仔細核對信用卡對帳單,檢查是否有不明交易款項。(圖/123RF)7.裝防毒軟體防毒軟體能自動阻擋釣魚網站,遇可疑連結時,以網頁特徵與網址比對技術,即時封鎖假冒的網頁與夾帶惡意程式的連結,降低受害機率。在電腦端和手機端安裝防毒軟體,阻擋惡意的釣魚網站。(圖/123RF)
防堵駭客! FB雙重認證可從手機設定實體金鑰
Facebook 今宣布(3/19)自即日起,啟用雙重驗證的用戶可透過手機或平板等行動裝置,直接設定安全性金鑰登入自己FB帳號。「雙重驗證」是一項有助於確保用戶帳號安全的機制,每當用戶從任何未知裝置登入Facebook帳號時,必須同時提供密碼與登入碼。而在啟用「雙重驗證」後,便可進一步透過實體的安全性金鑰來保障帳號安全,每當有心人士試圖從未經認可的瀏覽器或行動裝置登入用戶的FB帳號時,用戶本人即會收到通知,並要求登入者使用金鑰確認為用戶本人。Facebook並建議所有用戶都應新增安全性金鑰,尤其是經常被視爲目標的政府官員及公眾人物等都需啟用安全性金鑰,免於受到網路釣魚攻擊或惡意竊取,為帳號提供多一層保障。此類金鑰多採用藍牙無線技術或需直接插入行動裝置,用戶可以前往「設定」中的「帳號安全與登入」來新增。自2017年起,Facebook用戶可以透過桌上型電腦使用實體安全性金鑰登入帳號,防止駭客竊取資訊。事實上,這種安全認證機制在蘋果和Google都有採用。比方說,大家在換新手機時,只要登入Apple ID或Google帳號,系統就會自動發出信件,表示有新裝置正在登入,提醒用戶注意是否為本人,但並沒有做到實體金鑰的認證程序。(圖/FB提供)