趨勢科技最近在Google Play上發現了49個新廣告軟體會偽裝成遊戲和照相應用程式。這些應用程式都是典型的廣告軟體,會隱藏在行動裝置裡顯示廣告,同時還使用了反移除和躲避功能。這些應用程式下載總數已經超過了 300 萬次。 廣告軟體還會建立假 Chrome圖示,受害人點擊後,就會顯示難以關閉的全螢幕廣告。 手機廣告軟體再進化,偽裝 49款遊戲及照相app,具備反移除和躲避功能 這起事件延續了行動廣告軟體激增的趨勢–光是在去年八月我們就發現了85個夾帶廣告軟體的假照相和遊戲應用程式,它們也都採用了獨特的技術來躲避偵測。對手機公司來說,這些廣告軟體是個長期存在的問題。Google必須一次又一次地加以移除 – 在八月那批廣告軟體前,七月也出現過100多個夾帶廣告軟體的應用程式,同時廣告軟體也在一月影響了超過900萬名的使用者。多年以來, »
原文來自 資安趨勢部落格 »
現在網路詐騙很多元,甚至很多讓人摸不著頭緒的詐騙,譬如說八月份的時候威力彩 20 億的頭獎開在台南,說彩券行老闆受委託要抽出價值超過 200 萬元的賓士轎車,只要有留言就有機會,結果就一堆人去留言與分享了!其實有時候也摸不著頭緒騙這些留言名單要幹嘛?還是被默默記錄了「貪婪」的標籤,或許未來這些人就是最容易上鉤的羊。我覺得現在的駭客或是詐騙都比你想的長遠,他並不是第一刻就要釣到你、並不是第一時間就要竊取你的資料,所以現在瀏覽網路還是要隨時保持謹慎,要記住天下沒有白吃的午餐那麼好! 上圖就是威力彩 20 億詐騙的新聞片段截圖。 Facebook 上玩測驗也是非常吸引人的一個項目,我自己都忍不住玩過很多, »
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。 資安趨勢部落格一周精選 防範針對性攻擊( Targeted Attack)入侵的三項建議 增強組織雲端安全,防止資料暴露的六個方法 《影片》網路攻擊橫向移動說明 保障工業物聯網 (IIoT) 安全:防範醫療界 IIoT 風險 造成行動支付被不當利用的原因是什麼?行動支付的七點安全法則 人道救援組織及其他非政府組織遭網路釣魚攻擊 Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚 不用拍照APP,也可瞬間變網美, »
中國國家新聞出版署在今年10月底發布了《關於防止未成年人沈迷網路遊戲的通知》,以遏止中國境內的青少年沈迷於網路遊戲,要求遊戲業者必須實施用戶實名制,以限制青少年玩家的遊戲消費時間以及行為。 此一通知是針對中國的網路遊戲業者,首先要求的是實名制,規定遊戲業者必須在通知實施的2個月內,完成所有用戶的實名註冊,且禁止對未以實名註冊的用戶提供服務。 雖然允許業者提供無需以實名註冊的體驗模式,但體驗模式不得超過1小時,也不能充值與付費,在15天之內不得讓同一裝置的用戶重覆體驗。 在有了實名制為基礎之後,中國政府要求遊戲業者必須嚴格控管18歲以下青少年的遊戲時段,包括在每日晚上10點到隔天上午8點之間不得提供遊戲服務,且在假日的累計遊戲時間不得超過3小時,平日的累計遊戲時間不得超過1.5小時。 而未成年的遊戲消費也受到管制,例如不得對未滿8歲的玩家提供付費服務,8歲到16歲的玩家單次充值金額不得超過50元人民幣(220元新台幣)、每月充值不得超過200元人民幣(968元新台幣) »
來自日本電氣通信大學與美國密西根大學的5名研究人員,近日發表一研究報告,描述了如何以雷射光注入惡意命令至各式數位語音助理,涵蓋Alexa、Google Assistant與Siri,以及嵌入這些語音助理的手機、聲控喇叭或平板電腦。 這群研究人員在實驗中展示了他們如何以雷射光操縱這些數位語音助理,操作家中的數位家電,解開門鎖,上網購物,甚至定位、解鎖與啟動了數款汽車。 研究所利用的是這些數位助理裝置所使用的微機電(MEMS)麥克風,麥克風內含一個金屬振動薄膜,金屬薄膜會隨著聲音所造成的空氣振動而移動,隨之產生強弱的電流訊號,然而,該薄膜並不只對聲音有所反應,它對雷射光也同樣有所反應,因此駭客就能利用雷射光來偽裝成聲音,以控制這些數位語音助理。 使用雷射光來操縱數位語音助理還有其它優點, »
安全研究人員發現一隻今年在歐美肆虐的勒索軟體衍生出新變種,不但會加密檔案,還會變更受害Windows 系統的登入密碼。 MegaCortex是一隻專門經由Emotet木馬連網下載的勒索軟體,加密檔案後向被害人索取贖金。今年8月IBM發現MegaCortex在美、法、荷及加國作亂,發作後會刪光用戶磁碟資料。 但是近日研究人員Vitali Kremez及BleepingComputer發現,這隻惡意程式的新變種更為兇猛,啟動後會顯示一則附上駭客收款用電子郵件,內文為「Locked by MegaCortex」的勒索訊息,但更厲害的是,它還會變更Windows系統的登入密碼。 研究人員分析,變種MegaCortex的啟動程式執行時會釋放出2個dll檔,一個是尋找要加密的檔案,另一個則是執行加密檔案。兩個檔案並未注入任何行程中, »
資安顧問團隊NightWatch Cybersecurity日前警告,Android 8(Oreo)以後的版本含有一個近場通訊(NFC)漏洞,將允許附近的駭客於Android手機上植入惡意程式。 Google已經在今年10月修補了此一編號為CVE-2019-2114的安全漏洞,但只把它列為高風險(High)漏洞,也未說明漏洞細節,它攸關NFC功能的預設權限,將允許駭客繞過與使用者之間的某些互動,提高安裝惡意程式的機會。 NightWatch Cybersecurity說明,在Android 8之前的作業系統有一個設定,啟用後將允許使用者自Google Play以外的來源安裝任何程式,但Google於Android 8變更了此一政策,要求每個程式都必須取得使用者的同意, »
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。 資安趨勢部落格一周精選 假「雙子殺手」線上看,真騙 LINE 帳密! " alt="" /> 《資安漫畫》在家遠端工作應注意的資安重點 " alt="" /> 《防毒軟體2020》網路安全新保鑣 C 琳特務:讓網路詐騙、垃圾廣告OUT,還你上網清淨 歐洲國際機場感染挖礦病毒,系統耗電量大增 不用拍照APP,也可瞬間變網美,5個必學拍照姿勢與技巧! »
行動支付是目前最受到消費者關注的最新支付方式。但在另一方面,被惡意的第三者不當利用,造成在商家及購物網站被惡意下單的新聞報導也層出不窮。在便利使用的另一面,存在著不少使用者對於安全性的疑慮。那這次對於行動支付要如何安全利用,向大家介紹七點的法則。 什麼是行動支付? 行動裝置所帶來的便利,讓人員越來越喜歡用行動裝置來付款,因為這些裝置為忙錄的行動族提供了一種一手搞定的購物體驗。您可以一邊使用行動裝置,一邊利用它來完成交易,完全不需從袋子裡掏出錢包,或是不小心將東西放在某處忘了帶走,尤其是在擁擠的場所。 基本上,行動支付不僅節省時間,而且比傳統的支付方式更加安全。您只需要一個支付 App 程式來啟動交易即可,同時,由於您不需要使用信用卡,因此就能避免遭到一些專門拷貝信用卡的銷售櫃台系統 »
網路暨行動程式安全業者ImmuniWeb本周指出,他們在暗網中發現有超過2,100萬筆待售的使用者憑證,是隸屬於《財星》500大企業(Fortune 500),除了有高達95%的憑證是以明文密碼示人之外,當中的1,600萬筆是在最近這一年才外洩的。 若依照憑證外洩規模的產業來排序,由科技業以507萬筆拔得頭籌,居次的金融業也高達492萬筆,健康醫療為192萬筆,製造業為190萬筆,能源與電信業則分別有175及133萬筆。 ImmuniWeb發現這些外洩資料最熱門的來源除了企業本身之外,也包括企業的合作夥伴或供應鏈,以及無關的第三方。 有趣的是,在這2,100萬筆外洩紀錄中,只用了490萬組密碼,顯示就算是不同的使用者, »
推特CEO Jack Dorsey在自己的推特帳號公告,推特將從11月22日開始在全球禁止政治性廣告,與臉書允許付費政治廣告,且不經過第三方組織審查的政策形成對比。Jack Dorsey提到,這與言論自由無關,因為政治性廣告是為觸及範圍付費,透過付費增加政治言論觸及率所付出的延伸性影響,是今日民主基礎還無法承受的,因此為了解決這個問題,有必要先往後退一步。 在一般的情況下,當人們決定關注某人的帳號或是轉推推文時,政治訊息得以發生影響力,但是支付費用卻可以跳過人們的決定,強迫使用者接收高度最佳化以及有針對性的政治訊息,而Jack Dorsey認為,使用者的決定權不應該受金錢影響。 他進一步表示,雖然網際網路廣告對商業廣告商來說,是一個強大的工具,但是卻為政治帶來龐大的風險, »
為了滿足智慧助理需要執行越來越多複雜任務的需求,Google釋出了最新的架構引導對話(Schema-Guided Dialogue,SGD)資料集,以擴展智慧助理模型,使其有能力處理多重領域的任務。 現在的智慧助理可以完成的任務越來越多,包括預定餐廳或是擷取網路訊息等,Google提到,像是Google助理這類智慧助理整合了眾多領域的服務,每個服務可能由不同領域的服務疊加而成。為了適應這樣的發展,讓智慧助理能夠支援更多的新服務,而不需要收集額外的資料或是重新訓練模型,降低維護成本。因此Google釋出SGD資料集,來填補訓練智慧助理處理複雜與大規模任務所需要的資料集空缺。 SGD資料集是目前最大的任務導向對話語料庫,Google使用綠野仙蹤(Wizard of Oz)方法產生人類與助理的對話,共包含跨17個領域18, »
蘋果在本周發表了全新的AirPods Pro無線耳機,比起原本的AirPods,它新增了主動降噪功能,可隔絕環境噪音,亦可切換至通透模式(Transparency Mode)來引入外界聲音,同時也改善了音質與配戴的舒適度,訂價為249美元(7,990元新台幣),即日起於部份國家的線上蘋果商店開賣,預計10月底即會登上蘋果門市。 根據蘋果官網上的AirPods Pro與AirPods的比較表,AirPods Pro主要新增主動式降噪與防汗抗水功能,但所謂的防汗抗水也只支援非水上的運動與活動,也警告用戶不應替潮溼的AirPods Pro充電。 蘋果說明,AirPods Pro的主動降噪,是利用兩個麥克風及軟體進行持續性的聲音調整, »
使用網路接收各項新知、社群交流、網路購物都是民眾每天都會接觸的活動。然而,網路詐騙事件近年也急遽增加,詐騙手法也日趨變化、不斷精進。 趨勢科技 PC-cillin 2020 雲端版 ,就針對目前最新型態的各種網路詐騙手法進行全面性的 AI 智能防毒,從防範入侵、偵測威脅到保護檔案,讓大家在網路使用更加安心,免於受到詐騙侵害。 網路已成為民眾每天生活不可或缺的一部份,無論是電腦、智慧型手機、平板電腦,在使用網路時都可能受到詐騙和病毒威脅。駭客和黑心賣家們,經常藉由詐騙購物網站、假宅配簡訊、 »
線 上看電影注意! 想免費看片,當心 LINE 帳號被騙 總是在搜尋「免費線上看」、 「線上免費看電影」 等關鍵字嗎?詐騙集團聽到你的需求了,首波推出的是打著”李安與威爾史密斯聯手!「雙子殺手」(gemini man )線上看!”的假影音網站 。 該網址以短網址在 LINE 散播 https://tinyurl.com/*3fr9,實際網址是 »
不限定在辦公室的工作型態持續普及中。本文為您詳細解說在職場以外的地點工作時,必需注意的資安對策。 「居家工作 Telework(線上遠端工作 Remote Work)」讓上班族不再受限於時間及場地進行工作,也能取得工作與生活間的平衡。但令人擔憂的是在職場以外場所工作時資訊外洩及病毒感染等風險會升高。於居家工作時,應注意哪些事項呢? 用 USB 或雲端服務將數據攜出職場及共享時應注意的事項 欲將數據攜出或與外部共享時經常會使用到的就是USB隨身碟或是雲端服務。如果使用不當,極可能會導致資訊外洩。 使用USB隨身碟雖攜帶方便亦能夠輕鬆地進行數據間的交換,但相對的,亦增加了因為遭竊或遺失導致資訊外洩的風險之外,除此之外,也感染上病毒等惡意軟體。一旦,使用感染上病毒的USB隨身碟, »
講到防毒軟體,很多人第一個想法就是能夠偵測、阻擋、清除讓電腦當機或無法正常開機的各種傳統電腦病毒,又或是潛藏的特洛伊木馬程式及各種惡意程式等。這些當然是趨勢科技 PC-cillin 2020 必備的基本功能,但是對於現代科技使用者來說,透過社群網站、通訊軟體、網路廣告,或電子郵件鋪天蓋地而來的各種網路詐騙,才是最防不勝防且最容易遭受金錢或時間損失的「網路攻擊」;而替使用者防範這些攻擊,正是趨勢科技 PC-cillin 2020 的擅長之處。 ▲防堵電腦病毒是 PC-cillin 2020 最基本的功能,對現代科技使用者來說, »
現在民眾進到全家消費時,除了可以選擇行動支付外,也能使用全家超商推出的電子錢包來付款了。趕在年底前,全家今日(28日)宣布替家自家行動App推出Fami電子錢包功能,除了可以將結帳找回的零錢轉儲到虛擬錢包,也能透過這個錢包來將一定金額轉贈給好友,甚至只需輸入手機號碼就能轉。目前該功能也已經推出上線。 目前,全家擁有超過1千萬名行動App會員,但絕大多數進店消費的民眾,仍以現金付款為大宗,尤其與量販店、超市不同,超商一般交易大多在百元以內,因此找回許多零錢,常常無處可放,只能塞滿口袋和錢包。為了解決這個痛點,全家推出了Fami電子錢包服務,可以將找回的零錢轉存到全家的電子錢包,做為日後的進店消費使用。 不同於全家Fami »
《科學》(Science)期刊本周刊出了一篇有關健康演算法涉及種族歧視的研究論文,指出因為原本的演算法無意間就被嵌入了種族歧視,使得將它用來評估需要特別照顧的病人時,白人比起黑人更容易獲得醫療資源。 來自美國大學與醫療院所的多名研究人員發現,美國的醫療照護系統使用商業演算法來指導醫療決定,為了方便起見,此一商業演算法是藉由輸入人們的保險資訊與醫療費用來衡量他們的健康狀況,然而,他們並沒有想到黑人在存取醫療照護資源時通常有其限制,涵蓋貧富差距、交通障礙,或是缺乏與醫生之間的信賴等,因此就算當初的演算法並未區分種族,但以保險與醫療費用來取代人們真正的健康狀態作為衡量標準,便已暗藏了歧視。 於是,當美國的醫療照護系統要評估人們是否需要額外的照護時,在症狀同樣嚴重的白人與黑人之間,白人通常會相對容易得到應有的醫療資源。 研究顯示,當糾正此一錯誤時,理應接受額外照護的黑人比例從17.7% »
如果你問哪一款防毒軟體值得推薦?每個人的答案都不一樣,最好的推薦莫過於長久使用的經驗心得。我從 3 年前開始就將筆電和桌機全部裝上 PC-cillin 雲端版,一直到今天電腦都安然無恙,期間數不清的惡意程式、惡意軟體警告都成功的被攔截下來,而最近趨勢科技 PC-cillin 2020 雲端版正式發表,強化了雲端攔截病毒和網路詐騙的能力,對於網路交易過程也提供了先進的保護措施加強資料安全,下面就來跟大家分享這個最新版本有什麼特色吧! 防毒軟體除了做好防毒工作之外,常常還得身兼多職,沒辦法,因為大環境使然嘛!記得以前學生時期要保護電腦都得靠防毒+防火牆,甚至還要裝防護軟體,效能有限的情況下光是常駐軟體就要吃掉不少系統資源, »
美國兩名參議員Chuck Schumer與Tom Cotton在本周去函美國國家情報局,要求當局評估抖音(TikTok)與其它源自中國的內容平台,是否會對美國的國家安全帶來威脅。 抖音是由中國的字節跳動所開發的短影片程式,讓使用者可建立15秒的對嘴音樂影片,再利用不同的特效打造個人風格,該程式光是在美國就有超過1.1億次的下載。 這兩名參議員表示,抖音的服務條款宣稱會蒐集使用者及裝置上的資料,包括使用者的內容與通訊、IP位址、位置、裝置ID、Cookie、元資料,以及其它個人資訊等,儘管字節跳動宣稱該公司並未在中國經營抖音,也把美國用戶的資料存放在美國,但字節跳動依然需要配合中國的法規。 此外,有許多安全專家對於中國在情報、 »
「大家都在用相機APP來拍照修圖,難道想拍出美照只能下載相機APP嗎? 」 小心把背景修到糊掉還被笑!而且竟然有高達800萬下載量的相機APP可以惡意感染你的行動裝置,難道想拍出美照真的沒有辦法了嗎? 別擔心~讓趨勢科技3C好麻吉來教你五招拍照必學的姿勢和技巧! 第一招:動作不要太生硬 第二招:利用手擺放的位置遮住身體的缺點 第三招:抬頭挺胸 第四招:一隻腳往前踩讓視覺延伸 (加碼小技巧:由下往上拍攝) 第五招:不要把肚子朝向鏡頭 以上是趨勢科技3C好麻吉親自下去示範的拍照效果,用對拍照姿勢及技巧,是不是比拍照完再修圖,更省時省力了呢? – 拍照 APP 背後隱藏的危險! »
日本一家連鎖飯店的陪伴機器人雖然噱頭十足,但是被一名安全研究人員爆料有軟體漏洞,讓任何人都可以駭入用以遠端偷窺未來入住的房客。 Lance R. Vick指出,日本H. I. S.集團下的怪奇Hotel(Henn na Hotel)連鎖飯店置於床邊的機器人Tapia,可能會被植入未知來源的程式,使機器人的攝影機和麥克風,可被用來遠端監看未來入住同間房的住客。他在上個月警告飯店一星期沒有接到回應,於是發動攻擊,以NFC裝置在機器人系統植入了「未簽發的程式碼」並且昭告天下,要大家知道這家飯店對安全和隱私的輕率。 這種機器人類似Google/Nest Home, »
美國聯邦調查局(FBI)本周發布了一篇文章,警告舉凡在網路上提供線上支付機制的美國中、小企業或政府機構,應該要留意駭客的線上盜錄(e-skimming)行為。 所謂的線上盜錄是駭客在網站上注入惡意程式碼,以竊取使用者的支付卡資訊或個人身分資訊。FBI說明,駭客也許是藉由網釣攻擊,或是透過第三方服務供應商的安全漏洞而進駐受害網站,在利用惡意程式即時捕獲消費者所輸入的資料之後,再於暗網中銷售,或以這些支付卡資料進行消費。 FBI建議各網站或政府機關應該要定期更新軟體;不使用預設的系統憑證,也應建立強大且獨一無二的密碼;啟用多因素認證機制;不要點選來路不明的連結,小心郵件中的附加檔案;並且適當隔離網路與功能。 迄今歷史最悠久的線上盜錄集團之一為Magecart,資安業者RiskIQ最早在2010年就曾發現Magecart的蹤跡,Magecart的手法可能是直接於目標網站上或是藉由供應鏈攻擊, »