YouTube 大量用戶帳號遭劫持,創作者哀鴻遍野

近日大量 YouTube 影音創作者帳號被劫,尤以汽車評鑑或汽車改裝類頻道為甚;其他類型 YouTube 帳號亦傳大量被盜。

據 ZDNet 報導,這次大量帳號被盜事件,集可能是預謀已久的協同攻擊行為;被盜的帳戶有許多都是訂閱破數十萬的人氣 YouTuber,在 Twitter 上和 YouTube 支援論壇中可以看到大量相關抱怨和討論。

整個攻擊手法以釣魚郵件開始,攻擊者以釣魚郵件,誘騙帳號持有人登入假的 Google 登入頁面,取得用戶的 Google 登入帳密後,立即將用戶的 YouTube 頻道管理權限轉移給攻擊者自己的其他帳號,同時修改 YouTube 頻道原本使用的自定網址,讓循此網址進來的觀眾看到錯誤訊息,誤以為該頻道已關閉。

更有受害者指出,這些攻擊者有能力通過二階段登入驗證,因為攻擊者很可能也同時攔截了受害者應該要收到的驗證密碼簡訊。

目前 Google 尚未針對此事發表任何評論。

  • 攻擊手法:釣魚郵件
  • 關鍵字:YouTube, Phishing, 2FA
  • 資料來源:
  1. https://www.zdnet.com/article/massive-wave-of-account-hijacks-hits-youtube-creators/

近期發生多起假檢警「境外匯款」鉅額詐騙,請小心勿上當

近期多件假檢警「境外匯款」鉅額詐騙,被害人年齡大多在50歲以上,事業有成、富有積蓄。接獲歹徒電話後,未加以查證即依照歹徒指示交付現金或(境外)匯款,造成財產損失也增加對自身生活環境之惶恐。

近期案例

吳女士(58歲)家中經營紅外線機具生意,5月份在家中接獲假銀行行員來電佯稱吳女士證件遭盜用被冒名開戶,表示將協助吳女士轉接檢察官處理,隨後假檢察官謊稱吳女士涉及香港洗錢案、多次傳喚皆未到案,要求被害人提領帳戶存款,交付公證以示清白,被害人信以為真,於108年5月20日至6月25日期間,分別於四家銀行臨櫃匯款21筆至香港(匯豐銀行)帳戶,金額合計美金244萬8,170元及歐元70萬7,000元(初估約新臺幣1億187萬8,270元)。

詐騙手法

歹徒先隨機撥打市內電話或手機門號,假冒醫療院所、電信局或銀行人員名義,以個人資料遭冒用,再轉接假冒警察、檢察官,佯稱被害人涉及刑案、多次傳喚未到,要求配合辦案、監管帳戶、交付現金或(境外)匯款以證明清白,不配合就要收押等。

歹徒為避免銀行發現可疑情形,還會以「偵查不公開」為由,引導被害人若有行員詢問領款用途,要以公司購置機具、投資、子女結婚、家中買房子等理由搪塞行員。

因民眾對司法程序不甚瞭解,待匯款多筆後,聯繫不到假檢察官,始知受騙。

請民眾不要隨便輕信『假檢警』的詐騙,收到訊息請先查證165或相關單位,不要受騙上當

美軍駭入伊朗革命衛隊系統,摧毀其恐怖攻擊資料庫

美軍網路作戰司令部(US Cyber Command)證實,曾在六月時針對伊朗革命衛隊的資料庫發動網路攻擊,將其摧毀,以防行駛於波斯灣的各國油輪與貨輪再次遭該組織襲擊。

美國官員指出,這場攻擊行動是在美軍無人機遭擊落後的報復行動,且由川普總統批准執行。

美國網路作戰司令部拒絕透露行動細節,但這樣的網路軍事攻擊行動,足以顯示網路作戰已經正式成為美軍整體戰力的重要一環。

  • 攻擊手法:不明
  • 關鍵字:US Military, Iran, US Cyber Command
  • 資料來源:
  1. https://www.stripes.com/news/us/us-military-carried-out-secret-cyberstrike-on-iran-to-prevent-it-from-interfering-with-shipping-officials-say-1.596335
  2. https://www.stripes.com/news/middle-east/with-trump-s-approval-pentagon-launched-cyber-strikes-against-iran-1.587171

巴爾的摩市府證實,勒贖攻擊造成市政資料損毀

巴爾的摩市府審計單位證實,在數個月前針對該市的勒贖攻擊,確實造成部分市政資料永久損毀,無法復原。

美國巴爾的摩市審計員指出,該市資訊部門的部分資料,確定在先前該市遭受的勒贖攻擊中受損。

受損的資料是關於該市資訊部門的人員績效考核資料;這些資料都存在電腦系統的本地端,沒有其他備份;目前確認這些資料已經永久損毀。

巴爾的摩市於今年五月遭到勒贖攻擊,多個市政系統資料遭到加密,該市市政陷入癱瘓;該市隨後支付六百萬美元贖款,但遭到攻擊的市政系統與資料尚未全面復原。

巴爾的摩市先前任命的資訊部門主管,也因為此次攻擊事件而飽受責難;目前暫時處於停職狀態。

資料來源:

  1. https://www.baltimoresun.com/politics/bs-md-ci-data-lost-20190911-i6feniyk5nd3pereznpdxwsf7a-story.html
  2. https://www.baltimoresun.com/politics/bs-md-ci-ransomware-expenses-20190828-njgznd7dsfaxbbaglnvnbkgjhe-story.html
  3. https://www.baltimoresun.com/politics/bs-md-ci-frank-johnson-leave-20190910-waliphukdbcg3evzylbrjfefui-story.html

微軟緊急修補兩個已遭大規模濫用的 0-day 漏洞

微軟日前發出緊急修補更新程式,用以更新兩個新近被發現,而且已遭駭侵者大規模濫用的 Internet Explorer Microsoft Defender 中的 0-day 漏洞(CVE-2019-1366CVE-2019-1255)。

這兩個漏洞,前者存於 IE 之中,可讓駭侵者取得系統控制權,並且執行任意程式碼,後者則存於 Microsoft Defender 中,可用來發動 DDoS 攻擊。

由於這兩個 0-day 漏洞已遭駭侵者大規模濫用,因此微軟來不及等到下個月的 Patch Tuesday 例行更新,直接針對這兩個漏洞發布修補更新。

  • CVE編號:CVE-2019-1367、CVE-2019-1255
  • 影響產品(版本):IE 9, 10, 11、Microsoft Defender 1.1.16300.1 之前版本
  • 解決方案:安裝微軟最新推出的安全更新程式

資料來源:

  1. https://www.us-cert.gov/ncas/current-activity/2019/09/23/microsoft-releases-out-band-security-updates
  2. https://support.microsoft.com/en-us/help/4522007/cumulative-security-update-for-internet-explorer
  3. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

Facebook 近四億二千萬筆用戶個資外洩,資料庫被公開在網路上

資安研究人員在網路上發現多個含有 Facebook 用戶大量個資的超大型資料庫檔案,未經任何保護,可自由存取;總資料筆數高達四億一千九百萬筆;資料包含臉書用戶的 ID、手機號碼等個資。

資安研究單位 GDI 基金會的研究人員,日前在網路上發現數個資料庫,內含近四億二千萬筆 Facebook 用戶個資。

這些資料中有一億三千多萬筆資料屬於美國的 Facebook 用戶,一千八百萬筆屬於英國,也有五千萬筆以上來自臉書的越南用戶。

外洩的個資欄位包括用戶在臉書的 User ID、姓名、電話號碼、生日、國家、性別、所在地、資料更新日期等。

資安人員指出,這些含有超多內容的資料庫檔案,在網路上未經任何密碼保護,知道網址的人皆可任意存取。

駭客可經由這個資料庫輕易取得臉書用戶的手機號碼,發送垃垃簡訊或詐騙電話,甚至發動 SIM 卡置換攻擊,或是利用這個電話號碼來竊取用戶在其他網路服務的登入資訊。

Facebook 對此表示,這批資料是在 Facebook 去年取消用戶透過電話查詢其他用戶之前流出的,內容十分老舊,且 Facebook 很早以前就限制開發者取得用戶電話號碼;目前沒有證據指出資料係由 Facebook 內部直接外洩。

資料來源:

  1. https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
  2. https://www.theguardian.com/technology/2019/sep/04/facebook-users-phone-numbers-privacy-lapse

phpMyAdmin 被發現 0-day 漏洞

資安研究人員在使用率極高的開源 MySQL 網頁管理界面 phpMyAdmin 中,發現一個中等嚴重程度的 0-day 資安濡洞,駭侵者可用以刪除受害用戶的網頁伺服器。

研究報告指出,這個 0-day 漏洞屬於典型的 CSRF 漏洞,駭侵者可以藉由發送某個特別設計的 URL 給具有管理權限,且已登入其 phpMyAdmin 系統的用戶,受者者點按該連結後,即可在受害者不知情的情形下,刪除利用 phpMyAdmin 設定的 MySQL 資料庫。

這個 0-day 漏洞雖然會刪除網頁伺服器,但並不會刪除資料庫本身或任何資料庫中的表格。

此外資安研究人員在今年六月發現此一漏洞時,立即通報給 phpMyAdmin 的維護團隊,但該團隊未能在九十天內修復此漏洞;目前該漏洞亦尚未修復。

  • CVE編號:CVE-2019-12922
  •  影響產品:phpMyAdmin 4.9.0.1 在內的各已推出版本
  • 解決方案:尚無,資料庫管理者應避免點按可疑連結

資料來源:

  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12922
  2. https://seclists.org/fulldisclosure/2019/Sep/23
  3. https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html?m=1

大量 Instagram 釣魚郵件,藉侵權為由騙取帳號控制權

資安單位發現大量假冒 Instagram 發送的詐騙釣魚信件,意在竊取帳號控制權,用戶須提高警覺,避免點擊假連結。

據資安公司 Sophos 發布的消息指出,近來有大量假冒熱門相片影片分享社群平台 Instagram 的釣魚信件,在網路上流傳,意圖騙取受害者的帳號控制權。

這波釣魚信件假裝是由 Instagram 平台發出的警告信,指稱用戶分享侵害著作權的內容,如果不按下信件中的申訴按鈕,帳號可能會在 24 小時內遭停權。

用戶如果受騙而按下連結,就會被導向到一個假網站,並要求輸入 Instagram 帳號與密碼;歹徒就可取得用戶的 Instagram 控制權。

由於很多用戶會將同樣的帳號密碼使用在不同服務上,所以歹徒還可能進一步入侵受害者在其他服務上的帳號。

事實上,Instagram 對於侵權內容的處理,並不會在事前通知用戶,而是會先下架內容才通知用戶,所以流程是不一樣的。Instagram 用戶如果收到不明的通知信,一定要提高警覺。

資料來源:

  1. https://nakedsecurity.sophos.com/2019/09/24/instagram-phish-poses-as-copyright-infringement-warning-dont-click/
  2. https://help.instagram.com/1445818549016877

2019年9月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

通報地區統計圖

 

通報類型統計圖

Google 資安研究團隊揭發史上最大 iPhone 駭侵事件

Google 資安研究團隊 Project Zero 揭發史上為期最長、受害範圍最大的 iPhone 駭侵事件;駭侵行動長達兩年時間,受害人數難以估計。

駭侵者係利用 iOS 長期未被發現的 0-day 漏洞,在數個網站中放置惡意程式碼;只要以 iPhone 瀏覽這些網站,就會被植入惡意軟體;用戶在 iPhone 上進行的通訊活動,以及行事曆、相片、密碼、手機所在位置的即時座標等個資都會遭竊。

據 Google 指出,這些被置入惡意程式碼的網站,每周都有數千個訪客。

雖然 Google 並未指出是哪些網站放置惡意程式碼,也沒有指名駭侵者或其目標,但據 TechCrunch 報導,熟知內情人士認為這是由中國支持的駭侵團體,以維吾爾穆斯林人士為目標的駭侵行動。

受這個 0-day 漏洞影響的 iOS 版本,自 iOS 10 一直到 iOS 12;Google 於二月通報 Apple 這個發現,Apple 隨即在二月發行的 iOS 12.1.4 更新中修補了這個嚴重漏洞。

富比士雜誌也指出,這些網站不只攻擊 iPhone,也存有針對 Android 和 Windows 系統的惡意程式碼。

  • 攻擊手法:於網站中安插攻擊用的惡意程式碼。
  • 關鍵字:iOS, 0-day
  • 資料來源:
  1. https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
  2. https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
  3. https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#2adac7224adf