針對工業的駭侵行為,相較去年上半年大增一倍

IBM 轄下的資安研究單位 X-Force IRIS 日前發表研究報告,指出過去半年以來,針對工業和製造業的駭侵次數,和去年上半年相比,大幅增加了一倍。

IBM 的報告指出,該單位發現製造業被列為駭侵攻擊對象的比例,近年來大幅增加;近半年來有一半左右的駭侵事件,都是針對工業製造部門發動的。

這些駭侵行動最主要的攻擊手法,仍是透過釣魚郵件、發動水坑攻擊,或是駭入企業的第三方合作單位,以取得入侵所需的登入資訊。

有些駭侵團體會先在企業內網中潛伏數月之久,盡量搜刮所需的檔案;但也有駭侵行動在入侵之後就立刻展開。

IBM 估計,大型企業每次遭到攻擊,平均會有 12,000 台電腦遭到破壞;企業至少要花 512 小時才會發現遭到駭入,復原所需時間更長達 1,200 小時。

資料來源:

  1. https://securityintelligence.com/posts/from-state-sponsored-attackers-to-common-cybercriminals-destructive-attacks-on-the-rise/
  2. https://www.zdnet.com/article/cyberattacks-against-industrial-targets-double-over-the-last-6-months/

專家研製偵測軟體 Bluetana,抓到竊取信用卡資訊的假冒藍牙刷卡機

資安公司 Krebs 與美國大學共同合作,開發出一支能夠偵測出假冒藍牙刷卡機的 App,可以用來遏止信用卡資料竊盜事件。

Krebs on Security 發表專文指出,該單位與加州大學聖地牙哥分校、伊利諾大學香檳城區分校,共同開發出一支稱為 Bluetana 的手機 App,希望能夠找出各種透過藍牙傳輸資料的假冒信用卡刷卡機。

這類假的藍牙刷卡機經常被歹徒放在美國各地自助加油站的刷卡機旁,當不知情的顧客刷卡時,信用卡資料就有被竊取的風險。

研究單位表示,他們讓 44 位志願者使用 Bluetana 偵測全美六個州的 1,185 個加油站,一年來發現了 64 個假冒刷卡機。

Bluetana 將有助於加油站管理者與警察更快速找到可疑的假冒刷卡機,減少信用卡資料竊取與盜刷造成的巨大損失。

資料來源:

  1. https://krebsonsecurity.com/2019/08/meet-bluetana-the-scourge-of-pump-skimmers/

單眼相機也可能被勒贖軟體攻擊

資安研究單位 Check Point 發表研究報告,指出單眼相機也可能成為勒贖軟體的攻擊目標。

Check Point 的資安專家指出,單眼相機用來傳送相片資料的 PTP 傳輸協定,存有易被駭客攻擊的漏洞;駭客可利用 PTP 在相機中植入勒贖軟體。

Check Point 使用 Canon EOS 80D 進行攻擊示範,透過相機的 Wi-Fi 相片傳輸功能,將勒贖軟體植入相片,並且將記憶卡中的所有影像資料加密,讓用戶無法存取相片或影片。

Check Point 在今年三月發現這個漏洞,並且通報 Canon;Canon 也於日前推出安全更新。攝影愛好者除了應該立即更新,並應避免使用未加密的無線網路傳輸照片;而在相片傳輸完成後應立即關閉相機的 WiFi 功能。

資料來源:

  1. https://research.checkpoint.com/say-cheese-ransomware-ing-a-dslr-camera/
  2. https://global.canon/en/support/security/d-camera.html
  3. https://www.theverge.com/2019/8/11/20800979/check-point-canon-eos-80d-dslr-malware-ransomware-cybersecurity

美國政府警告,2020 總統大選恐遭勒贖攻擊

美國政府官員指出,2020 總統大選時,駭客可能會加強攻擊選民資料庫;尤其是勒贖攻擊。

據路透社報導指出,美國政府已著手規畫針對 2020 大選選民資料庫的資安強化作業,各項新保護措施預計在一個月內就會上線。

美國官員指出,該資料庫曾在 2016 年遭俄羅斯駭客入侵,當時駭客的目的僅為竊取資料;但 2020 年可能發生的駭侵行為,其動機將會是操弄、干擾選舉或破壞資料。

美國國土安全部旗下的網路基礎架構安全局(CISA)特別針對勒贖攻擊的威脅發出警告;過去半年來已有多個美國大小城市,因勒贖攻擊而造成市政系統全面癱瘓。

CISA 已經開始會同 2020 大選各相關單位,共同研擬遭到各種攻擊時的反應計畫,同時加強對各式網路攻擊的防範準備。

資料來源:

  1. https://www.reuters.com/article/us-usa-cyber-election-exclusive/exclusive-u-s-officials-fear-ransomware-attack-against-2020-election-idUSKCN1VG222

McAfee 指出:2019 年第一季,每分鐘就有 504 次駭侵攻擊

資安廠商 McAfee 發表統計數字,指出 2019 年上半年各種駭侵攻擊的統計數字。

根據 McAfee 的報告,2019 年第一季的全球駭侵活動仍持續上升,平均每分鐘就觀測到高達 504 次各式駭侵活動。其他重要的觀測統計數字如下:

  • 與去年同期相較(以下同),勒贖攻擊增加了 118%,駭侵的進行策略與技術都有所提升;
  • 超過 20 億組帳號的登入資訊被盜,且在暗網中流通;
  • 愈來愈多針對公司行號進行的駭侵攻擊,以魚叉式網路釣魚(Spearphishing)為初始攻擊手法;
  • 意在挖掘新虛擬貨幣的挖礦惡意軟體攻擊增加 29%;
  • 針對亞太區的網路攻擊增加 126%。

詳細的報告資料,可參考 McAfee 的報告全文。

資料來源:

  1. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-aug-2019.pdf

最新統計指出,倫敦每月平均遭到近一百萬次網路攻擊

資安研究單位指出,今年前三個月的統計,倫敦平均每月遭到近一百萬次網路攻擊,較去年提高 90%

資安研究單位「資訊自由」(Freedom of Information)發表研究報告,指出 2019 年第一季,倫敦一共遭到 280 萬次各式網路攻擊事件,平均一個月就有近一百萬次。

和 2018 年四月到十二月的攻擊統計相比,身為英國金融中心的倫敦,遭網路攻擊的次數上升了 90%;資安單位認為一方面是因為攻擊次數確實有所增加,但也可能是因為攻擊偵側技術的進步所致。

在去年四月以來的 720 萬次網路攻擊中,垃圾郵件佔絕大多數,達 690 萬次;其次是釣魚詐騙信件,有近 25 萬次,和惡意軟體相關的攻擊也有近兩萬起。

資料來源:

  1. https://www.infosecurity-magazine.com/news/city-of-london-one-million/

承諾用戶匿名使用的色情網站,大量洩漏用戶個資

一個名為 Luscious.net 的色情網站,承諾讓用戶匿名使用,然而卻發生大量用戶個資外洩事件。

據資安專家指出,該網站的用戶資料庫被發現公開在外部網路上,而且沒有任何保護措施;外洩的個資包括 110 萬名用戶的用戶名稱、email、使用記錄、性別、所在地等資料欄位。

另外,像是用戶自己上傳的相片和影片內容、留言、貼文、喜愛的內容、追蹤的帳號等資料也在外洩之列。

這個色情網站的內容,以變態和動漫的色情內容為主,雖然名氣不大,但據 Alexa 統計,其流量位居全美五千大網站之列。

資安專家和 TechCrunch 試圖和該網站連絡,以通報個資外洩事件,但都沒有得到任何回應。

資料來源:

  1. https://www.vpnmentor.com/blog/report-luscious-data-breach/
  2. https://techcrunch.com/2019/08/19/anonymous-luscious-hentai-manga-porn-security-lapse/

Apple iPhone 的 AirDrop 功能可能洩漏手機門號等資訊

資安研究單位證實,透過低功率藍牙協定進行廣播連線的 Apple iPhone AirDrop 功能,可能洩漏包括手機門號在內的各種資訊。

據資安研究單位 Hexway 的報告指出,非常方便的 iPhone AirDrop 功能,可能洩露包括手機門號、電池容量、裝置名稱、無線網路連線狀況、iOS 版本號碼等資訊。

蘋果的 Mac 和 iPhone、iPad 等產品,有極為方便的「接續互通」功能,讓用戶可以簡單地透過無線方式傳送檔案,或在另一台設備上完成工作;這些功能係透過低功率藍牙和 Wi-Fi 無線連結完成,特別是低功率藍牙的廣播功能。

Hexway 分析 iPhone 發出的低功率藍牙資料封包,發現手機門號資訊係以 SHA256 進行加密傳送;然而駭客只要針對某一區域的所有手機門號預先以 SHA256 加密,得到一個對照表後,再用 iPhone 發出的門號 SHA256 雜湊值查表比對,即可找出你的門號。

Hexway 的報告中,也分析了運用 SHA256 查表法取得用戶 Wi-Fi 密碼或其他資訊的可能手法。

資料來源:

  1. https://hexway.io/blog/apple-bleee/
  2. https://arstechnica.com/information-technology/2019/08/apples-airdrop-and-password-sharing-features-can-leak-iphone-numbers/

駭客公開最新 iOS 12.4 越獄破解資訊

由於 Apple 未在最新版 iOS 12.4 中修補過去已經修補過的漏洞,致使駭客得以發布針對 iOS 12.4 的越獄(Jailbreak)方法。

針對最新版 iOS 的越獄方法,已經很久沒有在網路上公開發表過;這次駭客之所以能對最新版 iOS 發表越獄方法,其實是因為 Apple 未在 iOS 12.4 修補一個已在 iOS 12.3 中解決的安全漏洞。

不少用戶照著公開的方法,也成功破解安裝了 iOS 12.4 的 iPhone。

資安專家指出,過去資安研究者甚少發表 iOS 的破解方法,是因為這些破解方法非常值錢,往往可以賣到幾百萬美元之譜;一旦公布,Apple 很快就會推出更新軟體修補漏洞,讓破解方法失效。

用戶破解 iPhone 主要是希望能讓手機更加個人化(例如使用自定系統字體)、破解系統限制,或是執行某些未在 App Store 中發行的應用軟體;然而這可能帶來相當大的資安風險。

資料來源:

  1. https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years

英國爆發生物辨識資安事件,百萬人指紋、面孔與帳密未加密存放

英國爆發有史以來最嚴重生物辨識資訊資安事件,計有超過一百萬人的臉部、指紋圖像資料、登入帳密等個資,存放在未經加密的公開資料庫中,可任人隨意取用。

以色列資安專家 Noam Rotem 和 Ran Locar 日前發現,英國保全公司 Suprema 旗下的 Biostar 2 生物辨識門禁系統,將其辨識資料庫放在網路上,而且未經加密;只要針對其 Web 管理界面的 URL 略經修改,即可進入資料庫中。

專家指出,資料庫中一共有兩千七百八十萬筆資料,檔案大小高達 23GB,內含資料欄位包括指紋和面部掃瞄資料、面部相片、用戶帳號與密碼、進出記錄、安全控管權限層級等個資,影響人數超過一百萬人。

Biostar 2 與其相關系統的用戶遍布全球,共有 83 國、超過五千七百家公私單位採用該系統。受影響單位包括英國倫敦警察廳、英國各國防相關單位等。

資安專家進一步指出,這個資料庫不但完全未經加密,甚至連基本的權限控管也付之闕如;他們可以任意在資料庫中新增用戶或更改資料。

資料來源:

https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms