美國國家安全局(National Security Agency, NSA)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)於今年 10 月時,聯名公布該單位旗下紅隊與藍隊共同歸納出的 10 大最常見網路資安設定錯誤,以供各公私單位參考並解決問題。
最常見資安錯誤設定第一名為使用軟體與應用程式的預設組態,包括使用預設登入資訊、使用預設的服務存取權限設定等;駭侵者只要用簡單的搜尋,就能找到各種軟硬體的預設登入帳密,並取得系統的存取權限,甚至進行進一步的駭侵攻擊。
第二名為未適當區隔使用者與管理者權限,這會造成一般低階使用者擁有太多不必要的管理權限,駭侵者只要利用釣魚攻擊等手法取得一般使用者存取權,即可進行各種進階操作,甚至提升己身權限以執行進階駭侵攻擊。
第三名為內部網路監控能力不足,許多單位未對主機和內部網路的流量進行充分的監控,可能導致偵測不到駭侵攻擊活動,或是缺少足夠的資料用以分析或應對資安威脅。
第四名為缺少網路分段作為,這可能導致未經授權的使用者或駭侵者,可以輕易存取關鍵內部網路資源;這種錯誤特別易使勒贖攻擊者輕易取得單位機敏資訊。
第五名為資安漏洞修補不充分,導致系統存有已知漏洞,容易遭致駭侵者用於攻擊;第六名為可略過的系統存取控制,這將使駭侵者或未經授權者可輕易存取系統,甚至提升執行權限。
第七名為不夠強或錯誤設定的多重登入驗證,包括設定錯誤的智慧卡或代碼產生器,或是缺少能抵抗釣魚攻擊的多重登入驗證程序,都將使取得登入資訊的駭侵者極易入侵系統。第八名是對網路分享資源與服務存取限制不足,駭侵者可輕易使用共享資料夾,或使用未關閉的服務來存取系統。
第九名是密碼管理強度不足,包括易於猜測破解的密碼,甚至是以明文儲存的密碼,都無法有效抵擋駭侵者攻擊;第十名則為未限制的程式碼執行,這使駭侵者只要掌握登入資訊,即可執行各種攻擊用程式碼酬載,嚴重危及系統安全。
建議各公私單位可以參考此指南,檢視並加強現存的資安防護設定錯誤,以提高資安攻擊的防護能力。twcert 發表在 痞客邦 留言(0) 人氣(1)
加拿大政府日前發表資安通報,指出兩家為加拿大政府處理員工轉調手續的外包廠商,日前遭到勒贖攻擊,致使加拿大政府雇員的多種個資外洩。
據加拿大政府的通報指出,兩家協助該國政府員工轉調手續的廠商,分別是 Brookfield Globla Relocation Services (BGRS) 與 SIRVA Worldwide Relocation & Moving Services,兩家公司自 1999 年起即承辦加拿大政府員工調任的相關事宜。
加拿大政府雖然沒有在通報中詳細說明兩家公司遭駭的詳情,但勒贖團體 LockBit 在其官網中表示是該組織犯下對 SIRVA 公司的勒贖攻擊;LockBit 也揚言已經取得該公司多達 1.5TB 的資料,並向該公司要求高達 100 萬美元的贖金,但 SIRVA 並未支付,因此該批被竊資料就遭到 LockBit 公開在暗網中。
另一方面,加拿大政府於 2023 年 10 月 19 日接獲兩家外包廠商遭駭的通報後,立即向該國資安主管機關加拿大資安中心(Canadian Centre for Cyber Security)與隱私保護官辦公室(Office of the Privacy Commissioner)通報事故。
在加拿大政府對外公開的資安通報中,並未提供本次事件的受害人相關資訊,包括潛在的加拿大政府雇員受害者人數在內;不過由於 BGRS 和 SIRVA 兩家公司自 1999 年開始就承接相關業務,因此包括個人資訊財務資訊遭竊的受害者人數可能不在少數。包括加拿大皇家警察(Royal Canadian Mounted Police)、加拿大空軍與多個政府單位從業人員都受到影響。
加拿大政府表示,已針對受害者提供信用監控服務,並對有需要的人員重新核發有效護照等證件;加拿大政府也將在案件調查告一段落後盡快公布調查報告。
建議各政府單位協力外包廠商,應加強資安防護能力,避免政府所屬各種機密文件與人員相關資料遭竊。twcert 發表在 痞客邦 留言(0) 人氣(1)
美國聯邦通訊委員會(Federal Communication Commission, FCC)日前推出新規定,強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程,以保護消費者免於日益嚴重的 SIM-swap 攻擊。
FCC 旗下的「隱私與資料保護工作小組」(Privacy and Data Protection Task Force)在 2023 年 7 月研擬推出新規定,以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡,藉以竊取消費者的手機門號控制權。
駭侵者取得新 SIM 卡後,即可以該門號來進行進一步的攻擊活動,例如配合竊得的用戶登入資訊,以該門號接收二階段登入驗證簡訊,取得消費者各種社群與金融服務帳號的控制權,或是假冒消費者身分使用或申請各種服務,以散布惡意連結或惡意軟體等,為害甚大。
FCC 本次新規定修改了與「消費者專屬網路資訊」(Customer Proprietary Network Information,CPNI)與「本地門號可攜性」(Local Number Portability)的相關規定,強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時,必須進行額外的使用者身分驗證,並且明確通知用戶。
FCC 表示,新規定強化了電信業者對消費者的安全保護責任,期可大幅提高 SIM-swap 的攻擊難度,減少這類攻擊的得逞。
由於在台灣申請這類電信服務均需出示雙證件,因此國內的 SIM-swap 攻擊較為少見;但消費者如果擁有國外電信門號,務必提防這類攻擊。twcert 發表在 痞客邦 留言(0) 人氣(5)
全球大型財經媒體彭博新聞(Bloomberg News)所屬的加密貨幣子頻道,其在 X 平台上官方帳號日前遭竊,稍後該官方帳號即遭駭侵者用於進行詐騙,將讀者導向至釣魚網站,以騙取受害者的 Discord 平台登入資訊。
根據加密貨幣詐騙觀察家 ZachXBT 指出,駭侵者在該帳號的個人檔案中,放入了一個原本就有 14,000 個成員的 Telegram 聊天頻道連結;該連結會將點按者導向到一個有 近 34,000 名成員的假冒 Bloomberg Discord 聊天室。
據 ZachXBT 指出,Bloomberg 原本的 Telegram 頻道,其使用者名稱為 @BloombergNewsCrypto;在 2023 年 10 月時,該頻道更名為 @BloombergCrypto,但原先使用的舊名因不明原因遭到駭侵者取得,並用來發動釣魚攻擊。
受害者如果進入該舊 Telegram 頻道後,會看到由機器人自動發送的訊息,要求使用者前往其在 Discord 上的聊天室;而使用者在點按該連結後,會先被導到一個假冒的 Discord 使用者身分驗證服務釣魚網站,要求使用者輸入其 Discord 登入資訊,從而竊取使用者的帳密。
資安專家指出,由於許多加密貨幣投資者都使用 Discord 社群服務,因此 Discord 帳號資訊經常成為駭侵者的攻擊目標;駭侵者可利用竊得的 Discord 帳號來推廣加密貨幣詐騙或釣魚攻擊,甚至竊取使用者的加密貨幣資金。
為防範釣魚攻擊,建議加密貨幣投資人避免點按任何不明連結,並採用多階段登入驗證,不在任何可疑網站中提供任何帳密等個人資訊。twcert 發表在 痞客邦 留言(0) 人氣(0)
美國聯邦調查局(Federal Bureau of Investigation, FBI)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),日前聯合發表資安通報,指出一個名為 Royal 的勒贖團體,自 2022 年 9 月起犯下多起勒贖攻擊,總共要求的贖金高達 2.75 億美元。
FBI 在通報中更新了於 2023 年 3 月發出的資安指引,指出自 2022 年 9 月以來,Royal 勒贖團體的攻擊行動,至少有 350 個以上受害個人或團體。
如同其他勒贖團體的攻擊手法,Royal 勒贖團體會先竊取受害者的資料,然後再將其加密並要求高額解鎖贖金;如果受害者拒付贖金,被竊的資料就會遭到 Royal 公開在其網站上。
兩個單位也指出,Royal 勒贖團體最常用於入侵受害者電腦系統的手法,是藉由釣魚郵件來騙取受害者的系統登入資訊。
資安廠商 RedSense 旗下的資安專家也指出,Royal 在今年 9 月時更名為 BlackSuit,並放棄原先使用的駭侵工具與組織架構;新的組織架構更加企業化,更接近其來源駭侵團體 Conti2 的組織與運作方式。
今年 3 月時 FBI 與 CISA 已經在針對 Royal 勒贖團體發布的資安通報中,提供防範該團體進行駭侵攻擊的指引,包括該團體典型的攻擊手法、流程等詳細資訊,以協助各單位阻擋其攻擊,並且攔截進行攻擊用的惡意程式碼酬載。twcert 發表在 痞客邦 留言(0) 人氣(0)
Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」,共修復 58 個資安漏洞;其中含有 5 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量僅有 58 個,較上個月(2023 年 10 月)的 104 個資安漏洞大為減少;而在這 58 個漏洞中,僅有 3 個屬於「嚴重」等級,另有 5 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 15 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:twcert 發表在 痞客邦 留言(0) 人氣(100)
資安廠商 Scam Sniffer 近期發現有駭侵者濫用以太坊的「Create2」功能,成功略過加密錢包的資安功能並入侵加密貨幣位址,在六個月內竊得高達 6,000 萬美元加密資金,受害者近 10 萬人。
Scam Sniffer 近來發現多起利用相同手法的加密資產竊案,都是利用以太坊提供的「Create2」功能來加以濫用。該功能是於以太坊的「Constantinople」改版時推出,可在區塊鏈上新增智慧合約。這個功能非常強大,可以在布署智慧合約前用來計算錢包位址,讓區塊鏈開發者可用以設計出複雜的智慧合約功能,且可以進行鏈下交易之用。
Scam Sniffer 指出,駭侵者利用 Create2 功能憑空創造出全新的智約合約位址,因其不含任何過往的惡意交易記錄,因此當駭侵者將竊取的資金轉入這些全新的錢包位址時,就不易觸發危險位址交易警示。
最近的一次竊取記錄顯示,某位受害者不慎簽署了駭侵者提供的惡意智慧合約,其相當於 927,000 美元的 GMX 代幣就遭到駭侵者轉入這類預先計算的合約位址內,因而遭到竊取。
也有駭侵者利用 Create2 功能,製作出和受害者個人擁有的位址相當接近的錢包位址,用來混淆受害者視聽,讓受害者以為轉帳目標位址是自己所擁有的錢包,從而竊取資金。
Scam Sniffer 指出,自 2023 年 8 月起,已記錄到 11 起駭侵者利用位址混淆手法進行的加密貨幣詐騙,共計損失 300 萬美元;最大的一筆竊案,損失金額高達 160 萬美元。
建議加密貨幣持有者在進行轉帳時,務必仔細檢查並確認轉帳目標的錢包位址是否完全正確,否則資金一旦轉出就無法逆轉,恐將蒙受重大損失。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安廠商 Vanta 在一項針對 2,500 位企業領袖的大規模調查中發現,超過一半的企業領袖認為未經規範且不透明的生成式 AI 運用,可能導致客戶信賴感的降低。
這項調查是資安廠商 Vanta 針對澳洲、法國、德國、英國、美國的 2,500 位企業領袖進行的資安議題問卷調查,以了解企業在面對資安與信賴管理方面面臨的困難與挑戰。
報告指出,超過三分之二的受訪企業領袖,認為自己的企業必須強化資安防護能力與合規程度,另外也有四分之一受訪者表示,自己的企業在組織的資安防護與合規策略上過於被動。
報告也發現企業普遍面臨的新時代資安與信任困境,包括生成式 AI 的使用大幅增加、駭侵攻擊的廣度與深度大幅提升,企業必須大大提高資安方面的投入,但實際上可運用的人力與預算卻是減少的。
在 AI 運用方面,54% 企業領袖認為需要建構一套適當的 AI 使用規範體系,讓企業有所遵循,包括規範本身與生成式 AI 使用的透明度揭露等,否則將影響客戶對企業的信賴感。
此外,高達 72% 的受訪企業領袖,認為有充分的資安與合規策略,能夠提升企業的經營效率,但只有 41% 的企業進行內部資安稽核,僅有 37% 企業採用第三方的資安稽核,36% 企業完成內部資安問卷調查,平均更有 12% 企業當被問及內部資安策略時無法提供資訊或證明。
建議各大公私單位面對日益嚴峻的資安風險與合規要求,都應認真面對,撥列充足資源加以規畫,以強化資安防護能力與合規程度。twcert 發表在 痞客邦 留言(0) 人氣(3)
全球大型社群討論平台 Discord 日前發布新聞稿指出,該平台將在今年年底之前改用暫時性連結來提供檔案下載服務,以防駭侵者使用其 CDN 服務來放置惡意軟體。
Discord 在回覆資安專業媒體 BleepingCompter 的採訪時指出,該平台正在調整存於其 CDN 中檔案 URL 連結的實作方式,以加強資安防護,提供使用者更安全的使用環境。Discord 指出,新措施將可逐漸減少存放在該平台上的惡意軟體檔案數量,且讓該平台的資安團隊更有效地限制經使用者檢舉的檔案連結。
Discord 即將推出的暫時性檔案連結 URL,在今年年底全面實施後,URL 的有效期限將限縮在 24 小時以內,且檔案連結 URL 會新增三種參數,以強化對 URL 的控制。
資安專家指出,Discord 的新做法是外部期待已久的改變,因為有愈來愈多的駭侵者,利用 Discord 的檔案分享功能來置放其惡意軟體檔案,將 Discord 的 CDN 服務變成惡意檔案擴散平台;特別是進行金融詐騙或由國家力量幕後支援的惡意檔案,數量佔比最高。
據資安廠商 Trellix 的統計,至少有 10,000 個以上的駭侵攻擊活動,使用置放於 Discord CDN 服務的惡意軟體下載 URL 來散播惡意軟體檔案,或是將第二階段的惡意軟體酬載放在 Discord 平台上。
包括 RedLine Stealer、Vidar、AgentTesla、zgRAT、Raccoon Stealer 等惡意軟體,都會使用 Discord 來放置惡意檔案或指令檔。
建議使用者應避免任意點按不明來源傳來的連結,以免遭惡意軟體攻擊或植入。twcert 發表在 痞客邦 留言(0) 人氣(0)
Google Play 日前開始在上架到該平台的 VPN(虛擬私人網路) App 欄位中,新增一個資安稽核標章,可顯示該 App 與其服務平台是否通過第三方的獨立資安認證。
Google 指出,要能在 Google Play 的 App 說明欄位中獲得此標示,App 與其服務平台必須符合 Mobile App Security Assessment (MASA) 的標準;而 MASA 則是由 App Defense Alliance (ADA) 制訂出的行動 App 資安認證標準。
MASA 的標準要求 App 與其服務平台,在資料儲存、資料隱私、加密、存取認證和工作階段管理 (session management)、網路通訊、平台互動與程式碼品質方面,都有相當嚴格的要求。
Google 會選擇 VPN App 作為首度導入 App 資安稽核標章的先導應用程式類型,主要原因是 VPN 應用程式對於使用者的資安與隱私保護深度相關,且會涉及使用者機敏資訊存取;在 Google Play 中顯示該標章的 App,即表示通過獨立第三方以 MASA 標準進行的資安認證,可為使用者提供多一層的保護與信任。
第三方資安認證廠商,會以 MASA 標準來對 App 的源碼、伺服器設定與配置進行稽核,並且試圖發現 App 中的資安錯誤與弱點,來判斷該 App 是否符合 MASA 標準,可以獲頒認證合格標章。
由於 Google Play 是屬於 Android 系統的官方 App Store,因此這個標章的推廣,對於強化 Android 平台的安全性,可以帶來正面的影響。
Google 目前要求所有在 Google Play 上架的 VPN App,都必須通過該認證;目前已通過第三方 MASA 認證且獲得認證標章的 VPN app,包括 Nord VPN、Google One、ExpressVPN 等。
未來 Android 使用者在 Google Play 下載各類 App 時,建議可以選擇具有該資安認證標章的 App,以提升安全性。twcert 發表在 痞客邦 留言(0) 人氣(16)
資安宣導 (2)