詐騙手法無極限,駭客以假基地台在中國散佈詐騙簡訊

Swearing Trojan除了以網釣郵件散佈,資安業者發現它還利用假冒的電信公司地基台收發器,向鄰近Android手機用戶發送含惡意網站連結的SMS簡訊,誘騙用戶連上惡意網站以植入木馬,進一步攔截銀行的OTP驗證密碼,冒充用戶身份登入。

2017-03-22

Pwn2Own虛擬機逃逸競賽,中國兩團隊攻陷VMware

Pwn2Own 2017第三天競賽中,在虛擬機逃逸競賽中,中國的360 Security及Tencent Security先後利用漏洞執行了虛擬機逃逸,VMware得到消息後已展開調查,以瞭解相關手法是否也會影響ESXi及Fusion。

2017-03-21

思科自曝318款交換機有漏洞,可能已遭CIA滲透

思科分析維基解密公佈的CIA機密文件因此而發現漏洞,該漏洞存在於Cisco作業系統IOS及IOS XE中的CMP叢集管理協定, 因為沒有限制及正確處理CMP專屬的Telnet連線,導致駭客可傳送改造的Telnet指令,以執行任意程式碼,最後取得裝置控制權。

2017-03-21

研究人員利用讀唇技術進行雙重認證,嘴唇就是你的通關密碼

香港浸會大學研究團隊展示了唇碼技術,使用者不需出聲只需以唇形說出密碼,加上嘴唇的生物特徵進行雙重身份驗證,即使不同的人說出相同的密碼也無法通過驗證。

2017-03-21

研究:無檔案攻擊、DNS PowerShell攻擊疑是同一駭客組織所為

安全業者Morphisec追查一宗惡意Word網釣攻擊,分析駭客控制的C&C伺服器腳本物件,發現與3月初思科揭露的PowerShell無檔案攻擊類似,其他腳本物件也和2月初卡巴斯基發現的Meterpreter無檔案攻擊相似。

2017-03-20

為何駭客特別愛用IoT裝置當作攻擊跳板,裝置管理權責劃分不易是主因

趨勢科技全球消費市場開發協理許育誠近日在臺灣資安大會上表示,許多企業內部關於IoT裝置的管理權責往往劃分不易,難以認定該歸於IT人員管或是屬於維運人員負責,以致於造成自家後門大開,有了讓駭客趁機而入的大好機會。

2017-03-20

US-CERT警告:企業監聽HTTPS反而可能使自己落入中間人攻擊風險

US-CERT警告企業監聽HTTPS流量是在客戶端與伺服器端間建立一個中間代理人,類似中間人攻擊的手法,但此一架構有潛在的風險,客戶端系統只能驗證與HTTPS監聽產品之間的通訊,必須仰賴監聽產品驗證伺服器的真偽,若監聽產品未能適當驗證或傳達驗證狀態就可能落入中間人攻擊風險。

2017-03-20

直擊全臺最大規模資安大會

從去年一銀ATM遭盜領事件,到今年初證券商集體遭勒索案,層出不窮的資安事件,讓臺灣企業主已無法再忽略資訊安全的重要性

2017-03-19

資安一周[0311-0317]:維基解密爆CIA利用惡意軟體,感染智慧電視、手機竊取使用者資料

維基解密(WikiLeaks)最近公布美國情報機構CIA機密文件,發現CUA從2001年起就開始培養駭客組織,並且開發惡意軟體感染特定人物的智慧電視、手機和汽車控制系統,監控長達15年時間。

2017-03-19

資安長的必要性

從一銀ATM盜領事件,到券商集體遭勒索案,讓金管會決心要求銀行設置專責資安主管和專責單位,使得這個在臺灣比資訊長更罕見的資安長職務,浮上了檯面

2017-03-18

IoT設備就是我們必須正視的網路威脅

無所不在的物聯網設備,你我都需要正視所帶來的資安問題

在2017年資安大會中,HITCON Girls共同創辦人賴婕芳與沈祈恩認為,目前物聯網裝置的應用會越來越普遍,但與其有關的資安事件頻傳,因此無論是製作的廠商,還是企業乃至於個人,都應該提高警覺,重視這些設備的安全性。

2017-03-18

Datablink推出簡易型行動裝置OTP方案,替代SMS OTP

透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用

在2017年資安大會的議程中,Datablink亞太區行銷副總裁Lawrence Ang指出,透過簡訊執行二次身分驗證的做法,已經不再安全,因此企業需要採取其他方式,像是透過手機,並同時驗證身分與交易資料兩者,一併確保交易內容的正確性。

2017-03-17