資安一周[1203-1209]：惡意程式假借透過冒牌程式入侵Google上百萬帳號

重點新聞（12月03日-12月09日）

研究人員只花6秒就能破解盜刷Visa信用卡

英國新堡大學近日公布了一項資安研究報告，研究人員利用分散式猜測攻擊（Distributed Guessing Attack）來破解Visa信用卡的到期日與安全碼，最快可在6秒內找出正確數值並進行盜刷。根據該報告，此為Visa支付系統的缺失，該系統無法妥善偵測駭客所執行的數次無效的數值輸入，造成駭客可正確猜出信用卡的到期日與安全碼，並成功進行盜刷。研究人員在389個電子商務網站上進行測試，發現當中只有47個網站採用3D安全驗證系統（3D Secure Authorization System），會額外要求使用者輸入在手機上所收到的驗證碼才能完成交易，也只有這些網站才能閃避分散式猜測攻擊。更多新聞

蔡英文：駭客精神是國家資安政策的驅動力

在臺灣資安界年度最大活動臺灣駭客年會（HITCON Pacific）中，蔡英文首度以國家元首的身份，親自出席年會活動開幕致詞，強調重視分享、資訊自由的駭客精神，可以為政府帶來新的思維，以及新的政策推動，並積極地把「資安就是國安」這個理念帶進政府裡面。政府邀請李德財院士擔任國安會諮詢委員，提供國家資安管理方針，將資安政策的層級提升為國家層級。並且，今年八月行政院成立資通安全處，推動臺灣第一部資安管理法，以及建構關鍵基礎設施和民間產業的資安防護，更重要的資安防護也逐漸成為台灣發展整體經濟轉型的必要基礎，將資安視為一種產業，增加臺灣資安市場的成長，並且有助於資安社群和企業投入資安研發的工作。更多新聞

偵九揭露一銀ATM駭客入侵內網關鍵，竊取密碼2套手法曝光

今年七月份第一銀行爆發ATM盜領案，第一時間協助鑑識分析的刑事警察局第九大隊，其科技研發科數位證據股股長陳詰昌，在臺灣駭客年會HITCON Pacific上說明了偵查的過程，第九大隊比對了資安研究公司Group-IB所釋出的國際ATM駭客集團的報告，發現一銀駭客的手法與Buhtrap、Cobalt駭客集團在歐洲和亞洲的犯案手法高度類似。陳詰昌更透露，駭客能夠在銀行內網來去自如，就是因為2個取得帳密的關鍵方法。第一個是Windows 2008即開始有的功能：Group Policy Preference（群組原則設定），這個功能讓管理者可以用各種不同的原則進行系統及應用配置，例如新增網路磁碟、網路內電腦新增帳號等。第二個則是可以透過MiMiKatz滲透工具來獲取密碼。更多新聞

俄羅斯中央銀行的個人帳戶遭駭3,130萬美元

俄羅斯中央銀行證實，該行個人帳戶遭駭，駭客成功轉走3,100萬美元，駭客藉由用戶的憑證來啟動交易，並將錢轉到外國銀行，駭客原先企圖轉走高達7,800萬美金，經由銀行及時發現凍結部分交易後，成功取回部分資金。而銀行資訊安全小組已經蒐集到部分受害資料，且已經通知警方與政府安全部門，且正在思考對策，面對未來可能的攻擊，另外，該銀行也指出，目前已經通知俄羅斯總理與相關部門做好相關準備，避免國家財政系統遭受下一波的攻擊。更多資料

殭屍網路夢魘不斷，又有新的DDoS攻擊蠢動

在Mirai近日引發網路災難之後，內容遞送網路（CDN）業者CloudFlare發布報告，指出又有另一個新殭屍網路在感恩節前發動分散式阻斷攻擊（DDoS）。這個未命名的殭屍網路病毒曾在3月的周末發動大規模DDoS攻擊，11月23日CloudFlare再度偵測到這隻病毒再度針對不明目標發動攻擊，時間由格林威治時間晚間6:30（臺灣時間11月24日凌晨2:30）持續將近8.5小時，之後似乎隨著駭客下班而停止。之後一連6天，駭客都在約略時間發動攻擊，每次尖峰流量都高達400Gbps，或每秒傳送將近2億個封包。CloudFlare發現這些流量鎖定受害者TCP協定傳送巨量的L3/L4流量，而其目標多半位於美國西岸少數地點。更多新聞

影片分享網站DailyMotion遭駭，約8,700萬筆帳戶資料外洩

提供外洩資料搜尋服務的LeakingSource指出，影片分享網站DailyMotion於今年10月20日左右遭駭客入侵，導致超過8,700萬筆電子郵件信箱、帳號外洩，其中約占5分之1總共約1,830萬帳號、電子信箱連同密碼外洩，不過這些密碼經過Bcrypt加密處理，若駭客要真的和帳號配對後使用，仍有一定技術挑戰。不過針對此起帳號密碼外洩事件，Dailymotion尚未證實，也未回應相關消息。更多資料

美歐31國聯手破獲全球網路犯罪集團Avalanche，臺灣也參與偵辦

美國司法部（DOJ）、歐洲刑警組織（Europol）、德國警方、英國國家打擊犯罪調查局（NCA）於12月1日宣布，已在超過31個國家的支援下聯手破獲專門攻擊網路銀行的全球網路犯罪集團「雪崩」（Avalanche），包括臺灣調查局。自2009年開始活動的Avalanche集團最多曾掌控位於全球的600臺伺服器，用來代管80萬個網域。Avalanche利用租來的伺服器進行數位詐騙，他們傳送內含惡意程式或勒索軟體的大量電子郵件給全球的使用者，藉以勒索金錢或取得使用者的機密資料，高峰時Avalanche網路總計代管17種不同型態的惡意程式，受害者遍及全球180個國家。根據估計，全球至少有超過50萬臺的個人電腦受到Avalanche的掌控，不法所得超過數億美元。更多新聞

惡意程式Gooligan藉冒牌程式蔓延，入侵逾100萬個Google帳號

安全設備廠商Check Point警告，一隻名為Gooligan的惡意程式透過冒牌程式蔓延開來，並可能入侵超過上百萬Google帳號。安全研究人員表示，Gooligan是由該公司研究人員去年於SnapPea app中首度發現的Android惡意程式的最新變種。它藉由感染第三方軟體市集中的數十款冒牌程式下載到用戶手機，或經由網釣郵件誘使用戶安裝。Checkpoint目前發現有86款冒牌App遭感染Gooligan，研究人員指出，這些惡意模組最終可讓Gooligan竊取用戶Google 帳號及認證憑證資訊，與從Google Play下載App，只要散布數量夠多，就能操弄這些App的排名，或在手機內安裝廣告程式騙取廣告營收。更多新聞

加拿大政府有意擴大多項國家監控行為公開徵詢民意

繼英國女王伊麗莎白二世於11月29日簽署調查權力法案（Investigatory Powers Act）之後，加拿大政府開始公開徵詢民眾對於數個國家安全監控行為的看法，包括允許警方與安全局在網路服務中植入加密後門（Encryption Bckdoors）、駭進電腦及電話網路以蒐集大量的個人資料如電話、地址與電子郵件等通訊資料，與在法官的同意下檢視記者的通聯紀錄等，而且加拿大政府也在徵詢民眾個人資料層級，是否包含身分證字號、財務資料、就醫資料或個人日記等，以合法化加拿大政府監控當地民眾的許多行為。更多資料

亞馬遜發表DDoS防禦服務AWS Shield

亞馬遜發表了全新的分散式阻斷服務（DDoS）攻擊的防禦服務—AWS Shield，它分為免費的標準版AWS Shield Standard，以及付費的進階版AWS Shield Advanced，前者適用於AWS的所有客戶，並宣稱可阻擋96%的DDoS攻擊行動。AWS宣稱，Shield能用來防禦不同型態及規模的DDoS攻擊。其中，標準版將免費供所有的AWS客戶使用，可阻擋96%最常見的攻擊行動，諸如SYN/ACK洪水攻擊、反射攻擊或HTTP慢讀等，將自動部署於客戶的Elastic Load Balancers、CloudFront與Route 53服務上。付費版的AWS Shield Advanced則可在應用程式與網路層級上提供額外的DDoS紓解能力，並提供全天安全團隊支援。更多新聞