【資安週報】2021年11月4日至12日

隨著臺灣的疫情趨緩，多項室內外的活動開始陸續解封，不少人會到電影院觀賞電影。然而，電影院對於會員的個資保護若是不足，便有可能讓這些客戶的資料外洩，成為歹徒詐騙的對象。在10月中旬，被165反詐騙網站列為高風險賣場的秀泰影城，這個月初因為不少民眾接獲詐騙電話，紛紛向刑事警察局通報，或是向媒體透露電話的內容，他們都不約而同提及，駭客對自己的個資與消費記錄一清二楚。這也突顯此類詐騙手法不再只出現於網路商城，而是留有顧客資料的店家就有可能發生。

其中，有人因收到電話通知，系統錯誤導致他的信用卡將被扣20張電影票的錢，竟依照指示操作網路銀行和自動櫃員機，在8個小時內被騙走114萬元。這也突顯歹徒為了能夠得手，會儘可能讓受害者在沒有旁人能識破騙局的環境下，誘導其轉帳、匯款。

另外，因疫情而加速採用的QR Code非接觸付款，也可能成為歹徒濫用的目標。美國最近針對加密貨幣詐騙提出警告，特別的是，他們提及歹徒會使用付款的QR Code，讓受害者將加密貨幣轉到自己的帳戶，而使得警方事後想要追回更加困難。

【攻擊與威脅】

秀泰影城被駭、波及逾90人，有人8小時內被騙走114萬元

知名電影院秀泰影城遭駭客入侵，會員資料被詐騙集團拿來行騙，這起事故得到內政部警政署刑事警察局的證實。該單位表示，從今年10月開始，他們已接獲逾90件民眾報案或洽詢相關狀況，其中，1名居住於臺北市的40歲林姓男子上當後，在8小時之內就轉出114萬元。

這名男子因對方聲稱會員系統設定錯誤，他的秀泰影城帳號一口氣訂購20張電影票，且即將從信用卡扣款，一時不察依照指示操作，陸續從網路銀行、自動櫃員機轉帳20多筆，直到帳戶金額持續減少才驚覺被騙。

刑事警察局表示，為防範類似的情況再度發生，民眾若接獲商家、網購平臺、銀行客服的電話，告知因系統錯誤需重新設定，民眾應直接掛斷電話，並在確認客服的聯絡資訊後，自行撥打電話確認。

警方追查房仲查詢系統的個資來源，起訴販賣個資的嫌犯

由前房仲溫俊偉編寫、販售俗稱「小白機」的房仲查詢系統，內含全臺1億8千萬筆房產及屋主個資，且詳細記錄陳水扁、馬英九、蔡英文等前後3任總統的居住地點與工作履歷。但這些資料來源為何？調查局資安站指出，這些資料來自1名蘇姓男子，他宣稱是從暗網取得再賣給溫姓房仲。蘇姓男子於11月11日被依妨害電腦使用等罪名，以10萬元交保。檢調認為，這些數量龐大個資的出處，疑似是內政部多年前遭駭客入侵而外流。

臺灣政府單位每日遭到500萬次攻擊與掃描

立法院內政委員會於11月10日，審查行政院的111年度中央政府總預算案，以及行政院「辦理政策宣導相關之廣告彙整表」等2案，行政院秘書長李孟諺、行政院發言人羅秉成，以及行政院資安處長簡宏偉等人列席備詢。簡宏偉表示，政府單位平均1天會遭500萬次駭客攻擊與掃描，對此，他們打算採取主動式防禦的策略，將防禦陣線向前推，在對方攻擊發起時就擋下。

美國警告使用加密貨幣ATM、QR Code付款的詐騙活動升溫

美國聯邦調查局發現，在越來越多網路詐騙中，駭客為了讓騙得的金錢難以被執法單位追回，他們會將受害者引導到實體的加密貨幣ATM，或是透過QR Code的方式，讓受害者付錢購買加密貨幣。

該單位提醒投資人，切勿與只有在網路上交談過的人士交易，並在線上支付加密貨幣時提高警覺。

駭客入侵美國線上股市交易平臺Robinhood，700萬個資外洩

美國線上股市交易平臺Robinhood於11月3日遭到網路攻擊，該公司近期公布初步調查結果，其中攻擊者疑似取得500萬人的電子郵件信箱、200萬人的姓名，以及310人的生日與郵遞區號等。

本次的事故中，也傳出駭客在入侵成功之後，向Robinhood索討贖金。不過，Robinhood並未回應上述傳聞，僅表示已通報執法機關，並通知受影響客戶，且聘請資安業者Mandiant協助調查。

駭客兜售國際航運與貨運公司的內部網路存取權限，恐干擾物流運作

威脅情資業者Intel 471提出警告，他們自7月開始，陸續看到有人銷售國際航運與物流公司的內部網路存取帳密，這些賣家提供買家存取受害公司的方式，包含了遠端桌面連線（RDP）、VPN，以及Citrix和SonicWall的網路設備等。

賣家很可能是透過上述網路設備的漏洞，來獲得帳密，Intel 471看到這些賣家，將上述的存取資訊賣給Conti、FiveHands等勒索軟體駭客組織。

鎖定能源產業的行動裝置網釣攻擊大增，近半年增加161％

資安公司Lookout指出，今年攻擊者鎖定遠距辦公的員工，進行行動裝置的網路釣魚攻擊，這樣的情況尤其對於能源產業最為顯著，因為一旦竊得員工的帳密，就有機會進一步對這些產業的工控系統發動攻擊。

勒索軟體駭客利用併購訊息，脅迫受害企業付贖金

美國聯邦調查局發布公告，指出勒索軟體駭客為了讓受害企業就範，攻擊過程會收集公司財務資訊，運用如併購等重大事件，以操控股價來做為籌碼，要脅這些受害企業付錢。他們也舉出駭客會透過多種管道得知受害企業的財務內幕，像是與投機者交換情報，或是從竊得的資料找到有用的資訊等。

【漏洞與修補】

臺灣金融聯防體系示警注意修補Exchange Server漏洞

針對微軟7月公布Exchange Server漏洞CVE-2021-34473，甫修補CVE-2021-42321漏洞，思科發現有駭客鎖定有關漏洞發動攻擊。近日國內聯防體系對此兩個漏洞示警，並表示臺灣企業已偵測到利用CVE-2021-34473漏洞的攻擊。

尚有3萬臺GitLab伺服器尚未修補重大漏洞，恐遭駭客鎖定

程式碼代管平臺GitLab於4月修補重大漏洞CVE-2021-22205，一旦攻擊者利用這項漏洞，可遠端執行任意指令發動攻擊，CVSS風險層級達到滿分。但近期資安業者HN Security與Rapid7先後提出警告，表示已有實際攻擊行動出現，而能夠從網際網路上存取的GitLab伺服器，仍約有3萬臺曝露於此漏洞的風險當中。

AD自助管理平臺遭到鎖定、滲透，駭客以此傳送多項攻擊工具

管理AD的系統，一旦遭到濫用，攻擊者得以在組織內快速大量散布作案工具。美國政府於9月中旬，針對ManageEngine ADSelfService Plus用戶提出警告，呼籲要儘速修補漏洞CVE-2021-40539，不久之後資安業者發現，鎖定該漏洞的攻擊增加。

資安業者Palo Alto Networks於9月17日至10月初，發現有其他攻擊行動也利用上述AD自助管理平臺的漏洞──攻擊者先是在網際網路上掃描存在漏洞的系統，然後於受害組織植入Godzilla Webshell、NGLite木馬程式，以及KdcSponge竊密工具。該公司指出，他們至少發現9個組織遇害，這些組織橫跨高科技、國防、醫療保健、能源、教育等產業。

飛利浦醫療保健資訊系統存在SQL注入漏洞，恐導致病人資訊外洩

美國政府提出警告，飛利浦病歷與醫療照護管理系統Tasy EMR，出現2個SQL注入漏洞CVE-2021-39375、CVE-2021-39376，CVSS風險層級皆達到8.8分，由於全球各地有數百家醫院採用這套系統，他們呼籲採用的醫療院所應儘速修補。

Pwn2Own Austin 2021漏洞挖掘競賽成果揭曉

由趨勢科技旗下Zero Day Initiative（ZDI）推出的漏洞研究競賽，於11月2至5日連續四天舉行，這次共有22組參賽者及58項參賽作品，而參賽者所挖掘出的漏洞，ZDI將通報有關業者修補。比賽最終結果出爐，第一名為法國資安廠商團隊Synacktiv，臺灣資安業者Devcore團隊以2分之差獲得亞軍。

【資安週報】2021年11月4日至12日

【攻擊與威脅】

秀泰影城被駭、波及逾90人，有人8小時內被騙走114萬元

警方追查房仲查詢系統的個資來源，起訴販賣個資的嫌犯

臺灣政府單位每日遭到500萬次攻擊與掃描

美國警告使用加密貨幣ATM、QR Code付款的詐騙活動升溫

熱門Npm套件COA疑遭劫持，恐導致開發者帳密遭竊

駭客入侵美國線上股市交易平臺Robinhood，700萬個資外洩

駭客兜售國際航運與貨運公司的內部網路存取權限，恐干擾物流運作

鎖定能源產業的行動裝置網釣攻擊大增，近半年增加161％

勒索軟體駭客利用併購訊息，脅迫受害企業付贖金

【漏洞與修補】

臺灣金融聯防體系示警注意修補Exchange Server漏洞

尚有3萬臺GitLab伺服器尚未修補重大漏洞，恐遭駭客鎖定

AD自助管理平臺遭到鎖定、滲透，駭客以此傳送多項攻擊工具

飛利浦醫療保健資訊系統存在SQL注入漏洞，恐導致病人資訊外洩

Pwn2Own Austin 2021漏洞挖掘競賽成果揭曉

【資安產業動態】

美國白宮宣布支持《巴黎籲請信任與安全的網路空間》，共同建立國際網路規則與對抗網路犯罪

Akamai併購Guardicore完成，擴展防禦勒索軟體的能力

為強化零信任時代的資料保護，CrowdStrike併購資安新創SecureCircle

東吳大學與以色列網路資安訓練中心ThinkCyber及新加坡公司Centre for Cybersecurity合作，引進資安培訓證照課程、資安培訓模擬實作平臺

熱門新聞