為了防範駭客運用機器人來存取網頁服務,透過圖靈驗證機制CAPTCHA可說是相當常見的做法,這樣的機制也從在圖片裡解讀文字內容,不斷增加難度來因應駭客透過自動化工具進行破解的情況。但現在網路犯罪圈卻出現了截然不同的做法,他們將解讀CAPTCHA內容的工作交由真實人類代打,完成後再交回駭客的機器人回應CAPTCHA挑戰,這樣的情況使得圖靈驗證機制面臨更為嚴峻的挑戰。
鎖定企業而來的網路釣魚攻擊,不少都是針對財務部門與高層而來,但現在也有針對人資部門而來的攻擊行動。有資安業者揭露假借申請休假名義而來的網釣攻擊,並指出這樣的手法很有可能隨著許多人會在夏天放假出遊而變得更加頻繁。
數位部首度針對民間企業個資保護不力祭出處罰的情況,也值得留意。數位發展部數位發展署針對蝦皮、誠品開罰,並指出他們在兩家公司查核的缺失。
【攻擊與威脅】
為了驗證使用者是人類,許多網站透過圖靈驗證機制CAPTCHA來進行檢驗,但駭客也不斷藉由各式手法來進行突破,從採用光學字元辨識(OCR),到後來透過機器學習自動解析題目,然而現在駭客卻反其道而行,透過人類「客服」解析CAPTCHA的內容。
資安業者趨勢科技揭露網路犯罪圈出現的新興CAPTCHA破解服務,這樣的服務在客戶遇到這類驗證流程時,提供破解服務的業者收到需求後,由人類解出答案再提供給客戶並完成挑戰。
研究人員指出,駭客往往會透過API存取上述解題服務,進而讓整個攻擊流程自動化,他們已看到這類服務被用於機器人在社交拍賣網站Poshmark搶標、低價搶購名為Mukramami.Flowers的非同質化代幣(NFT)、賺取Crypto faucets網站的加密貨幣獎勵等。
隨著夏天的到來,許多人會向公司申請有薪休假(PTO),但在此同時駭客也藉機發動攻擊。資安業者Cofense指出,駭客假借員工申請年休假的名義發出「通知」,向組織的人力資源部門發送釣魚信。
一旦收信人依照指示點選連結,「審核」寄信人的休假申請,他們就會被重新導向到冒牌的Cofense網站,該網頁聲稱收信人的連線階段逾期,需重新登入,然而若是輸入帳密資料,前2次都會顯示登入失敗,第3次才會重新導向至公司首頁。
研究人員指出,駭客會刻意讓網站顯示登入失敗,目的是確保收信人會輸入正確的帳密資料。
防毒業者Dr. Web揭露惡意安卓軟體開發套件(SDK)模組SpinOk的攻擊行動,駭客將其埋入應用程式或遊戲當中。
此SDK會假借提供每日小遊戲或獎勵的名義,吸引使用者執行,但實際上該模組會先在系統的背景,檢查執行環境本身是否有陀螺儀、磁力計等感應器,來避免在沙箱環境運作,然後,前景在提供使用者小遊戲的同時,該軟體會在背景執行惡意功能,例如:上傳設備裡的檔案,或是置換剪貼簿的內容。
研究人員總共在Google Play市集裡,發現101款含有此惡意模組的App,這些App總共被下載了421,290,300次,其中的影音編輯軟體Noizz、檔案傳輸軟體Zapya下載各達到1百萬次。Google獲報後已下架上述App。
Barracuda郵件安全閘道傳出零時差漏洞攻擊,且在半年前就發生
資安業者Barracuda於5月20日、21日修補郵件安全閘道系統(ESG)零時差漏洞CVE-2023-2868(CVSS風險評分9.4),到了30日該公司公布了漏洞相關細節。
該公司指出,駭客早在去年10月開始利用此漏洞發動攻擊,於目標系統部署多種惡意程式,如:Saltwater、Seaspy、Seaside,但他們直到今年5月18日,才收到相關異常流量的警報,尋求資安業者Mandiant協助,並於19日確認是CVE-2023-2868。該公司已主動通知遭到攻擊的用戶。
處罰民間企業個資保護缺失首例!數位部針對蝦皮、誠品個資外洩事故開罰
數位發展部數位產業署於5月30日發布公告,針對蝦皮、誠品、旋轉拍賣涉及消費者個資外洩事件,經他們進行行政檢查並要求限期改正,蝦皮與誠品未依個資法規定採行適當之安全措施,且屆期仍未改正,違反個資法第27條第1項規定,因此,數位部依據個資法第48條第4款併第50條規定,分別對於蝦皮、誠品處以20萬元、10萬元罰鍰。至於旋轉拍賣則因已配合改正,強化網站防詐警示、採用雙重驗證機制等措施,惟未提供針對委外廠商整體制度稽核,數位部要求再行補正。
關於蝦皮與誠品被罰款的原因,數位部指出,經多次要求改善個人資料保護措施,蝦皮卻僅能提供4筆個資盤點內容,且並未對委外廠商落實稽核;而誠品則是帳號管理未確實執行,個資盤點資料不完整,且針對委外廠商監督管理未落實執行,因此他們決定對這2家公司進行裁罰。
【漏洞與修補】
蘋果Mac電腦出現漏洞Migraine,可被攻擊者繞過SIP防護機制
微軟揭露向蘋果通報的macOS漏洞Migraine(CVE-2023-32369),此漏洞允許攻擊者在取得root權限的情況下,濫用macOS內建的電腦遷移助理(Migration Assistant)應用程式,自動繞過系統完整性防護(SIP)機制,而能夠執行任意命令,因此得以執行惡意酬載。
蘋果獲報後,於5月18日發布的macOS Ventura 13.4、macOS Monterey 12.6.6、macOS Big Sur 11.7.7予以修補。
研究人員揭露Hot Pixels攻擊手法,藉由偵測Arm處理器與GPU的溫度、功率變化,竊取瀏覽器資料
喬治亞理工學院、密西根大學、波鴻魯爾大學的研究人員揭露名為Hot Pixels的攻擊手法,這是利用Arm系統單晶片處理器(SoC)與圖形處理器(GPU)對於資料運算導致功耗、溫度、處理器時脈的變化,進而從Chrome和Safari瀏覽器中,採用以JavaScript為基礎的手法進行像素竊取,或是嗅探使用者的上網記錄。而且,這樣的攻擊手法能夠繞過現有的微架構旁路攻擊防護措施。
研究人員指出,這是因為時下的處理器難以在功耗要求、散熱、執行速度取得平衡,導致特定的指令與工作會出現相同的行為特徵,而且這些SoC和GPU的運作狀態,可透過裝置內部的感應器來偵測,經由這種方式收集的資料,準確度高達94%。研究人員於今年3月向蘋果、Nvidia、AMD、高通、Intel、Google通報,這些廠商正在研擬相關對策。
【其他新聞】
印度安卓用戶遭到木馬程式DogeRAT鎖定,假借付費版App的名義散布
WordPress安全外掛程式Jetpack存在嚴重漏洞,攻擊者可用於操弄網站上的檔案
WordPress表單外掛程式Gravity Forms存在PHP物件注入漏洞
印表機管理系統PrinterLogic存在漏洞,可被用於繞過身分驗證、SQL注入、XSS攻擊
近期資安日報
熱門新聞
2024-05-03
2024-05-03
2024-05-03
2024-05-03
2024-05-03