美國特勤局和ATM製造業者,如NCR和Diebold Nixdorf等,都路線像美國銀行業者提出警告,當心ATM自動吐鈔的盜領手法發生在美國。

圖片來源: 

iThome

英國人力銀行:2018年資安人員薪水漲幅7%

成立於1985年英國倫敦的人力銀行Robert Walters,日前公布一份「2018年薪資調查」顯示,資安專家的薪水今年將增加7%,開發人員和網路基礎設施人員薪水也將增加3%,其他IT與技術領域人員的平均薪資則增加2%,該人力銀行表示,這也是近年來,IT專業人士薪資成長幅度最高的一年。此外,如果是根據(ISC)2一份「全球資訊安全研究」針對資安專家人力需求調查指出,預估到2022年,資安人力的短缺將高達180萬人。更多資料

 

多家銀行接獲警告,ATM自動吐鈔手法jackpotting將襲捲美國

美國特局及兩大ATM製造商NCR、Diebold Nixdorf已向多家美國金融機構發出警訊,在亞洲與歐洲肆虐的讓ATM自動吐鈔的jackpotting攻擊手法已蔓延到美國,特勤局更指出,犯罪組織可能派出人員喬裝成技術人員,鎖定獨立運作的ATM植入惡意程式遙控吐鈔。

特勤局在警告中說明,駭客通常鎖定設置在藥局、大型零售商店或得來速的提款機,他們有兩組人馬,一組喬裝成ATM技術人員,帶著內含ATM作業系統鏡像的筆電,將筆電與ATM連結以植入惡意程式,再由遠端駭客負責讓ATM吐鈔,平均每23秒會吐出40張鈔票,一直到ATM中的鈔票被清空才會結束。更多資料

 

ThinkPad指紋辨識擁有一組寫死的密碼,任何人都可以取得管理員權限

聯想在官網警告ThinkPad系列的使用者應盡速更新設備工具軟體Lenovo Fingerprint Manager Pro,以修正指紋辨識的安全性漏洞,受影響型號從安裝Windows 7、8和8.1的ThinkPad筆記型電腦到工作站都有。另外,由於Windows 10原生支援指紋辨識功能,因此用戶不受影響。

聯想提到,聯想指紋管理軟體Lenovo Fingerprint Manager Pro有一安全性漏洞CVE-2017-3762,不只僅以薄弱的演算法加密使用者登入Windows的憑證以及指紋等敏感資料外,軟體還存在一組寫死的密碼,任何人都可以利用這項資訊跳過管理員權限存取系統。更多資料

 

傳川普打算建立國家級5G網路以防禦中國的竊聽行為

美國媒體Axios日前報導來自於自川普政權外流的機密文件,文件的撰寫者為資深的國家安全委員會官員,宣稱美國需要在3年內打造一個國家級的5G集中化網路,可由政府出資建立單一網路,或是整合現有業者所建立的網路,目的都是為了建立一個以國家利益為優先的行動網路,將會規範安裝無線網路設備的聯邦程序,作為自駕車或虛擬實境等新興技術的安全通道,同時用來對抗中國對美國經濟及網路安全所帶來的威脅。而一未具名的政府官員則向路透社證實了此事。

目前該提案仍處於討論階段,估計要6~8個月後才會送到川普(Donald Trump)手上,假設該提案成真,將創下美國史上第一次將私有基礎設施國有化的紀錄。更多資料

 

日本虛擬貨幣交易平臺業者Coincheck遭駭,5.2億XEM幣被盜轉

成立於2012年的Coincheck為日本最大虛擬貨幣交換平臺之一,經營多種虛擬貨幣交易,日前召開記者會說明NEM平台1月26日凌晨遭駭客入侵,致使5.23億個XEM幣被盜轉,損失折合日幣580億日幣(約154億台幣)。該公司中午發現後宣佈暫停包括NEM平臺上比特幣除外的虛擬貨幣買賣,以及信用卡、Pay Easy及便利商店支付,同時通報日本金融廳及警方。

今年4月1日,日本讓加密貨幣正式成為日本市場的合法交易工具,並以虛擬貨幣交易核發執照取代打壓。Coincheck去年9月提出的申請案還在進行中,但期間仍可交易。報導指出,日本金融廳已經對近30家虛擬貨幣交易平臺發出警告,要求強化交易安全,而金融廳也考慮將對Coincheck開罰。更多資料

 

臉書找前白宮官員擔任第一任網路安全政策主管

臉書聘請了歐巴馬時期的白宮國家安全委員會網路安全政策主任Nathaniel Gleicher,擔任其第一任的網路安全政策主任,除了領導團隊,也會幫助臉書建立內部策略,以及應對來自政府的政策。Nathaniel Gleicher之前在美國司法部的刑事司工作,同時擔任白宮國家安全委員會網路安全政策主任,在2015年時到私人資安公司Illumio任職,在2018年1月初,Nathaniel Gleicher的LinkedIn的職稱,就已經正式更改為臉書工作了。更多資料

 

駭客鎖定中東民眾傳送阿拉伯文件,植入新型態惡意程式

資安業者Palo Alto Networks資安研究單位Unit 42日前觀察到,有一群駭客利用鎖定中東使用者常用的第三方服務,例如 Google+、Pastebin以及縮網址的bit.ly服務等,透過傳送用阿拉伯文字撰寫、夾帶惡意程式的文件,並利用熱門的政治事件作為誘餌,引誘網路使用者下載相關的惡意文件以便植入惡意程式。

而該公司資安研究人員在惡意程式發現的字串並命名為「Scote」,除了提供駭客可以入侵的後門程式外,更發現該惡意程式可以接收來自Pastebin網站連結所傳送的中繼站指令,同樣手法也可用於 Google+ 的個人資料(profiles)。而Bit.ly短網址的使用則讓一般網友難以第一時間判斷網址的安全性,故將近期這類攻擊手法命名為「TopHat」。更多資料

 

回應川普打造5G網路計畫,中國表態反對各種形式網路攻擊

根據外電媒體報導,美國總統川普想要在任期內,打造一個高速的5G網路,藉此對抗來自中國的網路攻擊並捍衛美國安全。中國政府外交部發言人華春瑩在例行記者會中表示,中國政府禁止並嚴厲打擊各種形式的網路攻擊,像是去年五月全球爆發的勒索蠕蟲WannaCry可以發現,這種網路武器已經對全球網路安全造成威脅。她強調,國際社會應該在彼此尊重與信任的基礎上加強對話與合作,攜手因應各種網路攻擊的威脅,並且維護網路空間的和平與穩定。更多資料

 

英國針對關鍵基礎設施公布防護指引,今年5月正式生效

英國在去年成立的國家網路安全中心(National Cyber Security Centre )日前公布一些關鍵基礎設施產業別的新版資安防護指引「Network Information Security Directive」,希望可以確保包括能源、交通、水資源及醫療等相關產業可以有效防護來自網路的攻擊。而如果相關的產業沒有做好因應網路攻擊的資安防護措施的話,政府最高將對相關業者提出高達1千7萬英鎊的罰金。這個防護指引也囊括像是停電、硬體故障和環境危害等威脅,還有像是WannaCry這類網路資訊系統網路漏洞帶來的風險也包括在內。

在該指引中也將指定相關的監理機構,上述關鍵基礎設施業者一旦爆發相關的資安事件,也必須向相關的監理機構回報,該監理機構也會評估產業是否有適當的安全措施,並有權發布具有法律效力的指令,也可以對違規業者處以罰鍰。

這個新的指引從去年徵求業界意見並召開相關的諮詢會議後,預計在今年5月10日正式實施,罰款是最後手段,如果已經充分評估風險的業者,並採取適當防護措施也和監理機關聯繫者,仍然遭到網路攻擊的話,則不在處罰的條件中。更多資料

 

荷蘭銀行與稅務機關遭到DDoS攻擊,最高攻擊流量達40Gbps

包括荷蘭銀行、荷蘭合作銀行、ING銀行以及荷蘭稅務機關日前公開指出,他們都遭到來自俄羅斯駭客集團Cozy Bear(俗稱APT29) 發動的DDoS(分散式阻斷式)攻擊。荷蘭資安研究員Rickey Gevers則宣稱,這些鎖定金融單位所發動的DDoS攻擊,最大攻擊流量高達40Gbps,這樣的DDoS攻擊也讓民眾無法上網報稅。更多資料

 

 

熱門新聞

Advertisement