從上週末到今天的國內重大資安新聞中,都與金融業有關:首先是元大證券、統一證券25日傳出客戶的帳號被他人下單香港股票,這些券商緊急改採人工的方式因應,並暫停網路交易;隔日,凱基期貨也出現網頁交易平臺遭駭的情況。這2起事故先後得到證交所和期交所的證實。

另一個國內的資安新聞,則是十多人的中國信託薪轉戶,驚傳借帳金融卡(Debit卡)遭到盜刷的事故。但為何這些人的金融卡會被盜刷?目前還有待進一步調查。

而在國際新聞的部分,宜家家居(IKEA)遭到的釣魚郵件攻擊相當值得留意,因為,這種方式與日前美國聯邦調查局遭駭而發出大量恐嚇郵件的手法類似,都是先入侵郵件系統,再以內部人員或合作夥伴的名義寄信,而很難透過郵件防護系統識破。

【攻擊與威脅】

證交所證實元大證券、統一證券出現異常港股委託情事

元大證券、統一證券於11月25日下午,傳出有部分客戶的帳號遭不明人士冒用,進行複委託下單並成交深藍科技控股的香港股票,上述2家券商緊急暫停複委託電子交易,改以人工下單因應。此事臺灣證券交易所於26日發出新聞稿證實,並指出是這2家券商的複委託下單系統遭到駭客入侵所致,並表示近期券商遭到撞庫攻擊的資安事件頻傳,他們已請券商重新檢視身分驗證的防護力是否足夠,並確認最近2星期更新的密碼是否為客戶本人所為。

針對本次事件,元大證券與統一證券也發出公告進一步說明。元大證券於26日20時29分在股市公開觀測站發布重大訊息,表明他們確認異常港股委託非客戶本人交易後,暫停「行動精靈」App的電子交易,並強調另一款由該公司開發的「投資先生」App不受影響。統一證券亦於同日發出公告,表示在清查後,總共有7名客戶受害。

此起事故也傳出疑似是三竹資訊開發的下單系統不安全所引起,對此,三竹資訊也在26日在股市公開觀測站發布重大訊息,聲稱此次攻擊是撞庫攻擊,而非該公司提供的系統遭到入侵。

凱基期貨電子交易系統驚傳遭駭

繼元大證券、統一證券傳出複委託下單系統遭駭,部分客戶帳戶遭不明人士下單港股並成交,也有期貨公司傳出遭到駭客攻擊。凱基期貨也於11月26日17時37分向臺灣期貨交易所通報,他們的網頁交易平臺疑似遭到駭客攻擊,該公司隨即封鎖攻擊來源,並表示近期的帳號、密碼申請將採人工加強驗證等措施因應。

中國信託薪轉戶驚傳遭集體盜刷

根據蘋果日報、中央社等媒體報導,臺中有一家公司使用中國信託銀行做為薪資轉帳的帳戶,近期傳出員工的借帳金融卡(Debit卡)陸續遭到盜刷的情況,至少有十多人受害,由於僅有透過公司向中國信託開戶的員工卡片遭到盜刷,懷疑是當時申辦的個資外洩。

對此,中國信託表示,此案很可能是不法人士隨機測試客戶的卡號、有效日期等資料,於網站冒用進行交易,該公司主動察覺異常並聯繫客戶。而這些遭盜刷的款項,中國信託強調將依爭議帳款進行處理,持卡人無需負擔,他們也協助客戶更換新卡。

IKEA電子郵件系統傳出持續遭到網路攻擊

根據資安新聞網站Bleeping Computer的報導,宜家家居(IKEA)向內部員工提出警告,攻擊者正以員工或是其他合作廠商的名義,發動釣魚郵件攻擊。在這封信件提及,此起事件攻擊者鎖定母集團Inter IKEA的郵件伺服器下手,其他IKEA組織、供應商,以及合作夥伴,也有可能遭駭,並寄信給Inter IKEA的員工。IKEA警告員工,這些郵件往往是從工作上有交集的人士寄出,因此郵件安全系統也很難察覺異狀,員工要特別留意。

太古海洋開發公司遭到勒索軟體Cl0p攻擊

根據資安新聞網站HackRead的報導,太古海洋開發公司(Swire Pacific Offshore,SPO)傳出遭到Cl0p勒索軟體攻擊,並得到證實。SPO表示可能會曝露員工的個資,以及部分商業機密,該公司宣稱事發當下已採取緊急行動,且此次攻擊並末影響其全球業務。HackRead取得Cl0p提供的螢幕截圖指出,影響最大的是SPO馬來西亞及新加坡員工,但也有英國、菲律賓,以及中國員工的資料外流。

研究人員揭露新的HTTP請求走私攻擊手法

美國東北大學與資安業者Akamai研究人員聯手,公布一種新型的HTTP請求走私(HTTP Request Smuggling)手法,藉由二次請求的方式,來產生模糊後的請求,並向前端與後端伺服器發出請求並找出回應的差異,進而發動HTTP請求走私攻擊,這些研究人員亦公布他們發動二次請求的工具,並命名為T-Reqs。

惡意軟體TrickBot偵測受害電腦的螢幕解析度,來規避資安人員利用沙箱觸發攻擊行為

研究人員很可能透過虛擬機器來建置沙箱,以用來觸發惡意軟體的攻擊行為,而這些虛擬機器很可能使用不少預設組態,而有可能被攻擊者識破。Cryptolaemus資安研究團隊最近發現,惡意軟體TrickBot自去年開始,透過一項環境的組態來判斷是否處於虛擬機器:螢幕的解析度若是800x600或1024x768,TrickBot將不會下載惡意的ZIP檔案,而是存取美國廣播公司的網站。

 

【資安防禦措施】

為落實個人資料保護,內政部訂修9個資安維護辦法,以強化民間個資保護責任

儘管個資法已經上路,但如何落實仍是政府持續推動強化的部分,尤其是非公務機關,在11月29日內政部發布公告表示,將針對指定的9大類型的非公務機關,包括:政黨及全國性民政財團法人、宗教團體、祭祀團體、殯葬服務業、地政類、合作及人民團體類、警政類、營建類與移民業務機構,個別制定9項個資檔案安全維護管理辦法,將透過提供文件範本製作,以及講習與個案輔導,讓上述這些團體與行業,對於所蒐集的個人資料能有適當內部控制措施,並建立個資外洩通報機制。

 

【資安產業動態】

推動校園資安教育,資安業者奧義智慧啟動內含CDM框架的桌遊合作計畫

幫助國內資安教育,國內資安產業也開始發力,臺灣資安業者奧義智慧在11月26日於HITCON 2021活動期間,宣布啟動「【奧義×社群】奧義桌遊合作計畫」,希望將企業防禦觀念推廣至校園,將免費提供教育訓練活動,包含助教培訓、資安課程與桌遊實體的內容,讓學生社團社群可以申請。該公司是在今年5月設計了《Cybercans:資安人生物語》資安攻防的桌遊,將近年受矚目的Cyber Defense Matrix(CDM)框架融入遊戲,讓玩家從5種資產類別與5個階段來認識防禦概念,瞭解各類資安解決方案所對應的適用範疇,以及常見攻防技術與資安事件因應等。

 

【國家資安技術管制】

美國禁止量子電腦技術輸出中國機構

美國以國安為由,公布禁止取得美國科技的實體清單(Entity List),防堵多家業者,包括中國8家機構及廠商不得取得美國量子電腦相關技術,理由是要防堵美國新興科技被用於中國發展支援軍式應用,像是反隱形及反潛技術、破解加密或是發展不可破解的加密。這8家中國業者包括杭州中科微電子、湖南國科微電子、杭州華三通信、西安航天華迅、蘇州雲芯、合肥微尺度物質科學國家研究中心、國盾量子、上海國盾量子等。

以色列限制網路攻擊工具出口,從102國減至37國

以色列新聞網站Calcalist於11月25日指出,他們取得一份政府於11月分公布可出售網路攻擊工具的國家名單,這份列表總共列出了37個國家,大部分位於西歐、澳洲、美國,以及加拿大等。相較於先前許可的102國,大約踢出了近三分之二的國家,當中包括摩洛哥、墨西哥、沙烏地阿拉伯,以及阿拉伯聯合大公國等。由於當地資安產業市場規模達100億美元,其中網路攻擊工具的出口即占10%,為何以色列政府要大幅限縮出口範圍?很有可能與日前美國公布的外國網路攻擊公司實體清單裡,包含了該國的NSO Group和Candiru有關。

 

【近期資安日報】

2021年11月26日

2021年11月25日

2021年11月24日


熱門新聞

Advertisement