View
15
Download
0
Category
Preview:
Citation preview
2014/11/21
1
2014 資安事件分享及 2015 資安預測
Ken Huang 黃源慶
趨勢科技 資深技術顧問
消保處: 三大旗艦手機 爆資安缺失
應用程式資料缺乏更嚴謹的保護措施,造成機敏資料有外洩之虞 程式密碼以明文方式儲存與傳輸可能遭到竊取 缺乏更嚴謹的驗證機制可能導致使用者連線至惡意網站而遭到攻擊
資料來源 :20140707 聯合新聞網 http://mag.udn.com/mag/digital/storypage.jsp?f_MAIN_ID=320&f_SUB_ID=2943&f_ART_ID=523208
2014/11/21
2
手機 這樣被利用
資料來源:TrendLabs 3Q 2013 Security Roundup –Mobile
手機詐騙
資料來源:iFans 20140304 http://ifans.pixnet.net/blog/post/174519738-注意!有「您的快遞簽收通知單」這是木馬詐
2014/11/21
3
1. 劉**先生,你的露天商品已經送達門市..
2. 「尊敬的客戶您好,您的手機正在申請6800元的網絡支付,如非本人操作請加載電子憑證確認取消」
3. 「您正在申請網上支付103年○月電費共計480元,若非本人操作,請查看電子憑證進行取消」
4. 「0809......,用手機打給我一下,新辦的,幫忙測試一下」
5. 下載他人LINE的大頭貼照片,冒充朋友行騙
6. 「學運受傷學生急需醫藥費!」
7. 「您的快遞簽收通知單,收件電子憑證」
8. 「我的手機送修,麻煩替我收個簡訊好嗎?」
9. 「拜託收幾封購物簡訊,我有急用!」
10. 「看看那些年我們合拍的照片是多麼年輕」
11. 「○○○這是你那晚沒來的照片,我被整慘了…」
12. 「○○○我在墾丁拍的照片,你覺得哪張最好看。」
13. 「○○○這是上次同學聚會的照片,大家都有來」
14. 「○○○朋友家狗狗參加人氣比拼,幫忙讚一下」
15. 「○○○這是上次聚會的照片,你好好笑」
16. 「是○○○麼?老同學來看我現在的照片能想起來我是誰嗎..」
17. 「○○○看著這些照片,好懷念以前的日子!」
18. 「○○○被偷拍的是你嗎?」
19. 「○○○看看你以前的模樣」
20. 「○○○那些年你年輕的模樣」
21. 「○○○我們中秋烤肉的照片,好多人喔」
22. 「○○○朋友參加攝影比賽幫忙投票」
23. 假冒出差同事發送line,代收包裹
24. 來電通知健保卡將被停權,小心有詐!
最新詐騙簡訊一覽表:
透過LINE發送「臉書免費贈送LINE貼圖」網址 騙取臉書帳號密碼
2014/11/21
4
手機變磚頭
2014/11/21
5
資料來源: 科技新聞報 20140719 http://technews.tw/2014/07/19/xiaomi-note-privacy/
資料來源: 科技新聞報 20140719 http://technews.tw/2014/07/19/xiaomi-note-privacy/
2014/11/21
6
1. 網路服務提供你加強安全性的選項,那就加以啟用
2. 切勿重複使用密碼
3. 你是唯一知道密碼重置問題的人
4. 刪除並不一定真的代表刪除
5. 不要再自拍裸照了
女星裸照外流事件 學到的事
2014/11/21
7
密碼超難記的!
密碼超難記的!
2014/11/21
8
密碼提示問題1.:我寵物的名字?
設定的答案1:現在是下午5:00
密碼提示問題2.:我就讀的高中?
設定的答案2:我是大美女
密碼提示問題如何設定才不會被猜中?
因為密碼提示問題而被入侵帳號的名人: 歐巴馬、小甜甜布蘭妮,莎瑪.海耶克、莎拉裴林
1. 使用長度超過10 個字元的密碼,越長越好。
2. 將某些字母換成數字和 ,或標點符號。
3. 最好用三個無意義的字所組成的密碼。
4. 使用不連續的數字。避免使用重要的日期,例如你的生日。
5. 切勿重複使用相同的密碼。
6. 採用隨機組合的密碼並且超過 10 個字元。
7. 密碼提示問題的答案,使用與問題完全不相干的答案。
8. 整頓你的數位生活。刪除不再需要的帳號。
9. 篩選社交網路上所分享的資訊。你或許透漏太多私人生活的細節,這有可能對你不利。
10.定期修補並更新你的軟體 適用於行動裝置。
保護密碼實用的祕訣
2014/11/21
9
2015 資安預測 趨勢科技
網路犯罪地下經濟強化
• 那些從 iCloud 帳號外流的影星裸照一開始是出現在 Reddit 和 4chan,但後來也開始在深層全球網路 (Deep Web) 流傳
各國失竊信用卡資料在俄羅斯地下市場的價格
2014/11/21
10
網路犯罪集團將集中在較大的目標
• 美國 Target 超市即遭歹徒使用這類惡意程式偷走了 7,000 萬筆客戶信用卡資料
• 個人應定期更換密碼,而企業則應隨時監控網路是否有任何威脅或漏洞攻擊活動
各行各業擁有客戶資料的企業遭到網路攻擊的 案例
• 行動裝置上儲存的資料,落入網路犯罪集團手中,並於後續攻擊或拿到地下市場販賣
• 漏洞攻擊套件交叉感染多種平台
• 透過平台更新將合法的正牌 App 程式換成冒牌的惡意程式
• 行動裝置勒索程式現身
行動裝置、平台及 App 的漏洞 將帶來更嚴重的資安風險
Android 威脅累積數量在 2015 年當中很可能再翻一倍
2014/11/21
11
• 歹徒的動機多元化
• 鎖定高度機密的政府資料、金融資訊、智慧財產、工業設計藍圖
• 社群媒體興起,成為新的感染途徑
• 資安情況分析將成為對抗鎖定目標攻擊的關鍵
社交工程 目標攻擊 將成為網路犯罪關鍵手法
2014 年上半年,鎖定目標攻擊盛行的國家
• 將見到專門針對行動支付平台 的最新威脅
• 如 Android 的 FakeID 漏洞29 讓網路犯 罪集團因而竊取了使用者的 Google Wallet 帳號密碼。
• App 程式 (微信) 讓使用者以「點數」購買某些商家的商品
• 歹徒在尋找 Apple Pay 和NFC的漏洞
行動支付給駭客?
2014/11/21
12
• 開放原始碼程式 OpenSSL 軟體的 Heartbleed 漏洞
• Unix 指令列介面程式 Bash 的 Shellshock 漏洞 今年都遭到了大量 的攻擊並造成了嚴重的災情
• JPMorgan Chase & Co. 遭到的攻擊即造成了 7000 多萬名客戶的個人資料外洩
免錢的最貴-開放原始碼程式漏洞
• 預料歹徒將駭入裝置製造商的資料庫以竊取可用於傳統網路攻擊的資訊
• 裝置受到駭客攻擊,可能發動監聽、阻斷服務 (DoS) 以及中間人攻擊
• 將利用惡劣的手法,如勒索程式和恐嚇程式,來 逼迫裝置使用者付錢或者逼使用者就範
• 當智慧型汽車在 2015年上路之後,歹徒可能會挾持車輛來逼迫車主支付贖金
萬物聯網 要做好資訊隔離
2014/11/21
13
• 網路犯罪者將利用已經證實 的鎖定目標攻擊手法來從事一些放空 (short- selling) 和私下預先交易 (front-running) 的行為
• 網路犯罪集團將不再只針對電腦使 用者來發動金融相關攻擊,行動裝置使用者將是他 們下一個目標
網路金融犯罪 日益氾濫
2015 邁向 安全行動化資訊時代
2014/11/21
14
2014/11/21
15
結善緣:手機安全 ”安全達人” Apple Store / Google Play 直接下載
• 安全達人解決方案 – 惡意APP防護
– 隱私防護
– 惡意網址防護
– 失竊防護
– 防止詐騙
Thank You
Recommended