1
1
Adobe Flash 再爆零時差漏洞 有可能被應用於惡意廣告攻擊之上
文章索引: TrendMicro
TrendMicro 繼 1 月 23 日公佈 Adobe Flash 漏洞之後,再次發現一個新的 Adobe Flash 零時差漏洞,編號為「 CVE-2015-0313 」,此漏洞將會影響 Adobe Flash 最新以及之前的版本,並且有可能被應用於惡意廣告攻擊之上。

目前,已有惡意網站利用該漏洞進行攻擊。 TrendMicro 監測發現,國外某熱門網站的訪問者會被引導至一系列被篡改的 URL ,並最終連接到包含該漏洞的惡意網站。用戶訪問該惡意網站之後,即使不採取任何操作也有可能感染惡意軟件,導致瀏覽器頻繁彈出惡意廣告。目前,趨勢科技已將該漏洞命名為「 SWF_EXPLOIT.MJST 」,並攔截了相關的 URL 。
「亞太地區鎖定目標攻擊發展趨勢」報告 80% 惡意程式經電郵盜竊企業資料
文章索引: TrendMicro
TrendMicro 趨勢科技最新發佈 2014 上半年「亞太地區鎖定目標攻擊發展趨勢」,指出專門鎖定亞太地區的黑客正不斷改良其鎖定目標攻擊手法,以便長期潛伏在企業內部,歹徒利用各種軟體與應用程式的舊有漏洞,或最常使用透過電子郵件鎖定目標攻擊,竊取企業機構寶貴資產或機密資料,並預計 2015 年亞太地區鎖定目標攻擊活動的大小及規模將不斷提高。

趨勢科技「亞太地區鎖定目標攻擊發展趨勢」報告分析,魚叉式網絡釣魚電郵仍是歹徒最常用的網絡滲透工具,有將近 80% 的鎖定目標攻擊惡意程式均透過電郵進入企業。一般來說,收件人目標都是企業的員工,魚叉式網絡釣魚電郵會引誘收件人點選某個惡意連結,或者下載某個惡意檔案來執行,這些電郵最常挾帶的附件檔案類型為 Microsoft Office 文件 (57%) 及 RAR 檔案 (19%) ,因為這類檔案在企業內相當普遍,其中一項攻擊即利用寮國副總理罹難的消息,該攻擊使用像「最新消息:寮國高層官員死於空難」之類的標題為誘餌,引誘收件人點選內容。

除了魚叉式網路釣魚郵件之外,歹徒還會入侵一些網站然後架設水坑式攻擊,於部份企業員工經常造訪的網站設下陷阱入侵目標企業。典型的水坑式攻擊三個基本步驟,首先會找出目標受害者經常造訪的網站,然後讓這些網站感染惡意程式,然後等候員工造訪這些網站時感染其電腦系統,即成功啟動整個目標攻擊行動。
Trend Micro 2015 年資訊保安預測 黑客鎖定目標攻擊將更加猖獗
文章索引: TrendMicro
Trend Micro 發表最新「趨勢科技 2015 年暨未來資訊安全預測」資訊保安報告,報告預測七項包括銀行和交易支付系統在內在 2015 年將會面臨的網絡安全威脅。由於黑客以往成功針對全球各地的網絡用戶,鎖定目標攻擊將會更加猖獗並遍及更多不同國家。

「趨勢科技 2015 年暨未來資訊安全預測」報告指出,隨著網絡犯罪集團成功利用鎖定目標攻擊在美國和加拿大的大型資料外洩事件,預計 2015 年鎖定目標攻擊活動將進一步擴大。 Trend Micro 防禦專家預測,越南、英國和印度等國境內的黑客也將跟隨並利用鎖定目標的手段攻擊用戶,因此原本不盛行的國家,如馬來西亞和印尼等,也將開始出現這類鎖定攻擊。

根據通訊事務管理局辦公室資料顯示,截至今年七月,全港流動電話用戶達一千七百多萬,當中 2.5G/3G 及 4G 流動電話服務用戶約有一千二百六十多萬戶,數據用戶約佔 70% 。數據反映現今手機用戶對數據的需求與日俱增。就以本港為例,約有 77.3% 為 Android 平台用戶,由於 Android 平台採用較開放的設計,故此同時亦成為黑客本地的進攻目標之一。
員工疏忽及蓄意行為 導致企業數據外洩問題日增
文章索引: TrendMicro
就數據外洩問題嚴重, TREND Micro 與 Ponemon Institute 進行「 The Human Factor in Data Protection 」研究,該報告指出大多數據外洩均由於機構員工疏忽或蓄意造成,當中超過 78% 受訪機構指員工有意或無意的行為導致公司數據外洩,並於過去兩年內至少發生一宗數據外洩,令公司蒙受損失。

數據外洩的三大起因,分別由於員工遺失筆記簿電腦、 35% 涉及其他流動數據儲存裝置、 32% 因發生第三方不幸事故或失誤,以及 29% 由於系統故障等。此次調查訪問了 709 名美國資訊科技和資訊科技保安從業員,近七成受訪者非常同意同意其機構現時的數據保安措施不足以抵禦針對性攻擊或黑客。

其中,報告顯示 56% 受訪者指出,縱使員工無意犯錯,大部份數據外洩事件最後為意外揭發,只有 19% 受訪者表示員工發生外洩事故後會自行申報,因此難以及時解決問題, 37% 受訪者表示外洩由審計或評估揭發,而 36% 受訪者表示外洩由數據保安技術人員發現。研究人員針對員工少於 100 人的企業進行獨立分析,結果顯示中小企員工不當處理數據的風險高於大型企業。總括來說,中小企的數據外洩發生比率為 81% ,略高於大型企業的 78% ,原因是員工未有妥善處理敏感數據。
2011 資料外洩年 大量企業用戶機密資料遭黑客外洩
文章索引: TrendMicro
Trend Micro 發佈 2011 年年度資訊保安威脅報告,指出 2011 年為「資料外洩之年」,多家知名大企業遭黑客攻擊而導致機密或客戶資料外洩,引起全球關注,部分企業亦因此承受商譽及巨大財務損失,面對黑客竊取個人資料及資訊保安遭受到前所未有的攻擊,用家應多加提防。

該報告指出 2011 年為「資料外洩之年」,當中不乏多宗大型資料外洩事件,其中亦包括 Android 平台遭受惡意程式破壞,於 2011 年流動裝置惡意程式的數量錄得爆炸性增長。此外,社交網站廣泛利用誘使黑客攻擊竊取個人資料,明顯地黑客已向多方面進行攻擊,利用新手法竊取個人資料,因此政府監管機關需加強建立社交網站的規範和機制,以保護用家個人私隱。

此外,多家知名大企業遭黑客攻擊而導致機密或客戶資料外洩事件亦引起全球關注,企業因此承受商譽及巨大財務損失。雖然報告中指出公開通報的漏洞數目,由 2010 年的 4,651 宗下降至 2011 年的 4,155 宗,但黑客的漏洞攻擊手法變得更複雜; 2011 年的漏洞攻擊非常精準,其中大多數均利用 CVE-2011-3402 、 CVE-2011-3544 和 CVE-2011-3414 三個漏洞,以及 Adobe 產品漏洞進行攻擊。
1
1