不要错过 - 頁面 13

以色列資安廠商 SaiFlow 近日發表研究報告，指出該公司發現多種電動車充電系統的舊版通訊協定，內含兩個資安漏洞，可能導致駭侵者遠端關閉充電樁，甚至用以竊取資料與電力。 被發現存有漏洞的電動車充電通訊協定為 Open Charge Point Protocol (OCPP) 1.6J 版本；該通訊協定使用 WebSocket ，讓電動車充電樁與管理系統 (Charging Station Management System, CSMS) 服務提供者進行溝通。 SaiFlow 指出，OCPP 標準並未明確定義在已啟用與充電樁連線的情形下，CSMS 應如何接受來自充電樁的新連線要求；這種對於多個已啟用連線操作方式缺乏明確定義的情形，導致駭侵者有機會藉由充電樁和 CSMS 間的通訊連線來下手發動攻擊。 SaiFlow 說，攻擊者可以冒充為一個已經建立連線的充電樁，對 CSMS 發動兩種攻擊：在 CSMS 供應商關閉原有連線並建立新連線時，對 CSMS 發動服務阻斷攻擊 (Denial of Service, DoS)、以及侵入並攔截 CSMS 與已連線充電樁之間的連線，以竊取充電中車主的各種個資，包括駕照資訊、信用卡號、CSMS 登入資訊等。 SaiFlow 也指出，新版的 OCPP 2.0.1 已經修補好這兩個漏洞，其做法為當單一充電樁同時進行多個連線時，進行更頻繁的充電樁登入資訊提供要求。 隨著電動車的快速普及，其相關基礎設施的資安也將更為重要。建議公用充電樁業者應加強充電樁暨管理系統的資安防護與軟硬體升級作業，以免成為駭侵攻擊的受害者。

美國新任命的最高資安外交官 Nate Fick 日前表示，其個人使用的 Twitter 帳號遭到駭入；他稱此事為「因工作而帶來的威脅」。 Nate Fick 是由現任美國總統 Joe Biden 於去年 6 月宣布提名為新成立的「網路空間與數位政策局」(Bureau of Cyberspace and Digital Policy)，該單位直屬於美國國務院，由美國副國務卿擔任其主管，主要推動三方面的政策宣導與國際合作，包括國際資安 (International Cyberspace Security)、國際資訊與通訊政策 (International Information and Communication Policy) 以及數位自由 (Digital Freedom)。 目前尚不清楚駭侵者的身分、動機與背景，也沒有駭侵者利用遭駭 Twitter 帳號擅自發送貼文的跡象；不過 Nate Fick 指出他很少使用個人 Twitter 發文，如有必要發文，通常都使用美國國務院申請的單位官方帳號來發表推文。 Nate Fick 是美國海軍陸戰隊退役軍人，也曾擔任某民間資安公司執行長；目前是網路空間與數位政策局的局長。他在 2022 年 9 月上任，成為美國首位網路空間與數位政策無任所大使。 據 CNN 指出，該局的目標是結合美國的外交政策，在網路上提倡各種數位人權議題，以對應極權國家在網路上日漸擴張的聲量。 社群媒體帳號的安全性總有多種漏洞存在，也可能因各種原因遭到駭入或挾持，建議用戶避免在社群媒體上透漏各種機敏資訊。

SaaS 大廠 Atlassian 日前發表資安通報，指出旗下產品 Jira Service Management Server and Data Center 遭發現一個嚴重漏洞 CVE-2023-22501；該漏洞在某些情形下，可導致未授權駭侵者假冒其他用戶登入，並取得遠端連線能力以存取系統。 Atlassian 在資安通報中指出，在對用戶目錄的寫入權限與外送 Email 都為啟用狀況下，Jira Service Management 實例可能會遭到攻擊者使用從未登入的帳號，以傳送給用戶的註冊 token 取得系統存取權限，而駭侵者可以透過兩種方式輕易取得該註冊用 token。 該 CVE-2023-22501 漏洞據 Atlassian 自行評估，其 CVSS 危險程度評分高達 9.4 分（滿分為 10 分），其危險程度評級也高居最危險等級的「Critical」。 Atlassian 指出，這個漏洞所影響的 Jira Service Management Server 和 Data Center 版本為 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0 等。Atlassian 已推出 5.3.3、5.4.2、5.5.1 和 5.6.0 等，將此漏洞修補完成；如果無法立即升級版本，Atlassian 也備有對應各版本的專屬修補軟體，以做為對應該漏洞的暫時解決方案。 Atlassian 指出，即使用戶的 Jira Service Management Server and Data Center 係布署於不直接連通外網的防火牆內，或透過單一登入 (SSO) 存取外部用戶目錄者，也應立即套用更新。 CVE 編號：CVE-2023-22501 影響產品資訊：Jira Service Management Server 和 Data Center 版本 5.3.0、5.3.1、5.3.2、5.4.0、5.4.1、5.5.0。 解決方案：升級至 5.3.3、5.4.2、5.5.1 和 5.6.0 等版本。無法立即升級版本時，可至 Atlassian 下載安裝對應各版本的專屬修補軟體，以做為對應該漏洞的暫時解決方案。

資安廠商 Sophos 旗下的資安研究人員，近日發表研究報告指出名為「Pig Butchering」（殺豬）的高報酬投資詐騙 App 兼詐騙攻擊活動，成功略過 Apple App Store 與 Google Play 等主流行動應用程式商店的防範，對受害者進行加密貨幣詐騙攻擊。 Sophos 在報告中指出，這個 Pig Butchering 詐騙活動，主要針對社群平台 Facebook 與交友平台 Tinder 上的男性受眾為主要攻擊對象，先以竊取來的照片設立假的女性用戶帳號，加上許多出入高級餐廳、休閒娛樂場所、一流旅遊景點、貴重物品商店的照片來取信潛在受害者；在得到受害者信任後，接者以該假帳號告知受害者，有親友在金融投資分析機構任職，邀請受害者加入加密貨幣投資計畫，並以高額報酬利誘，誘使受害者到 Apple App Store 或 Google Play 下載詐騙惡意 App。 報告也說明駭侵者成功略過 App Store 和 Google Play 的手法。惡意軟體開發者會先開發一個功能一切正常的 App，建置兩台介面相同的伺服器，但只有其中一台含有惡意程式碼。惡意軟體開發者接著上傳 App 送審，此時該 App 只會連到不含惡意程式碼的伺服器，以通過審查並成功上架；上架後再將 App 連線指向含有惡意程式碼的伺服器，以改變 App 功能。 受害者開啟變造過的 App 後，會看到一個來自惡意伺服器的加密貨幣交易介面，其中所有資料全是假的，以引誘受害者入金進行投資。 這類以高額獲利與美女引誘受害者進行詐騙的手法，自古以來皆十分有效；建議加密貨幣投資人應對來自社群媒體的可疑互動保持高度警覺，以免遭受損失。  

資安廠商 Dr.Web 最近發表研究報告指出，該公司旗下的資安研究人員，近來發現多個 Google Play Store 中的健康類 Android 軟體，詐稱只要用戶完成指定運動量，即可獲得各種包括現金在內的獎勵，但實際內含廣告惡意軟體，會不斷推送大量廣告給用戶。 在 Dr.Web 發表的資安研究報告中，列出三個這類健康惡意 App，包括： Lucky Step - Walking Tracker（1,000 萬次下載） WalkingJoy （500 萬次下載） Lucky Habit: health tracker （500 萬次下載） 這些軟體以養成運動健康習慣為號召，詐稱用戶只要完成每日的運動或行走距離目標，即可獲得各種神秘獎勵或現金，但當用戶真的完成這些目標時，這些軟體會改口說必須累積更多獲獎才能領獎，且用戶必須被迫觀看更多廣告。 當用戶真的看完這些廣告後，這些惡意 App 還會以「加速獎金累積」為由，推播更多廣告給用戶。 Dr, Web 報告中也說，Lucky Step - Walking Tracker 的某個早期版本原本還有個選項，可讓用戶將累積的奬金或獎品兌換成禮物卡，用戶可持該禮物卡到實體或網路商店兌換商品，但近來的版本則取消了該功能，因此用戶更不容易實際領取到在 App 中累積的獎勵。 在這份資安研究報告發表時，上述三個廣告惡意 Android App 都還留在 Google Play Store 上，未遭 Google 撤除下架；但在該軟體的評價與用戶留言中，已有不少認為遭到詐騙的用戶留下負評。 用戶在下載這類以實際獎勵為號召的 App 時，應格外注意，因為許多惡意軟體會以此為釣餌，吸引用戶上鉤下載其惡意軟體。安裝前務必仔細閱讀用戶留言與評價，如有較多負評，切勿下載安裝。

德國汽車大廠 Porsche（保時捷） 日前突然宣布停止發行一款紀念 NFT，且不再鑄造新的 NFT 後，詐騙者立刻設立多個偽裝為 Porsche 官方 NFT 網站的釣魚網站，誘騙欲購者上當後，再以惡意軟體植入受害者裝置，竊取受害者錢包內的加密貨幣。 Porscher 是在 2023 年 1 月 23 日開始針對旗下經典跑車車款 911 發行紀念 NFT，初始售價為 0.911 枚以太幣，約合 1,500 美元，做為該款經典跑車的數位典藏版。原本該紀念 NFT 計畫鑄造 7,500 枚，但在消息公布的 24 小時後，即使經過三波鑄造發行活動，卻只鑄出原定數量的 20%。 在 Porsche 推出 911 紀念 NFT 後，在全球最大 NFT 市集 OpenSea 上，立刻就有人開設賣場，轉手出脫該款紀念 NFT；由於在 OpenSea 上取得該款 NFT 的價格較原廠售價便宜，因此除了造成原廠記念幣更為滯銷外，也引來投資者與社群的不滿。 在社群怒火之下，Porsche 立即於隔日的 1 月 24 日宣布停止鑄造該款 NFT，且不再增加供應量，直到找出適合的市場投放方式為止；但實際上的鑄造活動一直到 1 月 25 日 UTC 時間上午 6 時才停止，因此讓詐騙者有空間進行攻擊活動。 資安專業媒體 BleepComupter 觀察到多組駭侵者設立多個釣魚網站，用來模仿 Porsche 911 記念 NFT 的官網，詐稱將免費發放 911 NFT。其中有一個詐騙網站，其 Twitter 帳號（現已遭停權）的追蹤人數甚至高達 11,000 人以上；用戶如果在該釣魚網站連結了自己的錢包，錢包中的加密貨幣即有可能遭到竊取。 加密貨幣投資人在接獲各種社群傳遞的優惠活動訊息（如免費灑幣、空投、名人相關活動）時，應特別提高警覺，勿因一時貪念而點按惡意連結，以免加密貨幣資產遭到駭侵者盜領而造成損失。

資安專業媒體 BleepingComputer 近日報導指出，近來有多組駭侵者在 Gogole 搜尋服務刊登關鍵字廣告，引誘使用者至其連結，進入假冒的軟體下載網站，安裝含有惡意程碼的假軟體，因而造成多種損害。 其中一例是一個在幣圈相當知名的網紅 Alex（又名 NFT God），在 Google 上尋找開源免費串流直播控制軟體 OBS (Open Broadcaster Software) 時，不慎誤點出現在 Google 搜尋結果頁面廣告中的連結，進入假的 OBS 官網後，安裝了可能含有資訊竊取惡意程式碼的假 OBS 軟體，之後包括其數位錢包中的加密貨幣和 NFT，以及其 Twitter 、Substack、Gmail、Discord 等帳號都遭駭侵者竊走。 在這個例子之外，BleepingComputer 的調查也發現更多知名軟體也遭駭侵者假冒，同樣以購買搜尋關鍵字廣告的方式，意圖誘使不察的使用者誤點，進而安裝含有惡意程式碼的假軟體；遭到冒名的軟體包括 Rufus、Notepad++、VLC、WinRAR、7-Zip、CCleaner、Blender 3D 等等。 BleepingComputer 也綜合多位資安專家的發現，指出這些駭侵者多半以極接近熱門正牌軟體或其公司名稱來註冊網域，並且購買用戶在搜尋此類軟體時經常使用的搜尋關鍵字廣告；由於這類廣告往往會出現在搜尋結果中的首位，且顯示格式與真正的搜尋結果視覺上極為接近，因此往往能有效吸引用戶點按，並導至假網站下載惡意軟體。 建議用戶在搜尋軟體並下載時，應仔細分辨搜尋結果，避免點按標示為「廣告」或「AD」的搜尋結果項目，以免遭這類詐騙廣告所害。

資安廠商 Cofense 發表研究報告指出，該公司的統計數字顯示，駭侵者使用 Telegram 自動回覆機器人功能進行的釣魚攻擊，從 2021 年到 2022 年之間暴增了 800%，而且是呈逐月上升的趨勢。 報告指出，研究人員發現 Telegram 機器人釣魚攻擊，主要是因為有大量攻擊行動係採用夾帶在訊息中的 HTML 檔的手法，引誘受害者開啟釣魚 HTML 頁面以收集被害人輸入的登入資訊。 報告說，駭侵者的典型攻擊手法，多半是利用各種誘因，該用戶加入到駭侵者設定的私密聊天室，接著再以自動對話機器人來和用戶互動，並傳遞含有惡意程式碼的詐騙 HTML 檔，再收集用戶輸入的登入資訊，即可達到攻擊目的。 Cofense 的專家在報告中說，由於 Telegram 使用者眾多，加上其自動對話機器人的設定十分簡便，使用成本又十分低廉（甚至免費），因此對駭侵者來說是個非常適合的攻擊平台。 專家也指出，雖然利用 Telegram 對話機器人來發動各式駭侵攻擊，這種手法並不新鮮，但近來透過機器人回答遞送惡意釣魚 HTML 檔案的攻擊手法愈來愈見頻繁，且多數用戶對這種釣魚手法的警覺心較低。 資安專家表示，雖然透過自動對話機器人，比較不易預期結果，但駭侵者一直在尋找透過 Email 以外的釣魚攻擊管道；而透過如 WhatsApp、Telegram 等用戶眾多的即時對話社群平台的攻擊案例，相信還會繼續增加。 由於這類透過即時通訊平台進行的釣魚攻擊日益增加，針對登入資訊的釣魚攻擊，建議企業組織對應的資安防護，不能僅局限於 Email 管道，也應將常用即時訊息平台如 LINE、Slack、Telegram、WhatsApp 等列入防護重點。

Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」，共修復多達 98 個資安漏洞，其中有 11 個是屬於「嚴重」(Critical) 危險程度的漏洞，另有 1 個 0-day 漏洞也獲得修復，該漏洞已知遭用於攻擊活動。 本月 Patch Tuesday 修復的漏洞數量眾多，是上個月（2022 年 12 月）49 個的兩倍之多；其中 11 個屬於嚴重等級的漏洞，分類上均為遠端執行任意程式碼、資安防護功能略過，以及執行權限提升類型。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 權限提升漏洞：39 個； 資安防護功能略過漏洞：4 個； 遠端執行任意程式碼漏洞：33 個； 資訊洩露漏洞：10 個； 服務阻斷（Denial of Service）漏洞：10 個； 假冒詐騙漏洞：2 個。 本月修復的 0-day 漏洞，是 CVE 編號為 CVE-2023-21674 的 Windows 進階本機程序呼叫 (Advanced Local Procedure Call, ALPC) 漏洞，屬於執行權限提升漏洞。Microsoft 指出這是一個可自沙箱中逃出的漏洞，駭侵者可用以取得系統權限，並進一步執行駭侵攻擊。目前已知該 0-day 漏洞已遭駭侵者廣泛用於攻擊活動。 本月尚有 Adobe、Cisco、Citrix、Fortinet、Intel、SAP、Synology 等公司針對其軟硬體產品發布資安更新，供用戶進行更新。 CVE 編號：CVE-2023-21674 等 影響產品資訊：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶應立即依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

資安廠商 Pen Test Partners 日前發現有駭侵者濫用公開轉址（open redirect）手法，將英國環境、食品暨鄉村事務部（Department for Environment, Food and Rural Affairs, DEFRA）網域旗下的某個網頁，惡意導向到一系列詐騙的 OnlyFans 約會網頁，誘使用戶註冊訂閱並竊取個人資訊。 OnlyFans 是一個訂閱制網站，付費訂戶可以看到訂閱主放置的訂戶專屬私密照片、影片等內容，由於隱私性強，吸引許多成人內容提供者在平台上提供付費訂閱；也因此成為許多駭侵者用以假冒的對象，以吸引受害者上鉤。 在這個案例中，駭侵者利用一個公開轉址設定，將造訪 DEFRA 的訪客以該工具進行一系列轉址，最後轉到假冒的 OnlyFans 網站；該網站再利用一系列的約會相關問題，來進一步誘騙受害者。 值得一提的是，這個詐騙公開轉向設定，甚至也影響到 Google 搜尋內容；用戶如果搜尋該局相關業務內容，在 Google 搜尋結果頁面中點按的話，就會被導向到駭侵者設立的詐騙網頁。 由於公開轉址可由任何人設定，只要在某網站的 URL 中加上重新導向的指令，就可以將訪客導向到任何網頁，因此近年來常被駭侵者用來作為假冒正當網站的手法，將用戶導向到惡意網站，特別是釣魚網站。 包括美國政府網站、美國社群服務 Snapchat，以及美國運通卡官網，都曾遭到駭侵者以 open redirect  手法，將用戶導向到釣魚頁面。 建議用戶在點按連結後需特別提高警覺，仔細觀察瀏覽器是否出現多次重新導向動作，最後連上的網站，其網域名稱是否異常。如被導向到惡意網站，應立即退出，勿留下任何資訊或點按連結。