臉書詐騙新招 盜取個資創購物社團吸金

臉書詐騙新招 盜取個資創購物社團吸金


臉書淪為詐騙集團斂財工具早已不是新聞，但是詐騙手法一再翻新，過去利用臉書拜託代收簡訊的手法在媒體與警方的一再提醒下，上鉤率已大幅下降，但詐騙集團隨著趨勢翻新，現在不只盜取單一帳號，更要將臉書的社交功能發揮到極限，將單一帳號的社交網絡轉身變成吸金工具。

近期最常見的詐騙手法便是打著「購物社團」名義，邀請所有朋友加入，在社團內販賣商品，有的甚至是低於市價好幾成的最新3C商品，讓不少網友因為信賴朋友的「邀請」而貿然匯款購買，等到發現沒收到商品時找朋友興師問罪，才發現原來朋友也是受「駭」戶，不只個資被盜取，連個人在朋友間的信用度也跟著破產。

芬安全(F-Secure)大中華區總代理商翔偉資安科技總經理杜世鵬表示，現在以社交為主要功能的網站或是app早已成為現代人每天不可或缺的工具，但因為即時性高加上一旦成為朋友後戒心降低的心理因素，社交工具反而成為駭客傳散病毒或是詐騙的最佳利器。尤其現代人可以三日不讀書，但不能一天不上臉書的高依賴度，讓臉書成為詐騙最佳溫床，不過雖然是目前最夯的社交網站，但臉書對於個人隱私的控管卻一直都為網友詬病，像是可以在未經同意下，就可以被拉入社團的設計便淪為詐騙集團利用的工具。

杜總經理表示，病毒傳送雖然因為社交網站的即時性高傳散速度也變快，但網友一但發現有問題，互相提醒的速度也不亞於病毒擴散的速度，現代人也不可能因此遠離這些拉近人與人距離的科技利器，但與其消極應付駭客手法，更應該確保自己個資安全，防止自己的朋友圈成為駭客的斂財名單。最簡單的作法除了定時更換密碼、不任意下載來路不明的資訊或是app外，更不要忘記將資安防護概念擴及到所有行動上網裝置上，切莫以為只有電腦設備需要防毒防駭，平板電腦或是智慧型手機才是這一波主要受「駭」的末端裝置。

轉載自《DIGITIMES中文網》

美國知名銀行又陷DDoS危機 幕後操盤手竟是伊朗?!

美國知名銀行又陷DDoS危機 幕後操盤手竟是伊朗?!

美國金融機構自2012年9月開始陸續遭受DDoS攻擊，導致網路銀行服務受到影響，近日安全公司又偵測到新一波的DDoS攻擊正在展開，為數家銀行調查攻擊事件的Radware公司Radware副總裁Carl Herberger表示，這波攻擊的規模、範圍、效率、影響的金融機構都是前所未有的。

新一波DDoS攻擊的受害者包括美國銀行(Bank of America)、花旗集團(Citigroup)、富國銀行(Wells Fargo)、美國合眾銀行(US Bancorp)、PNC金融服務集團和?豐銀行(HSBC)等機構。儘管這些受害機構已經投入許多資金處理攻擊事件，但依舊無法控制並使之停止，部份用戶已經開始在網路上抱怨無法登入網銀服務。

前美國國務院和商務部官員暨美國國際戰略研究中心(Center for Strategic and International Studies)的電腦安全專家James Lewis認為，伊朗是這幾波DDoS攻擊的幕後主使者。

James Lewis日前接受紐約時報(New York Times)專訪時則指出，這些DDoS攻擊僅造成網路銀行使用受到影響，但沒有任何資料、金錢被竊取，顯示其目的是為了影響營運，而非財務目的，此外，DDoS攻擊所運用的大量網路流量以及複雜手法，都讓美國政府更加肯定這是來自伊朗政府所為，不過，James Lewis並沒有提出確切證據證明他所說的，事實上，很多資安專家也都認為沒有直接證據證明這些攻擊是伊朗政府所為。

另外，網路上有個自稱Izz ad-din Al qassam的組織，宣稱他們才是這些攻擊的策劃者，因為對之前Youtube上模仿穆罕默德的影片感到不滿才發動攻擊，該組織甚至在最新發文中警告「所有美國的銀行，從現在開始都將面臨攻擊！」不過，James Lewis表示，美國官方認為Izz ad-din Al qassam只是伊朗政府用來轉移焦點的工具罷了。

其實，美國和伊朗政府之間的恩怨向來不斷，包括Flame、Stuxnet以及Duqu等超級病毒，都曾被認為是美國主導、用來攻擊伊朗重要基礎建設的工具。而今的DDoS攻擊，則讓美國官方相信這是伊朗政府所展開的報復手段。

在這一波攻擊中，除了幕後主使者惹人爭議外，還透露出一些令人不安的訊息。相較於前幾波是針對某些特定電腦發起的攻擊，新一波攻擊中，攻擊者還控制了多個資料中心的電腦網路。

Radware公司研究員發現，用於攻擊的大量資料來自世界各地的資料中心，許多雲端服務和網路託管服務系統已經感染了一種稱之為Itsoknoproblembro的複雜病毒，雖然該惡意程式已經存在多年，但這是它首次利用資料中心來攻擊目標。

轉載自《資安人科技網》

整併個資/資安/服務3項管理制度 從盤點營運流程開始

整併個資/資安/服務3項管理制度 從盤點營運流程開始

個資法上路後，許多企業為了做好法規遵循，選擇導入個資保護相關管理制度，然而每多引進一項制度就會多一份維運工作，如何將個資管理制度與現有制度整併，降低維運成本，成為企業最關心的課題。

日前資策會資安所整合ISO 20000、ISO 27001與BS 10012三種制度，並取得驗證，將這3種制度的管理流程、程序文件、組織、內部稽核制度、風險評鑑方式作整合，降低內部維運管理制度的時間與人力。

簡單來說，資安所3種制度的整併可以分為以下兩個大面向：

1、管理制度整合
(1)  檢視管理制度與個資法的符合性；
(2)  合併管理審查會議（審查項目與內容）；
(3)  合併重疊的管理制度文件（如：文件記錄與發行管理等）。
(4)  檢視內部稽核與查檢表。

2、資產盤點方法與風險管理方法論的整合。

資策會資安所副所長劉培文指出，在整合3種管理制度過程中，首先從盤點業務流程(ISO 20000)開始，並思考每一個業務流程該怎麼做，才能遵循資安(ISO 27001)與個資保護(BS 10012)的規範。

舉例來說，資安所負責維運技服中心，而在技服中心通報應變網站中含有個人資料，站在ISO 27001的角度，要考量的就是提供網站運作的IT資產是否符合規範，而ISO 20000看的則是服務水準（即SLA），BS 10012則是從個資保護的角度出發，這3個管理制度雖然考量的不同面向，但彼此必須做整合，否則可能3個不同的人分別處理這3件事，造成人力與時間的資源浪費。

轉載自《資安人科技網》