2013-02-19
臉書詐騙新招 盜取個資創購物社團吸金
臉書詐騙新招 盜取個資創購物社團吸金
臉書淪為詐騙集團斂財工具早已不是新聞,但是詐騙手法一再翻新,過去利用臉書拜託代收簡訊的手法在媒體與警方的一再提醒下,上鉤率已大幅下降,但詐騙集團隨著趨勢翻新,現在不只盜取單一帳號,更要將臉書的社交功能發揮到極限,將單一帳號的社交網絡轉身變成吸金工具。
近期最常見的詐騙手法便是打著「購物社團」名義,邀請所有朋友加入,在社團內販賣商品,有的甚至是低於市價好幾成的最新3C商品,讓不少網友因為信賴朋友的「邀請」而貿然匯款購買,等到發現沒收到商品時找朋友興師問罪,才發現原來朋友也是受「駭」戶,不只個資被盜取,連個人在朋友間的信用度也跟著破產。
芬安全(F-Secure)大中華區總代理商翔偉資安科技總經理杜世鵬表示,現在以社交為主要功能的網站或是app早已成為現代人每天不可或缺的工具,但因為即時性高加上一旦成為朋友後戒心降低的心理因素,社交工具反而成為駭客傳散病毒或是詐騙的最佳利器。尤其現代人可以三日不讀書,但不能一天不上臉書的高依賴度,讓臉書成為詐騙最佳溫床,不過雖然是目前最夯的社交網站,但臉書對於個人隱私的控管卻一直都為網友詬病,像是可以在未經同意下,就可以被拉入社團的設計便淪為詐騙集團利用的工具。
杜總經理表示,病毒傳送雖然因為社交網站的即時性高傳散速度也變快,但網友一但發現有問題,互相提醒的速度也不亞於病毒擴散的速度,現代人也不可能因此遠離這些拉近人與人距離的科技利器,但與其消極應付駭客手法,更應該確保自己個資安全,防止自己的朋友圈成為駭客的斂財名單。最簡單的作法除了定時更換密碼、不任意下載來路不明的資訊或是app外,更不要忘記將資安防護概念擴及到所有行動上網裝置上,切莫以為只有電腦設備需要防毒防駭,平板電腦或是智慧型手機才是這一波主要受「駭」的末端裝置。
轉載自《DIGITIMES中文網》
美國知名銀行又陷DDoS危機 幕後操盤手竟是伊朗?!
美國知名銀行又陷DDoS危機 幕後操盤手竟是伊朗?!
美國金融機構自2012年9月開始陸續遭受DDoS攻擊,導致網路銀行服務受到影響,近日安全公司又偵測到新一波的DDoS攻擊正在展開,為數家銀行調查攻擊事件的Radware公司Radware副總裁Carl Herberger表示,這波攻擊的規模、範圍、效率、影響的金融機構都是前所未有的。
新一波DDoS攻擊的受害者包括美國銀行(Bank of America)、花旗集團(Citigroup)、富國銀行(Wells Fargo)、美國合眾銀行(US Bancorp)、PNC金融服務集團和?豐銀行(HSBC)等機構。儘管這些受害機構已經投入許多資金處理攻擊事件,但依舊無法控制並使之停止,部份用戶已經開始在網路上抱怨無法登入網銀服務。
前美國國務院和商務部官員暨美國國際戰略研究中心(Center for Strategic and International Studies)的電腦安全專家James Lewis認為,伊朗是這幾波DDoS攻擊的幕後主使者。
James Lewis日前接受紐約時報(New York Times)專訪時則指出,這些DDoS攻擊僅造成網路銀行使用受到影響,但沒有任何資料、金錢被竊取,顯示其目的是為了影響營運,而非財務目的,此外,DDoS攻擊所運用的大量網路流量以及複雜手法,都讓美國政府更加肯定這是來自伊朗政府所為,不過,James Lewis並沒有提出確切證據證明他所說的,事實上,很多資安專家也都認為沒有直接證據證明這些攻擊是伊朗政府所為。
另外,網路上有個自稱Izz ad-din Al qassam的組織,宣稱他們才是這些攻擊的策劃者,因為對之前Youtube上模仿穆罕默德的影片感到不滿才發動攻擊,該組織甚至在最新發文中警告「所有美國的銀行,從現在開始都將面臨攻擊!」不過,James Lewis表示,美國官方認為Izz ad-din Al qassam只是伊朗政府用來轉移焦點的工具罷了。
其實,美國和伊朗政府之間的恩怨向來不斷,包括Flame、Stuxnet以及Duqu等超級病毒,都曾被認為是美國主導、用來攻擊伊朗重要基礎建設的工具。而今的DDoS攻擊,則讓美國官方相信這是伊朗政府所展開的報復手段。
在這一波攻擊中,除了幕後主使者惹人爭議外,還透露出一些令人不安的訊息。相較於前幾波是針對某些特定電腦發起的攻擊,新一波攻擊中,攻擊者還控制了多個資料中心的電腦網路。
Radware公司研究員發現,用於攻擊的大量資料來自世界各地的資料中心,許多雲端服務和網路託管服務系統已經感染了一種稱之為Itsoknoproblembro的複雜病毒,雖然該惡意程式已經存在多年,但這是它首次利用資料中心來攻擊目標。
轉載自《資安人科技網》
整併個資/資安/服務3項管理制度 從盤點營運流程開始
整併個資/資安/服務3項管理制度 從盤點營運流程開始
個資法上路後,許多企業為了做好法規遵循,選擇導入個資保護相關管理制度,然而每多引進一項制度就會多一份維運工作,如何將個資管理制度與現有制度整併,降低維運成本,成為企業最關心的課題。
日前資策會資安所整合ISO 20000、ISO 27001與BS 10012三種制度,並取得驗證,將這3種制度的管理流程、程序文件、組織、內部稽核制度、風險評鑑方式作整合,降低內部維運管理制度的時間與人力。
簡單來說,資安所3種制度的整併可以分為以下兩個大面向:
1、管理制度整合
(1) 檢視管理制度與個資法的符合性;
(2) 合併管理審查會議(審查項目與內容);
(3) 合併重疊的管理制度文件(如:文件記錄與發行管理等)。
(4) 檢視內部稽核與查檢表。
2、資產盤點方法與風險管理方法論的整合。
資策會資安所副所長劉培文指出,在整合3種管理制度過程中,首先從盤點業務流程(ISO 20000)開始,並思考每一個業務流程該怎麼做,才能遵循資安(ISO 27001)與個資保護(BS 10012)的規範。
舉例來說,資安所負責維運技服中心,而在技服中心通報應變網站中含有個人資料,站在ISO 27001的角度,要考量的就是提供網站運作的IT資產是否符合規範,而ISO 20000看的則是服務水準(即SLA),BS 10012則是從個資保護的角度出發,這3個管理制度雖然考量的不同面向,但彼此必須做整合,否則可能3個不同的人分別處理這3件事,造成人力與時間的資源浪費。
轉載自《資安人科技網》
訂閱:
文章 (Atom)