隨著各式科技服務的導入,政府企業,乃至於個人,都越來越重視資訊安全,思想科技 Master Concept 團隊每個月都會替您搜羅最新的資安新聞和品牌洞見,讓您第一時間獲取相關情報,建立企業安全網!
資安問題永遠都不能掉以輕心,但別擔心,我們與您同在,讓您的數據永遠都能牢牢守護在最安全的地方!
國內外資安新聞
[假冒官方應用程式: Android 中的冒牌 Signal 及 Telegram]
通訊軟體 Signal 和 Telegram 在 Android Play 商店和 Samsung Galaxy Store 上遭到假冒!這些假冒的應用程式會偷取用戶個人資料,包含聯絡人、裝置資訊及通聯紀錄,且已經逃過官方的檢驗、在 Play 商店存在超過九個月。提醒您,在下載應用程式前,應確認其要求的存取權不超過需要範圍。
[訂房流程網路釣魚:惡意連結雙向攻擊業者與客戶]
近年旅遊市場回溫,不少人積極計畫海內外旅遊,但是要注意的是,近期出現了針對訂房流程設計的網路釣魚。駭客偽裝成客人傳送訊息給飯店,讓飯店客服人員點選惡意連結,竊取飯店金融資訊、憑證等;同時,駭客也會攻擊旅遊平台,以客服人員的身份傳訊息給真實的客戶,將客戶導入仿冒的網頁騙取信用卡資訊。
[高科技車用配備:駕駛人隱私安全及資料保護誰來顧?]
隨著數位科技與車業結合,現在的汽車出現了許多方便的設計,例如免鑰匙系統、自動偵測、行車紀錄等,大大提升了駕駛的體驗、避免許多交通事故。然而,這些便利設計的背面是更多的資料搜集,也面臨了資料外洩的可能。根據研究, 84% 的品牌正在分享及販售駕駛人的個人資料,其中僅有兩間公司允許駕駛人刪除資料。
品牌洞見
[KnowBe4] 協作系統遭到駭客利用 AI 深偽技術入侵
「深偽技術以假亂真,但企業可透過教育訓練抵禦類似資安攻擊。」
近期,有駭客利用 AI 深偽(deepfake)技術模仿了企業內部 IT 團隊成員的聲音,致電要求其他員工協助完成多重身份驗證(MFA),並趁機駭入了協作系統,造成該公司的重大損失。協作系統為工作者帶來了便利,但其跨裝置同步更新的特色也遭到惡意操作。 KnowBe4 提醒企業,在導入協作工具強化團隊生產力的同時,也應同步加強企業流程的教育訓練,並提高員工資安意識,以避免類似狀況發生。
閱讀全文:[KnowBe4] Hacker Deepfakes Employee’s Voice in Phone Call to Breach IT Company
[Jamf] 彈性的 IT 環境可加速問題的解決
「要讓 IT 人員致力工作,營造吸引人的 IT 環境是很重要的,它不應該是商業決策中的障礙。」
Jamf 建議,企業的 IT 環境應該保持彈性。保持彈性可從兩個方向執行,一方面,在員工入職時,企業應該讓員工能夠選擇熟悉的工作系統,提供選擇將成為招募人才的重要優勢,集結越多人才,企業也能有更高的產值。另一方面,若需要調整內部的 IT 環境,企業應該重視員工過去的使用習慣,不給員工帶來不必要壓力且盡可能避免擾亂員工作業。
閱讀全文:[Jamf] Flexible IT accelerates problem solving
[Google] 開源軟體安全其實跟環境保護的概念很相似
「開源軟體可說是一種公有財,所有開發者都能享受、重複使用這項資源。」
在今年的 Securing Open Source Software Summit 中,美國政府提出了許多關於開源軟體的保護措施及投資,而 Google 於 2022 年起就成立了開源軟體維護小組(Open Source Maintenance Crew),期望透過公部門及私人企業的合作共同養成良好的環境,讓維持開源軟體的安全像是環保的概念一樣普及且受到重視。
閱讀全文:[Google] Cloud CISO Perspectives: Late September 2023
[Akamai] 從成功的資安攻擊中學到的三件事
「防止企業資料遭到剽竊需要技巧性地調整傳統的資安措施。」
Akamai 觀察過去多起資安攻擊事件,整理出三個重點:(1) VPN 的時代已然過去,並不適合現代的企業環境 (2) 傳統的多重身份驗證不再有效,企業應考慮實施 FIDO2 及 WebAuthn 等標準 (3) 善用權限分群分級制度,最小化可能的傷害。
閱讀全文:[Akamai] 3 Lessons We’ve Learned from Successful Cyberattacks
