《TechOrange》每週五挑出國內外資安的 5 件新聞大事,這週不論是在金融服務、企業導入生成式 AI、遊戲,皆有許多值得關注的資安面向,快來一起看看!
*5 款 APP 暗藏木馬恐盜光銀行存款,已有超過 3 萬下載量金融服務面臨新的資安威脅,資安公司 ThreatFabric 在 Google Play 商店上發現 5 款偽裝成合法 PDF 文件閱讀器的 APP,當中暗藏銀行木馬軟體「Anatsa」,目標是多個 Android 裝置上的銀行 APP ,下載量已超過 3 萬。
這幾款 APP 會以更新為由,向用戶發送帶有 Anatsa 木馬軟體的檔案,一旦設備被感染,就可以透過用戶登入網路銀行 APP 時的鍵盤紀錄竊取敏感資料,包含憑證、信用卡消費紀錄、餘額、交易紀錄等,再利用這些個資發起詐欺交易。ThreaFabric 向 Google 舉報後,這 5 款 APP 皆已被強制下架,但該公司也觀察到類似攻擊手法不斷出現,提醒已下載民眾盡快刪除
(5 款 APP 包含:
PDF Reader – Edit & View PDF、
PDF Reader & Editor、
PDF Reader & Editor、
All Document Reader & Editor、
All Document Reader and Viewer)。
中央政府近來持續強調資安即國安,總統蔡英文在昨(29)日「台美金融資安論壇」致詞提及,台灣推動數位轉型同時,需要面對更複雜多變的資安威脅,而為了強化金融關鍵基礎設施的保護,立法院已三讀通過並正式公布《銀行法》、《證交法》和《期交法》的修法。日後,涉及破壞核心資通系統設備的正常運作,都會加重刑責,最高可以處 7 年以下有期徒刑,併科 1000 萬元以下罰金。
*國內 80 家金融業者評估使用生成式 AI!金管會提 5 大資安建議根據金管會調查,台灣目前已有 2 家金融機構正規劃導入生成式 AI 運用,另外有 80 家金融機構及週邊單位評估中,應用領域多為智能客服、內部行政作業及風險管理等三大領域。
金管會針對金融業者使用生成式 AI 的資安防護有五大建議:落實漏洞管理機制、向使用者宣導及定期實施教育訓練、落實系統安全修補及防毒軟體更新、禁止輸入個人或企業機敏資訊,以及使用此類工具產出之資料或程式碼時應驗證內容正確性等。
*調查:近 7 成企業將導入零信任架構,解決方案缺乏整合成最大阻礙近年網路詐騙、資料外洩、釣魚攻擊等資安事件層出不窮,自動化網路資安廠商 Fortinet 發布《2023 年零信任現況調查報告》,全球包含台灣在內的近 7 成(66%)企業表示,正透過部署數量更多的資安解決方案來實現零信任安全策略,比例較 2021 年提升逾 1 成(12%)。
但是,企業也面臨專業技能不足的挑戰。近半數(48%)的企業認為「雲地混合環境的零信任解決方案缺乏整合」,是落實零信任資安部署的最大阻礙。而選擇零信任解決方案時可參考的資訊過少,其中又以規模較小的組織情況最為嚴峻,這意味著台灣中小企業在邁向零信任的過程中,可能會遭遇相同困境。
*瞄準高階設備玩家!駭客利用《超級瑪利歐》遊戲來散布 Windows 惡意程式《超級瑪利歐》(Super Mario)是一款極受歡迎的遊戲,但資安業者 Cyble 發現,該遊戲的安裝程式已成為駭客散布惡意程式最新跳板。駭客的背後動機,是利用遊戲玩家的高階硬體設備,於背景安裝門羅幣的 XMR Miner 的挖礦程式。Cyble建議使用者應定期檢查自己的系統效能與CPU使用率,啟用軟體自動更新配置,以及安裝可靠的防毒軟體等。
| 歡迎光臨 伊莉討論區 (http://a408.file-static.com/) | Powered by Discuz! |