勒索 攻擊 防禦的八卦，Yahoo名人娛樂都在討論

❓️常識❓️ 電腦有裝防毒軟體就夠了
👉️正解👉️ 駭客攻擊手法不斷翻新，企業防毒是必須的，但更要防駭客入侵和資料竊取


勒索軟體、盜帳號、竊取機密、和更多入侵手法，都在防毒的防禦範圍之外😱，因此Windows 10除了內建標準防毒，更多了生物辨識，和人工智慧技術打造的進階威脅防護（Windows Defender ATP），能偵測可疑事件，在幾分鐘內發出警示並採取補救措施，可防止資料外洩、零時差攻擊等，而且持續更新，讓企業安全跟著時代進步

Windows 7 將在 2020/1/14 終止支援，繼續使用將有資安風險，現在正是企業升級現代智慧桌面、提升安全的好時機，快來了解更多：https://aka.ms/AA4eahc

駭客入侵無孔不入，你知道還有哪些資安攻擊是在防毒的防守範圍之外嗎？歡迎【留言】告訴大家！

了解更多：aka.ms/shiftTW

▎ 從行政院國發基金創業投資電腦系統遭駭事件，看台灣資安現況 🧐

「資安即國安，切莫淪為口號！」

有鑑於近年來國內外資安事件頻傳，虹安於國會問政也經常關心我國資安政策與規劃。甫於上個月，行政院國家發展基金的創業投資電腦系統遭疑似來自中國大陸的駭客惡意入侵，顯現出政府機關的資安意識與作為仍然相當薄弱，所謂的「資安國家隊」似乎僅淪於口號而並非具有實質作用？

💡前情提要💡
6月底，行政院國家發展基金的創業投資電腦系統突然無法開機，近日終於釐清原因，該單位的電腦遭疑似來自中國大陸駭客惡意入侵，導致系統主機遭植入病毒程式，該單位主要負責國內產業新創與公司轉型業務，此事件已通報為三級資安事件，影響層面涉及投資企業與融資業務、個人資料恐已外洩...等，屬於極度嚴重的資安事件。

虹安曾多次公開呼籲，政府或企業要提高資安意識，且應定期執行模擬演練攻擊；政府也應該儘速盤點相關政策，加速產官學研資安防護能力。比如說定期執行紅隊演練攻擊（模擬駭客入侵，對各企業端點進行攻擊）的服務，藉此找出資安防護的弱點加以改進。全世界皆面臨著資訊戰以及日益猖獗的惡意竊盜資料的網路攻擊，近年更有許多企業遭到駭客組織的「勒索軟體即服務」（RaaS）新興手法攻擊，公私部門之資安意識、能力和人才提升，勢必得馬上佈建、徹底執行。

🎯🎯🎯國發基金的創業投資電腦系統遭駭，問題可能出在哪？

① 重要主機資訊系統並沒有資安團隊或資安人員進行主動積極防禦，突顯資安人才短缺問題造成的影響仍持續擴大。

② 資訊系統委外開發及維運，顯然並沒有進階資安防護的要求，造成甲乙雙方置系統安全不顧。建議應檢視所有目前政府重要系統委外營運之合約，無論新舊，對於資安的要求是否符合規範。

③ 國發基金系統既然委外由兆豐銀行開發及維運，此事件是否表示兆豐銀行在資訊安全管理上有所疏漏，不知是否有檢視兆豐銀行整體資安防護措施？雖然在金管會要求下銀行都有專屬的資安團隊及應該做好的防護，不過今天的事件，是否代表著兆豐在資安維運上存在某種瑕疵？又，這類的事件是否會在銀行系統中發生？

如果今天遭竊的不是所謂四五年前的舊資料，而是所有納稅人的血汗錢以及國庫資金？後果不堪設想。

所以，當我們發現國發基金委託外部建置的系統至今毫無有效的資安防護措施、一遭攻擊就破功，著實令人震驚！此舉形同開大門邀請別人來攻擊，#門打開嘸人顧厝，這樣的疏漏相當嚴重也不可容忍。試問數以百計政府機關單位中，是否可能還有類似情況？人民、企業、甚至是國家該如何有保障？

剛出爐的《109年國家資通安全情勢報告》才寫道：109政府單位資安稽核重點是以「行政院所屬部會行總處署」為主，隸屬於行政院的國發基金系統竟然仍存在著資安薄弱的問題！

🔊 虹安再度呼籲，行政院應該要針對所有政府機關與國營事業做 #資安總體檢，找出系統弱點漏洞，否則以台灣政府單位每年遭受2-4000萬次網路攻擊的頻率(2018年公開資料)，政府重要機密與民眾個人資料如何能有效保障安全，實在令人高度憂心！

‼️ 勒索軟體駭全台！又傳大企業受害，我國資安拉警報 ‼️

今早美國網路媒體 #BleepingComputer 率先披露（bit.ly/3xejmGi），一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回產品藍圖，更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料，並要求支付天價贖金。

根據該篇報導，#REvil 已在暗網上洩漏了十幾份MacBook組件的示意圖，儘管沒有跡象表明它們中的任何一個是Apple的新產品，但REvil駭客警告說，如果廣達不開始就贖金進行談判，「所有Apple設備的圖紙以及員工和客戶的所有個人數據將在隨後的銷售中發布」。而駭客要求廣達必須在4月27日之前以加密貨幣XMR支付5000萬美元，或者在倒計時結束後支付1億美元。

其實現在 #資安勒索 比大家以為的、檯面上看到的多很多，包括之前宏碁、仁寶都曾經遭到駭客鎖定攻擊並遭勒索贖金。即便是這麼大的公司，資安防護跟稽核都無法滴水不漏、防不勝防，一方面除了駭客的勒索手法與使用軟體持續進步外，另一方面則突顯我國企業資安人才缺乏與資安防護漏洞嚴重的問題。

#勒索軟體（Ransomware）是什麼？它是一種源於密碼病毒學（cryptovirology ）的惡意軟體，除非向駭客支付贖金，否則它會威脅發布受害者的數據或永久阻止對目標檔案的訪問。儘管某些簡單的勒索軟體僅是鎖定系統，從而使技術高超的人不難解除，但更高級的惡意軟體使用一種稱為「加密病毒勒索」（cryptoviral extortion）的技術。它會加密受害者的文件，使其無法訪問，並要求支付贖金以解密。

勒索軟體最早從大概2007年開始出現，近幾年無論是金額或件數都以倍數成長，特別是在去年疫情爆發後，使得線上銷售、宅經濟、雲端服務、遠距教學及工作模式倍增，卻也成為新的網路犯罪溫床。甚至還有駭客組織推出「#勒索軟體即服務」（RaaS）的模式，提供網路攻擊服務。

美國網路安全公司帕羅奧圖（Palo Alto Networks）的網路安全研究人員分析了針對北美和歐洲組織的勒索軟體攻擊，發現為換取解密密鑰而支付的平均勒索贖金，從2019年的115,123美元增加到2020年的312,493美元，暴增三倍！同時，駭客越來越貪婪。從2015年到2019年，勒索軟體的最高需求為1,500萬美元，2020年，這個金額增長至3,000萬美元。

為了提高勒索成功率，駭客也開始持續精進犯罪手法，尤其是一些犯罪集團開始鎖定大企業作為狩獵標的，成為所謂的「Big game hunter」。這些駭客為了確保被勒索的企業有能力且有意願支付數十萬到數千萬美金不等的勒索贖金，從過往漫天撒網劫掠資料、加密勒索的方式，進階到鎖定特定產業或企業的「#針對式勒索」。我們看到仁寶、宏碁跟這次的廣達，以及國外包括蘋果、FedEX、俄羅斯電信、本田Honda等大企業的勒索軟體攻擊，都是屬於這種針對式的手法。

根據奧義智慧共同創辦人叢培侃及趨勢科技台灣區暨香港區總經理洪偉淦在網路上的公開說法，駭客組織為了確保受害者勢必得支付贖金，已經啟動了被稱為「#雙重勒贖」的新作案手法，即發動方式採用APT滲透攻擊，先行潛伏竊取資料，並在加密企業資料之前同步備份，完成後再啟動勒索軟體執行加密勒索，並且威脅不支付贖金就公開企業及其客戶的商業機密甚至個資，以確保受害企業必定花錢消災。

在交付贖金方面，容易使用、加密因此難以追查的 #虛擬貨幣 出現，解決了以往網路犯罪集團最傷腦筋的 #隱藏金流 問題，也間接帶動駭客開始透過勒索軟體加密企業資料的方式，遠端向受駭企業要求以加密貨幣支付贖金，成為犯罪者的保護傘。除了盛行的比特幣（Bitcoin）之外，駭客也常要求以匿名隱私幣的XMR支付贖金，因為XMR無法追蹤交易，因此成為暗網常用的交易媒介。

勒索軟體攻擊的氾濫，凸顯出我國企業資安的長期問題，包括業界長期反應缺乏專業資安人才的培養計畫以及政府資源錯置，如CTF 競賽偏向駭客攻防技術，和實際政府和企業的防禦性資安人才需求有落差，如今就連企業資安防守的課程要找到合格師資也相當困難。如何正確的佈署資安的縱深，並強化整體企業資訊防護安全，是政府相關單位的當務之急。

虹安呼籲，政府與社會應該要對資安攻擊背後的目的以及對於事業體、國家可能造成的嚴重傷害有充分認知，數個公司、數個相似產業的事業體遭受攻擊，除了損失贖金與客戶資料、衝擊股價甚至影響商譽而掉單，都可能導致我國科技產業的長遠危機！

政府既已號稱成立「#資安國家隊」，就應該盡快提出包括應對勒索軟體在內的 #資安解決方案，協助科技產業加強與整合資安防護資源，共同發展最適當的防禦因應措施，以保護我國科技產業與全民的資訊安全不受勒索威脅！

📒參考資料：
1.勒索軟體大轉型，防禦難度提升：黒產供應鏈經營成本高，鎖定有能力付贖金的知名企業
https://www.ithome.com.tw/news/143458
2.不給錢就公布　竊資型勒索橫行
https://www.netadmin.com.tw/netadmin/zh-tw/market/464E17819569476E94344EDEBDEECAD6
3.資安險如何回應 勒索軟體攻擊事件
https://www.aon.com/getmedia/3dd6d44a-a783-43e3-8c89-db5b7a2c97fd/2020-cyber-risk-case-study-CN.aspx
4.加密勒索程式的 特性與特徵
http://tprc.tanet.edu.tw/tpnet2020/training/10909.pdf
5.Largest ransomware demand now stands at $30 million as crooks get bolder
https://www.zdnet.com/article/largest-ransomware-demand-now-stands-at-30-million-as-crooks-get-bolder/
6.Highlights from the 2021 Unit 42 Ransomware Threat Report
https://unit42.paloaltonetworks.com/ransomware-threat-report-highlights/
7.Largest ransomware demand now stands at $30 million as crooks get bolder
https://www.zdnet.com/article/largest-ransomware-demand-now-stands-at-30-million-as-crooks-get-bolder/
8.駭客入侵台灣10大企業！研華慘遭勒索10億　仁寶認栽付千萬贖金
https://finance.ettoday.net/news/1872347
9.天啊，被勒索了怎麼辦？！10大資安鐵則讓你遠離勒索病毒
https://www.uso.com.tw/portal_b1_page.php?owner_num=b1_55912&button_num=b1&cnt_id=13205
10. 獨家／廣達遭駭1／遭REvil入侵資料庫　客戶設計圖全都露
https://www.ctwant.com/article/113305

微軟XP官網修補程式下載地址:
https://www.microsoft.com/zh-TW/download/details.aspx?id=55245

微軟亦發佈Windows XP Embedded 、XP 64bit、Windows Vista、Windows 8、Server 2003和Server 2008 WannaCry勒索病毒特別修補程式
下載地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

建議用Windows 10電腦下載修補程式到USB記憶棒內，再抄檔案到其他舊版本電腦內更新，最好在斷網絡的情況下安裝修補程式。

Wannacry Windows XP update patch KB4012598

本集主題：「為什麼他說謊，卻毫無罪惡感」新書介紹
　　
專訪編輯：丁慧瑋
　　
內容簡介：
所有的恐怖情人，都是從說謊開始。
他絲毫不會良心不安，對於說謊毫無羞恥心與罪惡感。
他的笑有致命吸引力，他的無辜卸去妳心防，
他說「只愛妳一個」，讓妳甘願付出愛情、青春，
甚至妳的錢，直到發現妳只是被利用的工具……
　　
「我這輩子再也不敢相信愛情了。」
那個說謊的人，妳怎能讓他輕易毀掉妳？！
【本書正是：他的剋星，妳的救星】
　　
「妳是貝蒂吧？我想有件事該讓妳知道：
過去這兩年來，我和妳先生交往密切。
他根本就不愛妳。妳何不放手讓他走？」
　　
或許妳也像許多女人一樣認為：「這種事不可能發生在我身上。」但就是發生了。
　　
劈腿，騙財，賭博、酗酒、毒癮，那些他極少提起的過去、推託不談的未來與不真實的現在，以及妳曾聽女性朋友們傷心又憤怒哭訴的種種……
　　
被愛人所騙，往往是女人一生的最痛。妳認真掏心，他卻報以一個再一個的謊言。「他說是為了愛！」是愛，為了愛自己，他一次又一次利用了妳。
　　
但我們往往選擇繼續相信，因為真相更令人崩潰。
　　
然而，心理專家蘇珊．佛沃告訴所有的女性同胞：
　　
　　「我要懇請妳深入剖析自己，勇敢面對真相，弄清楚到底發生了什麼事，或者在那一段戀情中很有可能會發生什麼事。無論多麼傷感情，真相永遠是妳最可靠的盟友。」
　　
　　透過生動、豐富的真實個案故事，提供力道十足的專業分析，蘇珊．佛沃犀利直言，教我們從洞察男人心開始，戳破常見的謊言及藉口，並看清害我們自己騙自己的思考陷阱。更重要的是，她以溫柔但堅實的步伐，陪妳療癒心傷，重生自信去愛。
　　
　　也許妳會再遇到企圖騙妳的男人，但妳不會再任他擺布，因為學會對人生和愛情敞開心房的妳已懂得，在真正的親密關係中，妳值得最真實的尊重。
　　
本書特色：
◎【男人誘騙女人的九種技倆】(1)死不承認 (2)攻擊是最好的防禦 (3)撒嬌賣乖 (4)作賊的喊捉賊 (5)編故事【初級班】 (6)編故事【高級班】 (7)「我不是個好東西！」 (8)「沒什麼大不了的。」 (9)「沒錯，我做了那件事，但其實是妳的錯！」
　　
◎【女人的六大自欺陷阱】(1)「他不會對我說謊。」 (2)「他可能會對其他女人說謊，但絕不會騙我。」 (3)「沒錯，他是說謊，但他愛我，這才重要。」 (4)「沒錯，他是說謊，但也是環境造成的。」 (5)「沒錯，他是說謊，但我能讓他變好。」 (6)「沒錯，他是說謊，但全是我的錯。」
　　
作者簡介：【美國版《情緒勒索》作者】蘇珊．佛沃（Susan Forward, PhD）
　　國際知名的諮商師、講師及作家，心理治療執業經驗超過四十年，在美國南加州的心理衛生及醫療機構擔任諮商師、講師及顧問。
　　
　　她率先提出了「情緒勒索」概念，著作《情緒勒索》熱銷全球二十年。並以《母愛創傷──走出無愛的陰影，給受傷女兒的人生修復書》，陪伴且成功地引導讀者修復受「無愛母親」所苦的心靈和生命，重獲愛的自信與自尊。
　　
　　另著有多部心理經典，《愛上Ｍ型男人》、《父母會傷人》均為《紐約時報》排行榜的暢銷書，以及《跳痛的愛》等書。
　　
　　除了臨床治療及寫作，她還透過大眾媒體分享珍貴的專業經驗，曾上過三百多個電視及廣播節目，並曾於美國廣播公司主持全國同步聯播的談話節目，長達六年。