驗證器
」 加密貨幣
外傳有1.83億信箱名單外洩 Google滅火:沒「新一波Gmail攻擊」
澳洲資安研究員杭特(Troy Hunt)近期表示,一個由惡意程式彙整而成的「竊取記錄檔」(stealer logs)資料集在黑市流通,規模約3.5太位元組(terabytes),當中涵蓋約1.83億組獨特電子郵件地址與對應曾輸入過的網站及密碼。杭特提醒,所有主流電郵服務供應商的地址都在名單裡,過往此類外洩案裡Gmail往往占有相當比例,呼籲使用者主動檢查帳號是否遭殃。根據《unilad》報導,杭特受訪時表示,這並非單一網站被攻破的集中外洩,而是長期感染使用者電腦的惡意程式,在背景中攫取瀏覽器儲存的憑證、表單輸入與自動填入資料,持續生成多份記錄檔並在不同論壇與私密通道反覆流傳。他在部落格形容,這類資料來源更像一條「不斷噴出個資的水龍頭」,一旦資料外流,往往會透過無數管道再散播。杭特提到,受影響族群可能涵蓋使用Outlook、Yahoo等服務者,但他特別提及Gmail用量龐大,風險不容小覷。就已知資訊而論,這批資料集的特徵在於「廣且久」。從數量上看,約1.83億個獨立電郵地址本身已具規模;從型態上看,除帳號欄位外,同步出現的「曾填寫過的網站」與「對應密碼」更讓撞庫攻擊的成功率大幅提升。資安社群關注的焦點,落在這些記錄並非一次性洩漏,而是多年累積、跨平台彙整的結果。當攻擊者取得新的竊取記錄檔,便能與舊資料交叉比對,快速拼湊出更完整的身分圖譜。消息曝光後,Google在受訪時回應,表示並不存在「新的、特定於Gmail的攻擊」。指稱近日媒體所談的是早已被業界掌握的資訊竊取活動,目標分散於多種網路行為範疇,Google以多層防護偵測到憑證異常時,會主動觸發密碼重設;同時鼓勵用戶開啟兩步驟驗證(2-step verification),並採用通行金鑰(passkeys)作為更安全的身份驗證方式。LADbible集團已向Google要求進一步說明。在面對這波資料外洩時,杭特給出具體作法:前往他經營的查核平台Have I Been Pwned,於搜尋欄鍵入自己的電子郵件地址,系統會比對近十年公開可查的外洩名冊,回報該地址是否曾出現在已知事件中。若檢索結果顯示「命中」,建議立刻更換對應電郵的密碼,並逐一檢視以該郵件地址註冊的其他服務,只要與舊密碼相同或相近,就一併更換;其次,啟用雙重或多重驗證,將簡訊OTP或驗證器App乃至通行金鑰納入登入流程,降低單一密碼失守的風險。需要留意的是,這批資料並非全都「最新鮮」。資料集裡往往混雜舊年外洩樣本與近期竊取記錄,造成使用者誤以為「剛剛被駭」。正因來源時間軸拉得很長,檢查結果即便來自多年前事件,依然值得現在就更改密碼,避免被攻擊者以舊資料嘗試登入現行帳號。對企業與高風險族群來說,導入密碼管理器、強制長度與複雜度、全站啟用MFA,以及監看異常登入行為,都是當下能立即落地的緩解手段。
花8000元買郵輪網路!人妻一連線秒被駭客入侵「24萬全被盜」 專家說話了
網際網路十分普及方便,不過也存在許多風險,一不小心就可能被盜用。一名女子和家人到日本旅遊,因為要處理公事,便購買郵輪提供的付費Wi-Fi,沒想到連上網路後馬上遭到駭客入侵,帳戶中的24萬加密貨幣瞬間歸零,讓她崩潰不已。原PO在《Threads》提到,上個月她和老公及家人搭郵輪到日本鹿兒島旅遊,為了方便處理公事,花了8000元購買郵輪上的網路方案,連線後一切看似正常,但老公登入Gmail信箱時,收到一封來自交易所的驗證碼郵件,當下察覺不對勁,馬上用手機登入交易所APP,赫然發現帳戶內的8000USDT加密貨幣(約24萬元新台幣)全沒了。隨後,他們查看Google安全性,發現駭客新增一項進階的登入方式,可以繞過密碼驗證隨時登入帳號。不過,危機依然持續,原PO即使沒有登入遠端軟體,但她已經用筆電連上郵輪的網路,手機突然收到支付寶的驗證碼通知,甚至同行的家人隔天也收到銀行的APP通知,幸虧這些平台都需要手機驗證碼,才沒有讓駭客得逞。經過這次經驗,原PO呼籲一定要關掉GoogleAuthenticator 驗證器的「雲端同步功能」,而她也希望MSC能加強公用網路資安環境,因為當下連上網時,手機設定顯示「不安全的網路」,但他們也只能用。對此,資安專家劉彥伯告訴《TVBS新聞網》,遠端連線軟體可能是主要破口之一,建議沒使用時一定要關閉,因為駭客可能透過加密貨幣和釣魚手法,竊取雙重認證密碼。此外,連接Wi-Fi都要特別注意,可以利用Google驗證器或微軟類似工具,關閉同步功能以降低風險,密碼方面也應該提高強度,並開啟雙重認證功能。
要求徹底執行「這命令」維護資安 中國微軟送iPhone逼員工捨棄Android
為了加強公司內資訊安全,微軟要求全球員工都必須使用Microsoft Authenticator驗證器與微軟身份識別兩款App來進行身分識別,以此來加強公司內部的資訊安全管理。但由於這兩款軟體僅能在Google Play與App Store上下載,所以目前中國微軟的員工等於被迫捨棄Android系統的智慧型手機,只能使用iPhone。根據《pcmag》報導指出,由於微軟在2024年初之際遭到俄羅斯駭客的攻擊,微軟企業郵件系統遭到入侵,後續也發生第三方網路安全公司從外部訪問到微軟Azure伺服器上的內部資料,這些事情讓微軟拉起資安警報。而為了強化資訊安全,微軟其中一個方向就是要從員工做起,他們要求全球的員工都必須要使用Microsoft Authenticator驗證器與微軟身份識別兩款App來保護自己的帳號安全。這項規定其實放在全球可以說是立意良善,但是在中國微軟來講,這並不能算是個好政策。根據《彭博社》報導指出,目前微軟這項政策也發布到中國微軟分公司去,但由於Microsoft Authenticator驗證器與微軟身份識別兩款App僅能從Google Play或是App Store上下載,而中國當地因為其市場特殊性,只有iOS的App Store,並沒有Android的Google Play,而中國當地的APP渠道也沒有Microsoft Authenticator驗證器與微軟身份識別兩款App,所以這項政策形同逼迫中國微軟的員工捨棄Android手機,改用iPhone。報導中提到,微軟官方強調這是必要的改變,而受到影響的中國微軟員工,據了解也可以獲得公司提供的iPhone 15,但相對的,諸如像是小米、華為、紅米、Oppo等品牌的Android智慧型手機將不能用來與公司設備連線進行驗證。
只花12秒「盜走8億加密貨幣」 麻省理工兄弟遭控電匯欺詐、洗錢罪
曾就讀於麻省理工學院(MIT)的兩兄弟安東(Anton Peraire-Bueno)和詹姆士(James Peraire-Bueno),日前遭爆在12秒內竊取了價值2500萬美元(約新台幣8億元)的加密貨幣,因此被指控電匯欺詐和洗錢罪。對此,檢察官指出,他們在2023年4月就實施了這起「行動」,若罪名成立,兩人將會面臨至少20年的徒刑。根據《BBC》的報導,24歲的安東和28歲的詹姆斯曾就讀麻省理工學院,主修電腦科學系和數學系。美國司法部副總檢察長莫納科(Lisa Monaco)表示,這對兄弟經過數個月的策劃,在幾秒鐘內以複雜、尖端的技術,竊取了2500萬美元的以太坊加密貨幣。莫納科進一步提到,美國國稅局(IRS)的幹員在破獲「首例電匯詐欺和洗錢計畫」時發揮了關鍵作用。美國檢察官威廉斯(Damian Williams)在15日一份聲明中表示,這起竊案讓「區塊鏈的完整性受到質疑」,指的是記錄加密貨幣支付的分散式帳本。相關起訴書顯示,兄弟倆自行設置了驗證器來獲取待處理的私人交易,並以更改交易的方式取得受害者的加密貨幣,最後更試圖用洗錢的方式藏匿款項。報導指出,當以太坊官方代表聯繫上時,兄弟倆拒絕歸還資金。檢察官也直言,這是首次對這種「新型態」的犯罪手法提出刑事指控,如果罪名成立,他們每人將面臨20多年的有期徒刑。
以太坊「上海升級」12日導入 市場憂110萬顆質押解鎖引拋售潮
以太坊區塊鏈將正式導入上海升級(Shapella),預計將於本周三(12日)UTC 22:27:35實施。最重要的一項功能,就是正式開放用戶可以提取質押的加密以太幣(ETH)。投資人都在密切關注是否會造成ETH價格下挫,有些交易員猜測,一旦質押的ETH解鎖,就會有拋售壓力,而其他人則認為上海升級將鼓勵更多的質押。根據以太坊基金會協議支持團隊的部落格文章,客戶團隊同意在Goerli測試網進行平穩過渡之後,激活主網上的Shapella升級,(Shapella是由名稱「上海」和Capella組合而成,分別指執行層客戶端和共識層客戶端的硬分叉)。在上海升級後,對於獨立運行驗證器的驗證者,可以選擇部分提款和全部提款。升級完成之後,部分提款指提取每個質押32 ETH的驗證器所產生的利潤,這部分可立即撤回,驗證器將繼續在信標鏈中添加區塊。2022年9月,以太坊正式啓動合併機制,改成質押以太幣成為驗證者,擔負區塊鏈運作的任務,藉此獲得獎勵,也就是ETH 2.0。然而從2020年開始接受質押至今,ETH 2.0一直缺乏提領以太幣的功能。從去年底至今,以太幣已經上漲了 50%,有不少質押者的以太幣已有帳面利潤,推估至少會有100萬顆的以太幣,在上海升級的前期就投入市場出售。以太幣質押管理公司Attestantio技術長Jim McDonald認為,此舉可能造成以太幣的價格最嚴重將下跌50~70%,這些新誕生的以太幣獎勵會惡化拋售的幅度,讓幣價巨幅下跌。但同時,他也預估幣值將會快速反彈,因為趁勢買入以太幣,對許多機構來說是更加明智的選擇。Jim McDonald認為,上海升級後的第一個星期,約有110萬顆以太幣會進入市場出售,相當於20億美元的市值。因此上海升級是絕對必要的一步,在此之前,數以百萬的人們相信以太坊會成功升級,如果以太坊再次推遲提現機制,會讓用戶跟投資人喪失信心,一旦兌現機制實現,就證明了質押以太幣並非騙局,而是實際可行的金流管道,那麼以太幣的價值自然就會快速回升。值得注意的是,根據目前的獎勵機制來看,成為驗證者的年化報酬率大約是4.6%,且隨著以太幣大量進入交易市場,也會有大量以太幣同時被燒毀。一來一往之間,以太幣的價格長期仍然看漲,若質押者不出場,本錢雄厚的大戶,反而可能會在這一波提現潮中大量買進。
推特新收費制度上路 「藍勾勾」3/20起獨享簡訊雙重驗證防駭客
由於近來有駭客濫用推特(Twitter)的簡訊雙因素驗證(2 Factor Authentication,2FA),Twitter上周六(18日)表示,將針對其普遍使用的文字訊息雙重因素認證作出大的改變。之後只開放付費訂閱Twitter Blue用戶使用2FA方式來保護他們的帳戶,而非付費訂閱用戶將不再具有此項驗證功能。Twitter官方發推文宣布,已註冊的非付費訂閱Twitter Blue用戶將有30天的時間更改為其他方法。在下個月(即3月20日之後)僅「藍勾勾」Twitter Blue訂閱戶才能享用取得經「簡訊雙因素驗證」的高強度性隨機安全密碼。而未付費訂閱但仍啟用簡訊雙因素驗證的帳戶將被禁用。也就是說,若本身沒有加入Twitter Blue訂閱用戶並升級為取得「藍勾勾」標章的話,未來僅能透過第三方安全密鑰驗證器;而Twitter Blue訂閱用戶,則將享有獲得帳號安全的簡訊驗證碼專屬功能。據外媒報導指出,Twitter之所以針對簡訊雙因素驗證系統採取收費新政策,主要是電話簡訊的雙重認證方式正在被不肖業者濫用,使用機器人發送認證簡訊,造成垃圾簡訊與詐騙行為;老闆兼執行長Elon Musk也表示,因為電訊公司使用機器人來發送認證簡訊,並且推特每年因為詐騙簡訊損失6000萬美元(約新台幣18.2億)。附帶補充的是,Musk於去年入主接管推特社群平台後,大力推行Twitter Blue訂閱付費服務。Twitter這項新政策目背後也在試圖吸引更多用戶付費訂閱,此服務每月Android用戶要價8美元(約新台幣243元),iOS用戶則要價11美元(約新台幣334元);而原先免費給已驗證帳號的藍色勾號,也對任何準備付費的用戶採取開放。Twitter認為,取消此項選項將有助於減少對其平台由垃圾郵件發送者和詐騙者造成的影響。然而,停用簡訊雙因素驗證的用戶將不會取消將手機號碼和帳戶的連結,用戶可以在帳戶設定中更新電話號碼。官方一方面希望減少垃圾郵件發送者和詐騙對平台的影響,不過有些人對付費取得額外安全性的想法感到不滿,而另一些人則覺得這是確保他們帳戶安全的必要步驟。