【资安日报】2021年11月29日

从上周末到今天的国内重大资安新闻中，都与金融业有关：首先是元大证券、统一证券25日传出客户的账号被他人下单香港股票，这些券商紧急改采人工的方式因应，并暂停网络交易；隔日，凯基期货也出现网页交易平台遭骇的情况。这2起事故先后得到证交所和期交所的证实。

另一个国内的资安新闻，则是十多人的中国信托薪转户，惊传借帐金融卡（Debit卡）遭到盗刷的事故。但为何这些人的金融卡会被盗刷？目前还有待进一步调查。

而在国际新闻的部分，宜家家居（IKEA）遭到的钓鱼邮件攻击相当值得留意，因为，这种方式与日前美国联邦调查局遭骇而发出大量恐吓邮件的手法类似，都是先入侵邮件系统，再以内部人员或合作伙伴的名义寄信，而很难透过邮件防护系统识破。

【攻击与威胁】

证交所证实元大证券、统一证券出现异常港股委托情事

元大证券、统一证券于11月25日下午，传出有部分客户的账号遭不明人士冒用，进行复委托下单并成交深蓝科技控股的香港股票，上述2家券商紧急暂停复委托电子交易，改以人工下单因应。此事台湾证券交易所于26日发出新闻稿证实，并指出是这2家券商的复委托下单系统遭到骇客入侵所致，并表示近期券商遭到撞库攻击的资安事件频传，他们已请券商重新检视身份验证的防护力是否足够，并确认最近2星期更新的密码是否为客户本人所为。

针对本次事件，元大证券与统一证券也发出公告进一步说明。元大证券于26日20时29分在股市公开观测站发布重大讯息，表明他们确认异常港股委托非客户本人交易后，暂停“行动精灵”App的电子交易，并强调另一款由该公司开发的“投资先生”App不受影响。统一证券亦于同日发出公告，表示在清查后，总共有7名客户受害。

此起事故也传出疑似是三竹资讯开发的下单系统不安全所引起，对此，三竹资讯也在26日在股市公开观测站发布重大讯息，声称此次攻击是撞库攻击，而非该公司提供的系统遭到入侵。

凯基期货电子交易系统惊传遭骇

继元大证券、统一证券传出复委托下单系统遭骇，部分客户账户遭不明人士下单港股并成交，也有期货公司传出遭到骇客攻击。凯基期货也于11月26日17时37分向台湾期货交易所通报，他们的网页交易平台疑似遭到骇客攻击，该公司随即封锁攻击来源，并表示近期的账号、密码申请将采人工加强验证等措施因应。

中国信托薪转户惊传遭集体盗刷

根据苹果日报、中央社等媒体报导，台中有一家公司使用中国信托银行做为薪资转账的账户，近期传出员工的借帐金融卡（Debit卡）陆续遭到盗刷的情况，至少有十多人受害，由于仅有透过公司向中国信托开户的员工卡片遭到盗刷，怀疑是当时申办的个资外泄。

对此，中国信托表示，此案很可能是不法人士随机测试客户的卡号、有效日期等资料，于网站冒用进行交易，该公司主动察觉异常并联系客户。而这些遭盗刷的款项，中国信托强调将依争议账款进行处理，持卡人无需负担，他们也协助客户更换新卡。

IKEA电子邮件系统传出持续遭到网络攻击

根据资安新闻网站Bleeping Computer的报导，宜家家居（IKEA）向内部员工提出警告，攻击者正以员工或是其他合作厂商的名义，发动钓鱼邮件攻击。在这封信件提及，此起事件攻击者锁定母集团Inter IKEA的邮件服务器下手，其他IKEA组织、供应商，以及合作伙伴，也有可能遭骇，并寄信给Inter IKEA的员工。IKEA警告员工，这些邮件往往是从工作上有交集的人士寄出，因此邮件安全系统也很难察觉异状，员工要特别留意。

太古海洋开发公司遭到勒索软件Cl0p攻击

根据资安新闻网站HackRead的报导，太古海洋开发公司（Swire Pacific Offshore，SPO）传出遭到Cl0p勒索软件攻击，并得到证实。SPO表示可能会曝露员工的个资，以及部分商业机密，该公司宣称事发当下已采取紧急行动，且此次攻击并末影响其全球业务。HackRead取得Cl0p提供的屏幕截图指出，影响最大的是SPO马来西亚及新加坡员工，但也有英国、菲律宾，以及中国员工的资料外流。

研究人员揭露新的HTTP请求走私攻击手法

美国东北大学与资安业者Akamai研究人员联手，公布一种新型的HTTP请求走私（HTTP Request Smuggling）手法，借由二次请求的方式，来产生模糊后的请求，并向前端与后端服务器发出请求并找出回应的差异，进而发动HTTP请求走私攻击，这些研究人员亦公布他们发动二次请求的工具，并命名为T-Reqs。

恶意软件TrickBot侦测受害电脑的屏幕分辨率，来规避资安人员利用沙箱触发攻击行为

研究人员很可能透过虚拟机器来建置沙箱，以用来触发恶意软件的攻击行为，而这些虚拟机器很可能使用不少预设组态，而有可能被攻击者识破。Cryptolaemus资安研究团队最近发现，恶意软件TrickBot自去年开始，透过一项环境的组态来判断是否处于虚拟机器：屏幕的分辨率若是800x600或1024x768，TrickBot将不会下载恶意的ZIP档案，而是存取美国广播公司的网站。

 

【资安防御措施】

为落实个人资料保护，内政部订修9个资安维护办法，以强化民间个资保护责任

尽管个资法已经上路，但如何落实仍是-持续推动强化的部分，尤其是非公务机关，近日内政部发布公告表示，将针对指定的9大类型的非公务机关，包括：政党及全国性民政财团法人、宗教团体、祭祀团体、殡葬服务业、地政类、合作及人民团体类、警政类、营建类与移民业务机构，个别制定9项办法，将透过提供文件范本制作，以及讲习与个案辅导，让上述这些团体与行业，对于所搜集的个人资料能有适当内部控制措施，并建立个资外泄通报机制。

 

【资安产业动态】

推动校园资安教育，资安业者奥义智慧启动内含CDM框架的桌游合作计划

帮助国内资安教育，国内资安产业也开始发力，台湾资安业者奥义智慧在11月26日于HITCON 2021活动期间，宣布启动“【奥义×社群】奥义桌游合作计划”，希望将企业防御观念推广至校园，将免费提供教育训练活动，包含助教培训、资安课程与桌游实体的内容，该公司是在今年5月设计了《Cybercans：资安人生物语》资安攻防的桌游，将近年受瞩目的Cyber Defense Matrix（CDM）框架融入游戏，让玩家从5种资产类别与5个阶段来认识防御概念，了解各类资安解决方案所对应的适用范畴，以及常见攻防技术与资安事件因应等。

 

【国家资安技术管制】

美国禁止量子电脑技术输出中国机构

美国以国安为由，公布禁止取得美国科技的实体清单（Entity List），防堵多家业者，包括中国8家机构及厂商不得取得美国量子电脑相关技术，理由是要防堵美国新兴科技被用于中国发展支援军式应用，像是反隐形及反潜技术、破解加密或是发展不可破解的加密。这8家中国业者包括杭州中科微电子、湖南国科微电子、杭州华三通信、西安航天华迅、苏州云芯、合肥微尺度物质科学国家研究中心、国盾量子、上海国盾量子等。

以色列限制网络攻击工具出口，从102国减至37国

以色列新闻网站Calcalist于11月25日指出，他们取得一份-于11月分公布可出售网络攻击工具的国家名单，这份列表总共列出了37个国家，大部分位于西欧、澳洲、美国，以及加拿大等。相较于先前许可的102国，大约踢出了近三分之二的国家，当中包括摩洛哥、墨西哥、沙特阿拉伯，以及阿拉伯联合酋长国等。由于当地资安产业市场规模达100亿美元，其中网络攻击工具的出口即占10%，为何以色列-要大幅限缩出口范围？很有可能与日前美国公布的外国网络攻击公司实体清单里，包含了该国的NSO Group和Candiru有关。

 

【近期资安日报】

2021年11月26日

2021年11月25日

2021年11月24日