「#不速鬼」是台語用來形容一個人好色、不三不四的意思。⁣
現在 #性愛勒索 想公開爆料讓你臉紅的事,害你從此被貼上不速鬼標籤⁣ 😷
⁣
⁣
🚩 案例一:「你瀏覽色情網站，已被側錄」國一男生被⁣性愛勒索,姊姊呼籲陌生人的 LINE 別亂加!
⁣
過去相關個案幾乎都來自國外,現在國內卻出現了 LINE 案例: ⁣
女網友在論壇發文說國一的弟弟收到陌生但卻是LINE朋友傳來的A片，沒有戒心地打開觀看:
⁣
「駭客駭入他平板，然後自動錄下他打手槍的畫面，對方傳影片來威脅要我們匯錢⋯我還接了他的電話錄了音，聽起來是大陸人的聲音，真的好可怕，陌生人的Line什麼的絕對不要加欸」⁣✍

⁣
🚩 案例二:駭客集團寄發電子勒索信,要求相當 700 美金比特幣當贖金
⁣
一個名為「ChaosCC」的駭客集團在一起電子郵件詐騙當中向受害者表示他們已經駭入受害者的電腦並錄下受害者在觀賞色情網站時的過程。在這起性愛勒索詐騙中，歹徒要求受害者支付價值 700 美元的比特幣 (Bitcoin)。⁣
⁣
⚠ #駭客怎麼知道你的聯絡方式 ?

駭客團體有可能利用了過去幾年間發生的一些帳號密碼外洩事件中，所取得的帳號密碼清單，建立起了這個勒索通訊錄，因此提醒大家務必定期更新帳密⁣
⁣
駭客還反諷:#下次逛色情網站時務必將裝置鏡頭貼起來 ⁣

⁣
📌 #不想被認定是不速鬼,五個建議⁣
⁣
性愛勒索詐騙集團經常利用受害者害怕事情曝光的心理來對受害者予取予求。為了避免落入性愛勒索的騙局當中，使用者可採取以下作法：⁣
⁣
✏1.切勿支付或回應歹徒。如果您收到性愛勒索郵件，您該做的是立即向主管機關檢舉。⁣

✏2.確定您分享或儲存個人資料的平台是安全的。⁣

✏3.定期更新您的登入憑證與帳號來降低帳號遭駭客入侵風險。
⁣
✏4.在點選電子郵件中的網址或下載附件檔案之前，務必先仔細檢查並確認。⁣

✏ 5.安裝防毒軟體⁣
⁣
✅ PC-cillin 一眼識破社交工程陷阱,避免開啟惡意附件檔案,不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位 》 https://t.rend.tw/?i=MTA4NTQ⁣⁣⁣⁣⁣⁣
⁣
#字典 #不正經 #不正常 #不正經資安字典⁣
#七月 #鬼月 #台語⁣
#防毒軟體 #PCcillin #趨勢科技 #趨勢防毒 #資安

趨勢科技接過一通客訴電話,📞 用戶非常生氣，原因並不是因為感染了病毒,而是我們的防毒軟體移除了一隻病毒 。⁣
⁣
原來這封信附件有當年「網球場上的最美風景」之稱的安娜庫妮可娃照片。🎾⁣
⁣
😞客戶不在意這個病毒會對他的電腦造成什麼危害,反而對於沒有滿足好奇心看到想看的照片而生氣。⁣
⁣
😥已經有防毒軟體把關了,還是擋不住強烈的好奇心,可真符合了這句話:⁣
#人,#才是最大的安全漏洞⁣
⁣
這就是 #社交工程 ( #SocialEngineering )陷阱活生生的案例！

近日有名正妹電玩實況主「視訊鏡頭被駭」,導致私密片外流。
以下這兩件事,你會做哪一項?
◻1.用關鍵字蒐尋找外流影片
◻ 2.先把鏡頭遮蓋住

選擇 ✅1.的人,請先緩緩,請先看看那些年的女星裸照外流事件發生了什麼事:😪

當年百位好萊塢 A 咖女星裸照外流事件,因為很多好奇的網友,搜尋這些明星裸照,而讓 #網路釣魚( #Phishing)有機可乘。

選擇✅ 2.的人想必很重視個人隱私,因為從好萊塢巨星到台灣電玩實況主;從女大生到餵母乳的媽媽,都有被偷窺案例,遮住鏡頭確實是最簡單有效的方法之一。

美國聯邦調查局長康梅在一場演講時表示，他會把筆電上的視訊鏡頭用不透明膠帶貼起來，以防電腦被駭客入侵、行蹤被偷窺。

其實你有更安心的選擇✅ 3.如果你不確定是否有瀏覽過惡意網站,在不知情的情況下被偷偷安裝木馬程式,建議你用防毒軟體掃描你的手機和電腦。

因為這些惡意程式能操作受害者的螢幕、攝影機、和麥克風以及檔案。

🔴PC-cillin 雲端版,搶先攔截詐騙網址,防止誤上惡意網站,被安裝遠端偷窺木馬程式
》即刻免費下載掃描 https://t.rend.tw/?i=MTA3NDQ

防止被偷拍請這麼做:

🔴1.當您不使用時，隨時蓋住鏡頭。
🔴2.電腦不用時請關電源(防偷窺又環保)
🔴3.勿開啟不明連結或檔案
🔴4.下載免費分享軟體應當心(這類偷窺惡意程式常常夾帶在網路分享軟體)
🔴5.使用可即時防禦網頁惡意連結、 ✓手機✓電腦✓平板 跨平台防護的 PC-cillin 雲端版。

》即刻免費下載試用 https://t.rend.tw/?i=MTA3NDQ

✅四招防網路釣魚⁣
⁣
📍1.假消息充斥,只相信可信任網站發布的內容⁣
-駭客/詐騙集團跟你一樣喜歡熱門新聞事件⁣
⁣
📍2.不搜尋或下載非法的外流私密照片或破解軟體⁣
-夾毒山寨網頁搶搜尋排名,當心勒索病毒「找」上門⁣
⁣
📍3.不要以為只有 A 咖會被偷拍,遮住鏡頭最簡單有效⁣
-從好萊塢巨星到台灣電玩實況主,甚至女大生都有被偷窺案例⁣
⁣
📍4.安裝有先進的網路釣魚防範技術的防毒軟體⁣
-PC-cillin 雲端版,防毒防詐再升級,防止瞬間爆衝誤點詐騙陷阱,並增加勒索病毒加密行為的防護機制！⁣
⁣
⁣
✅ PC-cillin 搶先攔截詐騙網址,防止誤上惡意網站,被安裝遠端偷窺木馬程式,即刻免費下載 https://t.rend.tw/?i=MTA3NDQ

📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講，主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生，同時也是幣托、OTCBTC的資安顧問。

2018年一月被發現的硬體漏洞meldown跟spectr，我們的硬體為了要讓執行速度更快，processor會預先執行某些指令，也因此駭客可以透過這種方式，間接檢測出我們記憶體的內容，把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update，但是在這之後硬體安全的問題逐漸浮出來面，也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全，也有硬體安全跟使用者資安觀念的問題。

淺談交易所與錢包

在從交易所提幣的時候，首先Server會先將這筆交易紀錄到交易所自己的資料庫內，之後再取得交易所金庫的private key去金庫取錢，再打到使用者的錢包內。在這個過程中，如果駭客可以竄改Server或資料庫的交易金額，原本要打給使用者1 BTC，變成10BTC，或是直接取得金庫的private key，對交易所都是一大噩夢

圖(一) 從交易所提幣的流程

攻擊手法

1. 交易所的網路架構

案例一: 交易所因為怕被偷交易資料與客戶資料，所以都把這些資訊先加密後再存到資料庫，但是這些資料仍然會被偷(交易所遭到電話詐騙)，往後將這些資料加了三層密，仍無法防範資料被偷的情形，原因出在圖(二)的交易所網路架構。

圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)

因為OA 與資料庫之間的網路沒有防火牆保護，所以駭客不用正面攻擊有防火牆的部分，而是攻擊OA的部分，再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦，都有可能造成交易所資料外流。

解決方式: 就是在OA與資料庫間架個防火牆，如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫，QA則只能連到測試環境，HR、CEO不需要、也不能連線到資料庫，依職責對連線範圍做縮限，則駭客可以攻擊的目標變少，我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」

圖(三) 好的交易所的網路架構

2. DNS Attack

透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁，來騙取使用者個資。雖然在導向駭客頁面時，很容易發現駭客的網頁沒有使用安全憑證，或是安全憑證不是SSL核發，但使用者仍可能因資安觀念低落，而堅持連線到不安全的網站。

3. Online Paper Wallet

很多人因為覺得私鑰放電腦覺得不安全，又沒錢買硬體錢包，所以透過線上私鑰轉換器將私鑰轉換成QR code，然而再轉換時勢必要輸入自己的私鑰，容易使私鑰遭竊。

圖(四) 私鑰轉換詐騙網頁

4. 使用者對私鑰保護的意識很低

例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性，而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。

5. 硬體錢包的漏洞

TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器，但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼，就可以通過硬體的側通道分析，輕易提取出未加密的私鑰，而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了，仍有被攻擊的疑慮，最好的解決辦法就是硬體錢包外再設定一個long Password，這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊

圖(五) 硬體錢包漏洞

題外話 — Iphone Jailbreak問題

今年在twitter，有人公布了最新攻擊iphone的方式，而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom，而bootrom的程式碼則是位於記憶體唯獨區域，所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機，而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制，不僅要取得欲攻擊的手機，而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題，以後的iOS作業系統都更容易遭到入侵，因為我們可以在舊的手機上裝新的iOS系統，然後透過bootrom的漏洞來了解新的iOS系統的運作方式，因此這個問題應該被更加重視。

圖(六) axi0mX針對此bug的文章

保護方式

透過secure sharing將私鑰拆成User、Company、Vendor，分散私鑰存放風險

圖(七) 拆散私鑰，分散存放的風險

保護思維

未來除了在演算法的鑽研，也應該多多關注整個 區塊鏈產業的資安問題，從身分認證、系統安全、IT架構，都應該要從安全的角度來設計。

圖(八) 講者參考的設計架構

以上方的圖片為例，很多軟體架構在設計時都忽略了作業系統這一塊，而講者分享了他在設計時針對Server或資料庫的 OS做的處理，如下圖

圖(九) OS層級的安全防護

我們的app、網站、服務都跑在Sandbox層上，Sandbox可以限制由內到外的網路封包收送，同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令，而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence，並且通知使用者。 我覺得這樣的好處是，使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊，也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence，工程師也可以更快找到安全漏洞。

結語

近年來因網路的應用，資安越來越重要，除了軟體方面外，硬體方面也要兼顧安全，而使用者的觀念宣導更重要，否則不管我們的系統做的再怎麼嚴密，只要使用者意外連到駭客網站或是洩漏自己的私鑰，一切都是白談。演講中有一句話我覺得很值得借鏡，就是「我們一定要假設我們的系統會被駭客破解，而我們要做的就是盡可能減少被入侵後的損失」，上面提到的Host-IDS就是這樣的觀念，我們無法防止駭客進到Sandbox，但是可以記錄駭客的進到Sandbox後所有行為，這樣的架構才能在第一時間修正系統漏洞。

參考資料

Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2

Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/

spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk

Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌