[資安小常識] IE10 如何保護您的電腦免於惡意網站危害

作者:Vavrin Chen     NSS 實驗室不久前發表了一份關於瀏覽器攔截惡意程式的 評估報告 (英文) 。在這個報告中可以看出最安全的瀏覽器是 Internet Explorer 10 。 IE10 可以攔截 99.1% 的已知惡意程式。日常生活中在網路上進行的社交活動、購物、工作等皆有可能會將您的個人資訊透露給其他人。Microsoft 資訊安全情報報告第 13 卷 (英文) 中指出,2012 年上半年,通過 HTML 或 JavaScript 傳遞惡意程式碼的電腦數目仍然居高不下,主要是受到“黑洞 (Blacole)”持續肆虐影響。“黑洞”是 2012 年上半年統計最多的入侵程式,該攻擊與過去其他 Web 攻擊手法雷同,先鎖定有 HTML 或 JavaSript 漏洞的網站,製造惡意 iframe ,讓使用者在不知情下被轉到惡意網站,並被植入惡意程式。   支援 Html5 沙箱 沙箱是基於安全考量的一種隔離機制,定義一塊封閉區域,執行未受信任或是有安全疑慮的程式,這些限制能夠防止不受信任的內容執行惡意動作,藉此增強安全性。這會讓網站停止執行 JavaScript。在大多數情況下,這是比較安全的設定,IE10 新增了此安全功能,不但支援加強的記憶體保護與 HTML5 沙箱屬性,也支援加強的受保護模式 (Enhanced Protected Mode , EPM)。如需 HTML5 沙箱使用方法的實機操作示範,請參閱 IE…


[資安小常識] 設好身分認證關卡,保護您的行動上網安全

作者:Vavrin Chen   圖片出處:http://www.pageonce.com/blog/2010/11/12/beef-up-your-passwords/   處於網路時代,使用者時常利用網路來交換資訊,譬如登錄網站、論壇、電子信箱、行動銀行等等,這些登錄動作常需要帳戶及密碼的身份認證,前一陣子專門提供密碼管理軟體的 SplashData 公司 公布 (英文) 2012 年最爛密碼 – 『 password 』,由於身份鑑別已經成為建立安全行動網路環境的關鍵,本期的資安小常識將告訴您如何設置相對安全的帳戶密碼。   網站的登入系統分為單因素認證與雙因素認證,以下將提供您對不同登入系統設置密碼的小技巧:   大部分的入口網站採用單因素認證,譬如電子郵件、線上遊戲登入機制都是屬於這個範疇,當使用者需要取得資源或登入系統時,網站會提示用戶輸入帳號和密碼。系統採用加密方式,將帳號和密碼傳送到伺服器端進行比對。而『帳號』用於辨識身分,『密碼』就是所謂的單因素認證。要保障單因素認證的密碼安全,您可以使用: 1.強式密碼:請參考 [資安小常識] 三大準則確保網路密碼的安全。 2.將句子拆解設為密碼: 例如 『 I am one of the group. 』 可變成 『I_a_1_o_t_g』(密碼中可以使用底線和空格)。   雙因素認證是結合使用者所知道的內容 (例如密碼和身份證號碼等)、所擁有的物品 (例如動態密碼卡, IC 卡,磁卡) 這兩種因素來做為識別。當使用者通過此兩種因素認證時,就能登入應用程式或網站。日常生活中最常見的雙因素認證即是 ATM 提款機:使用者必須利用提款卡 (所擁有的物品),再輸入個人識別號碼 (所知道的內容),才能存取帳戶款項。 PKI 和 OTP 為雙因素認證最常見的兩種應用,此兩種機制的比較如下表:   名稱 PKI (Public-key Infrastructure)…


[資安小常識] 使用手機行動銀行多注意,讓您用得更放心

作者:Vavrin Chen     隨著智慧型裝置普及率繼續上升,今後行動裝置上的惡意程式很有可能會加速 發展,目前在行動裝置的攻擊在  Android 、 iOS 系統都有案例,也有的駭客試圖在  App  商店上傳惡意程式,甚至是假  App  程式,詐騙使用者下載後感染外,使用手機不小心瀏覽到惡意的網站也會被感染,也有不少使用者會使用手機為他們的旅途支付賬單、檢查銀行賬戶的餘額,立即掌握資金流動並留下紀錄,方便進行後續記帳追蹤等等…。   本期資安小常識列出幾個簡單的步驟及您可以採取的預防措施,確保您的銀行訊息不外洩,用得更放心:   1.始終將您的手機帶在身邊,並在不使用時,保持手機鎖定狀態。      ( Windows Phone  設定方式請參考: 操作說明 – 鎖定螢幕常見問題集) 2.當您遺失手機時,請聯絡您的銀行,以更改您的帳戶密碼或停止您的銀行      手機應用程式。     ( Windows Phone  遺失請參考:用 Find my phone 功能找回遺失的手機) 3.仔細選擇你的銀行密碼和個人驗證問題,並且不透漏給第二人,甚至家人或      朋友。 4.不要將您的銀行密碼或私密訊息儲存在您的手機中,如果您的手機被盜,這      些資訊都可能被有心人士利用。 5.不要透過電子郵件或簡訊傳送您的銀行憑證,可能會被竊取。 6.經常檢查您的銀行帳目報表,並在發現任何問題時及時回報。 7.在您的手機上安裝防毒軟體,並遠離不明網站。 8.聰明地選擇您手機上的應用程式。依據您手機的型號從官方網站上下載合      適的應用程式,因為不法之徒可能利用這些惡意的應用程式,透過 E-mail       發送連結,且在未經授權的情況下存取您的資料。 9.不要點擊任何在電子郵件中的連結,特別是那些自稱是金融機構的連結。      直接到您的銀行網站,確保您的理財是安全的。    微軟最新的行動作業系統  Windows Phone 8  (WP8)  與即將問世的  Windows 8  採用相同的核心技術。因此能擁有共同的網路、安全系統、媒體與網頁瀏覽技術 。這讓…


[資安小常識] Outlook.com 讓您使用電子郵件更安全

作者:Vavrin Chen   微軟近期推出一全新線上整合服務平台Outlook.com,其涵蓋了『郵件』、『社群』、『行事曆』、『SkyDrive』等四大項服務,讓您使用起來更方便、更直覺,不過更重要的是它帶給我們更多的安全性。 Outlook.com多樣化的隱私設定是其中的ㄧ大特點,在設定選項中提供了 自訂隱私權限、修改個人帳戶資料、阻擋垃圾郵件 (英文) 、訊息歷程紀錄、篩選工具等功能讓使用者可自行定義個人隱私及防護的線上郵件服務。   圖一、 Outlook.com 讓您保有隱私,您可以控制資料和個人交談不被用於廣告用途,不受到垃圾郵件的打擾。   Outlook.com在隱私方面提供了建立 電子郵件別名 (英文) 的服務,讓您可針對不同用途來使用多個郵件地址,此服務的推出使您的郵件安全更有保障。   圖二、 如果您要把您的電子郵件位址共用給不太值得信任的網站,可以使用Outlook.com創建您臨時的電子郵件位址,這樣就不會顯示您經常使用的郵件位址。   結合社群 (英文) (像是Facebook, Twitter, LinkedIn, Google,未來還會加入Skype) 的 Outlook.com 也十分替使用者著想,簡單的介面讓您輕鬆設定想與朋友分享的訊息,使用者透過Outlook.com就能安心存取社交媒體的內容和更新通知。   < 圖三、Outlook.com 可以根據『誰可以用你提供的電子郵件地址搜尋到你』的 Facebook 設定,將您的 Facebook 帳戶與您針對該帳戶所提供的電子郵件地址產生關聯。   另外 Outlook.com 裡的『訊息歷程紀錄』,也是線上郵件服務中讓許多使用者期待的功能。該功能預設是關閉的,用戶可至右上的設定中開啟。將訊息資料放到雲端,您不必擔心硬碟故障、資料夾空間不足或遺失筆電等問題而損失重要的信件資料、為您的資料提供保護。相較於其他國際雲端供應商,微軟投入許多資源確保客戶的資訊安全與隱私權,同時也已通過多項國際資安與隱私權保護的認證與標準。     圖四、設定 Outlook.com 中的訊息歷程紀錄。 垃圾郵件寄件者有時會使用自動化程式來建立 Microsoft Outlook 或其他電子郵件帳戶,然後將垃圾郵件寄給其他人。 Outlook.com 具備業界最佳的防堵、 反垃圾郵件及密碼防護 功能,讓您只看到真正重要且需要的郵件。…


[資安小常識] Microsoft Security Essentials 幫您檢查 Facebook 帳戶安全

作者:Vavrin Chen   大部分使用者都希望自己在網路上的隱私資訊能被完善的保護,本期資安小常識將教您如何確保個人 Facebook 帳戶的安全。以前,如果使用者懷疑電腦上有惡意軟體時,您可能會透過防毒軟體來掃描電腦的安全; 現在, Facebook 提供的惡意軟體檢查站 (英文),讓您多了一個選擇。 它的工作原理是這樣的:如果您覺得您的 Facebook 帳戶已被盜用 – 可能是由於電腦上的惡意軟體感染,您可以到惡意軟體檢查站,為您的電腦進行免費的掃描。 當然,您也可以執行自己的掃毒軟體和使用任何其他的解決方案,可是 Facebook 的惡意軟體檢查站使得這項工作更容易。   圖一、確認是否進行帳號保安程序的畫面。   首先連接會指向 Facebook 的資訊安全的頁面,您需要輸入目前的 Facebook 帳號的密碼,然後您會看到如圖一的畫面。在這個步驟中,您可以取消該操作回到您的 Facebook 首頁,或點選『繼續』進行檢查工作。   圖二、帳號被鎖定的畫面。   您的帳戶將被暫時鎖定,如圖二。 ( 若您在鎖定帳戶後的短時間內有瀏覽 Facebook 的需求,您可以使用其它瀏覽器登錄該帳戶。 )   圖三、Microsoft Security Essentials下載的畫面。   點選『繼續』後,將提供 Microsoft Security Essentials (MSE) 下載 ,點擊『下載並開始掃描』。     圖四、Microsoft Security Essentials更新和掃毒的畫面。 Microsoft…


[資安小常識] 玩線上遊戲也要小心釣魚攻擊

作者:Leo Yeh、Vavrin Chen   最近暑假到了,小朋友們開始玩線上遊戲,想必您不會想辛辛苦苦賺來的遊戲幣和取得的裝備被竊取,所以本期的資安小常識將教您如何識別釣魚網站進行有效的預防。 ( 註:原文請參考 釣魚不只針對銀行 (英文) 之文章 ) 當人們想到釣魚 (這是欺騙使用者分享他們機敏資訊給第三方的攻擊手法) ,經常會想到釣魚是與銀行相關或與電子郵件相關,請參考 [資安小常識] 四大重點, 教您如何辨識可疑的釣魚郵件內容。 根據微軟最新第十二期資訊安全情報報告 (英文) 中在探討釣魚網站的統計圖表中可以得知釣魚網站基本上分成五大領域,分別是財經網站、社群網路、線上服務、遊戲和電子化商業行銷進行分析,如圖一。 圖一、釣魚網站百分比統計圖表 ( 2011年8月 ~ 2011年12月 )。  案例探討 一般來說線上遊戲釣魚網站經常會承諾遊戲是免費的,因為他們不須交付所承諾的任何內容,如圖二,此線上遊戲釣魚網站就承諾提供兩個免費的遊戲。 圖二、遊戲網站類似交付承諾的釣魚攻擊手法會被偵測為 PWS:HTML/Phish.BF. 。  釣魚網站也可能會告訴使用者他們的帳號已經被暫停,或者存在潛在威脅,然後會儲存驗證相關的資訊,像是 Facebook 的遊戲開發商 Zynga 也曾出現過類似的釣魚攻擊手法,如圖三和圖四,釣魚網站就告知使用者他們需要提供所需內容才能符合該網站的服務條款。 圖三、類似於遊戲商威脅帳號的釣魚攻擊手法網站會被偵測為 PWS:HTML/Phish.BC.。  圖四、類似於遊戲商威脅帳號的釣魚攻擊手法網站會被偵測為 PWS:HTML/Phish.BE. 。 線上遊戲釣魚網站也會嘗試製作成很看起來跟真的一樣的登入頁面,誘騙使用者很自然的輸入他們的個人資訊,如圖五。 圖五、類似仿冒登入頁面釣魚攻擊手法的遊戲網站會被偵測為 PWS:HTML/Phish.BB or .BD. 。  此外,除了上述所提到的三種不同類型的釣魚網站包含: 提供免費遊戲的申請網頁。 誘騙使用者更改資訊的網頁。 以假亂真的登入網頁。 事實上還有更多網站會直接提供現成的釣魚攻擊手法,如圖六。 圖六、提供進行釣魚攻擊服務的網站 惡意使用者會利用該網站散佈釣魚網頁的 URL 給受害者。  當受害者輸入相關個人資訊後,所儲存的個人資訊就會被盜取,接著惡意使用者就可以登錄網站查看他們已經收集到的個人資訊,更進一步,惡意使用者還能透過收集到的個人資訊,用受害者者的身份登入該遊戲,此時受害者辛辛苦苦賺來的遊戲幣和取得的裝備就會被竊取了。  …


[資安小常識] 恐嚇軟體又來了!

作者:Leo Yeh   恐嚇軟體又稱流氓軟體,網路詐騙份子會誘騙您去支付費用下載惡意軟體,最近它又藉由社群網站進行傳播感染 (英文) , 同時來自微軟最新的第十二期資訊安全情報報告 (英文) 中介紹了許多在過去層出不窮的恐嚇軟體,如圖一。 圖一、常見的恐嚇軟體趨勢圖。 根據微軟惡意程式保護中心詳細病毒資訊 (英文) 的更新內容,可以了解在今年五月仍然有相關的恐嚇軟體案例的發生,相關的資訊請參考 Win32/FakePAV是如何竊取信用卡資訊 (英文) 。 在過去流氓軟體常會利用即時通訊軟體作為媒介進行散佈,但近幾年來恐嚇軟體則開始搭上社群網站的熱潮,透過社群網站進行散播。恐嚇軟體非常多元,如圖一。接下來我們就僅根據微軟全球資安觀察的文章「新型態的攻擊: 合併木馬的惡意勒索程式」中提到兩種恐嚇軟體為例,簡單描述恐嚇軟體的攻擊行為,分別是 AntivirusXP 和 FakeSysdef。 AntivirusXP 主要是透過顯示誤導的警告訊息,基本上就是有關電腦的安全問題,籍此說服使用者購買此恐嚇軟體,或稱流氓軟體 (英文),如圖二。 圖二、恐嚇軟體畫面 (Antivirusxp)。 FakeSysdef 宣稱會進行掃描系統記憶體、硬碟驅動程式和硬體的效能,並提出診斷後的問題,接著通知使用者必須需要付款下載解決方案,如圖三。 圖三、恐嚇軟體畫面 (FakeSysdef)。 在我們了解恐嚇軟體的攻擊行為後,接下來讓我們來探討如何透過哪些跡象得知電腦已經被恐嚇軟體感染,例如: 電腦執行的比平常來的更慢。 當您嘗試瀏覽合法的防毒軟體網站時,卻無法取得。 您會看到許多錯誤訊息和誤導訊息的彈跳視窗。 防毒軟體會試圖引誘您升級到付費版本獲得更多的訊息。 此外恐嚇軟體騙局背後的網路詐騙份子更會竭盡全力,使他們的軟體看起來像是合法的,但目的則是在竊取您的信用卡和身份等資訊或者獲取金錢。 最後,若您發現可能已經不小心安裝了恐嚇軟體的情況下,您可以立即透過下載免費 Microsoft Safety Scanner (英文) 軟體進行掃描,以確保使用合法的防毒軟體。若您尚未安裝防毒軟體,您可以下載如微軟所提供的免費防毒軟體 Microsoft Security Essentials (MSE),如圖四。 圖四、合法防毒軟體畫面 (Microsoft Security Essentials) 。   參考資料 恐嚇軟體再次回到您的電腦中 (英文)http://www.king5.com/news/get-jesse/Scareware-making-a-comeback-on-your-computer-151053075.html 資訊安全情報報告 (英文)http://www.microsoft.com/security/sir/default.aspx…


[資安小常識] 惡意程式傻傻分不清 ?

作者:Leo Yeh  最近才剛發佈的微軟資訊安全情報報告第 12 期 (英文) 文件中提到了Conficker 蠕蟲 (英文) 的數量在近幾年來是持續不斷地增加中。 圖一、2009 ~ 2011年中, Win32/Conficker 蠕蟲之數量檢測。 其中最主要是因為一般使用者設定密碼太過簡單而容易遭受攻擊,如 admin 、 default 或 test 皆是屬於過於簡單的密碼,至於更多 Conficker 蠕蟲的詳細資訊請參考「研究Worm:Win32/Conficker.B」 (英文),除此之外要如何設定一個好的密碼呢?請參考上期的資安小常識「三大準則確保網路密碼的安全」。 圖二、Win32/Conficker 蠕蟲之視覺資訊圖表。 (放大檢視) 但是什麼是蠕蟲呢?它和病毒以及木馬有什麼差別呢?本期資安小常識將說明這三者的不同。   首先當您發現電腦執行速度變的很慢時,第一個反應就是中毒,但要如何確定是否真的中毒了呢?請參考「要如何分辨電腦是否有病毒呢?」。可是您是否曾經有疑惑,電腦中毒時,常常有人會提到病毒、木馬、蠕蟲和惡意程式等專業術語,其中到底有何差別呢? 任何被設計來特別造成使用者電腦、伺服器或網路傷害的軟體,基本上就是惡意程式,而木馬、病毒和蠕蟲皆屬於惡意程式。接下來對進行木馬、病毒和蠕蟲這三者的比較,請參考圖三。 圖三、木馬、病毒和蠕蟲三者差別之比較表。 當然若您想更深入了解更多有關病毒的資訊,請參考「病毒:常見問題集」。   現在您是否已經能簡單地分辨出木馬、病毒、蠕蟲這三者的不同了嗎?最後還是建議您記得要安裝防毒軟體保護電腦避免惡意程式的危害,當然微軟最近也才剛釋出最新版本的免費防毒軟體 Microsoft Security Essentials 4.0,不僅僅容易安裝,還提供免費的防毒服務,此外更可以輕鬆製作屬於您的掃毒隨身碟,讓您使用電腦時更加的放心。   參考資料 微軟資訊安全情報報告第 12 期 (英文)http://www.microsoft.com/security/sir/default.aspx Conficker 蠕蟲 (英文)http://www.microsoft.com/security/sir/story/default.aspx#!conficker 在資訊安全情報中使用的專業術語定義 (英文) http://www.microsoft.com/security/sir/glossary.aspx 病毒:常見問題集http://windows.microsoft.com/zh-tw/windows7/Viruses-frequently-asked-questions 如何分辨電腦是否有病毒?http://windows.microsoft.com/zh-TW/windows7/how-can-i-tell-if-my-computer-has-a-virus


[資安小常識] 三大準則確保網路密碼的安全

作者:Leo Yeh   網路上密碼被破解的事件層出不窮,主要原因皆是密碼過於簡單容易被破解,因此要如何確保網路密碼不易被猜到或取得呢?本期資安小常識將告訴您三大準則確保網路密碼的安全: 建立強式密碼首先你要能記住你所設定的強式密碼,但別人卻難以猜測。至少 14 個字元的密碼,越長越好,其中包括數字,符號,大寫和小寫字母,更重要的是保持密碼和個人識別號碼 ( Personal Identification Numbers,PIN ) 的秘密以及避免使用相同的萬用密碼當金融交易密碼,因為如果有人偷了萬用密碼,此時萬用密碼所保護的資訊將暴露在危險之中。以下四個建議步驟可以幫助您更容易記住建立的強式密碼 (區分大小寫): 更多相關的詳細資訊: 建立強式密碼與複雜密碼的提示 檢測您的密碼 (英文)  抵禦電腦所面臨的網路威脅開啟防火牆、防毒軟體、自動更新等強化資安防護,保護網路密碼的安全,除此之外若談到在網際網路上使用網路密碼時所面臨的威脅,那瀏覽器將會是最重要的第一防線。更多相關的詳細資訊: 了解 Windows 防火牆設定 簡單、實用的防毒程式 了解 Windows 自動更新 設定無線網路 為什麼您的瀏覽器有問題呢? (英文)  注意數位憑證,確保網路密碼是透過安全的傳輸在你在網頁上的輸入敏感資訊時,請先確保該網站採用加密技術和安全的措施,保護您所輸入的網路密碼。(透過 https 的網址(“s”代表安全)和它旁邊的封閉掛鎖,基本上該網站就有採用加密技術和安全措施) 更多相關的詳細資訊: 如何知道線上交易是否安全 在 Internet Explorer 9 中進行安全線上交易的秘訣  最後還是呼籲大家在使用網路密碼時,除了遵守以上三大準則確保網路密碼的安全之外,更重要的還是要避免在公開的場合透過公開的無線網路輸入網路密碼,降低網路密碼被取得的風險。  參考資料 六大準則確保金融交易的安全http://www.microsoft.com/security/online-privacy/finances-rules.aspx 了解 Windows 防火牆設定http://windows.microsoft.com/zh-TW/windows7/Understanding-Windows-Firewall-settings 簡單、實用的防毒程式http://windows.microsoft.com/zh-TW/windows/products/security-essentials 了解 Windows 自動更新http://windows.microsoft.com/zh-TW/windows7/Understanding-Windows-automatic-updating 設定無線網路http://windows.microsoft.com/zh-TW/windows7/Setting-up-a-wireless-network 為什麼您的瀏覽器有問題呢? (英文)http://www.yourbrowsermatters.com/ 建立強式密碼與複雜密碼的提示http://windows.microsoft.com/zh-TW/windows7/Tips-for-creating-strong-passwords-and-passphrases 檢測您的密碼 (英文)https://www.microsoft.com/security/pc-security/password-checker.aspx…


[資安小常識] 三大 IE9 密技確保網路瀏覽不被廣告追蹤

作者:Leo Yeh   前言 微軟高可信度電腦運算部門副總裁 Scott Charney 最近在 RSA 會議上的主題演講分享 (英文影片) 談到未來十年的安全願景。同時在相關的高可信度電腦運算白皮書 (英文) 中更談到了我們目前生活在資料為中心的世界,透過任何裝置分享您生活的一切資訊。  1990 年出現全球資訊網 (World Wide Web),代表著使用者透過是用戶端和伺服器瀏覽文件,如果一個人想像的原始網頁,如圖一所示: 圖一 但是今天一個人不僅僅是原始網頁而是很豐富的經驗資訊,如圖二所示: 圖二 因此在網際網路中與個人相關的資訊越豐富,就會洩漏更多網路瀏覽的行蹤資訊,所以繼上一篇資安小常識 「三大技巧維護您在網路上的名聲」,本月資安小常識將告訴你如何確保網路瀏覽不被廣告追蹤的三大 IE9 密技。   密技 IE9 – 追蹤保護您在瀏覽的網站上看到的部分內容、影像、廣告和分析資料,是由外部網站或協力廠商的網站所提供。 雖然對您和您喜愛的網站而言,這類內容都是有價值的,但是協力廠商網站卻能藉此追蹤您在多個網站上的行為。此時您可以使用「追蹤保護清單」來選擇不讓那些廣告廠商收集您的資訊,避免追蹤您的行蹤。至於如何操作,請參考 IE9 官網影片和更多詳細的內容,請參考 MSDN 官網文章 (英文)。  IE9 – 刪除瀏覽歷程記錄根據最近的新聞 (英文),凡走過必留下痕跡,因此透過 Cookie 和瀏覽歷程記錄也能追蹤您的行蹤,因此建議定期刪除 Cookie 和瀏覽記錄,至於要如何刪除請參考 IE9 官網使用方法。  IE9 – 透過 InPrivate 瀏覽此外當您在公用電腦上選購禮物或是查看帳戶等有提供機敏資訊的行為時,且您不想留下任何瀏覽或搜尋記錄的行蹤,以免被其他人看到,建議您可以從 IE9 右上角的 [工具] 按鈕選擇…