資安小知識8月刊
資安大小事
【資安情資分享】
Zyxel於2024年六月初發布安全更新,針對兩款已於2023年12月31日終止服務的NAS產品進行安全補強,其中的三個修補 (CVE-2024-29972、CVE-2024-29973、CVE-2024-29974) 皆為CVSS評分為9.8的嚴重漏洞,使攻擊者能夠未經允許便可執行命令注入或遠端執行程式碼影響該系統,用戶不得輕忽 ! 應盡快安裝釋出的安全更新。
影響產品:
· 型號NAS326,V5.21(AAZF.16)C0及之前版本
· 型號NAS542,V5.21(ABAG.13)C0及之前版本
建議更新:
· 型號NAS326,V5.21(AAZF.17)C0
· 型號NAS542,V5.21(ABAG.14)C0
NAS(Network Attached Storage,網路儲存裝置)是一種連接到網路的儲存設備,可為多個使用者提供儲存和共用功能,行動裝置的普及使NAS已成為家庭或小型辦公室熱門必備裝置,其機制讓用戶可透過區域網路或網路儲存、存取和共享文件、媒體和其他資料。而消費性 NAS 設備通常具有自動備份、遠端存取、媒體串流和資料同步等功能,以提高使用者的工作效率和便利性。
資安小管家
什麼是網路釣魚郵件?防止上鉤要點!
- 何謂網路釣魚郵件
駭客利用電子郵件或網路騙取用戶點選連結,取得個人資料或企業資訊。洞悉人性弱點,利用好奇心、同情心、恐懼等心理誘使用戶執行某些操作,例如深入了解鎖定用戶喜好,投遞有興趣的主旨與內容誘騙用戶點選郵件中的連結。 - 被釣魚可能遭受的損失
個資或企業機敏資料被盜,個人可能導致信用卡被盜刷等財損,企業研發等核心資訊外流,失去競爭力、駭客潛伏伺機發動攻擊,可能造成營運中斷。
辨別釣魚郵件要點:
1.確認寄件者是否認識
2.判斷郵件主旨是否與業務相關
3.確認附加檔案是否為危險的exe、scr、zip、cmd
4.郵件中若有網址,可至惡意網址檢查網站確認
5.難以判斷時,先向寄件者當面或電話確認,或是請MIS同仁協助判別
疑似網路釣魚郵件的線索:
1.信件內容出現語法錯誤或文字錯誤,通常合法公司不易出現
2.寄件人的郵件地址出現不匹配的資訊,例如來自Acsi的Leeyang,郵件地址卻顯示Chilingwang@example.com
3.發送給多個收件人,看起來像隨機,收件人互不相關
4.信件中出現亂碼,可能為跨國詐騙,因語系不同導致
5.非針對性問候語,看起來像系統發送並非發給個人的信件
防範釣魚郵件,可以這樣做:
1.仔細檢查網址與郵件地址,駭客常用釣魚手法將郵件地址或網址魚目混珠,包含數字1與英文l、數字0與英文O
2.避免在電子郵件中儲存重要資訊,例如:身份證字號、密碼、金鑰等
3.使用雙因子或多因子身分驗證,降低被冒用風險
4.若不慎點選釣魚郵件,請立即通知資訊人員,並更換帳號密碼
