惡意軟體
」 駭客 詐騙 Android 資安 APP
微軟Windows 11推「代理式AI功能」恐釀資安漏洞 官方向用戶發警告
微軟近日向Windows 11用戶推出全新的「自主代理式 AI(agentic AI)」功能,提供用戶能透過人工智慧協助處理檔案整理、寄送電子郵件等任務。然而,微軟也在最新支援文件中坦言,這類AI需要更深層的系統存取權限,同時可能變成惡意軟體入侵的新途徑,恐釀全新的資安風險;不過官方強調該功能將預設關閉,建議熟悉安全風險的用戶再啟用。綜合外媒報導,微軟Windows 11用戶推出全新的「自主代理式 AI(agentic AI)」功能,但為降低風險,微軟同步推出名為「代理工作區(agent workspace)」的實驗功能,為AI建立一個受限的獨立使用者環境。這個環境類似Windows 11的有限權限帳號,允許 AI 使用部分系統常用的檔案與應用程式,但無法操作特定使用者安裝的軟體,也不能任意存取使用者資料夾(C:\Users\)內的內容,除非獲得明確授權。微軟指出,這種設計比完整虛擬機(例如 Windows Sandbox)更有效率,同時保留必要的安全隔離,且相關操作都會被完整記錄。儘管如此,微軟仍示警,這類AI本質上具備潛在風險。另外微軟也提到,AI代理可能遭遇跨提示詞注入攻擊(XPIA),「惡意內容可能藏在介面元件或文件中,導致AI被迫執行非預期指令,例如竊取資料或安裝惡意程式。」微軟強調,這項功能目前並未強制啟用,而是在系統中預設關閉。使用者若想啟用,需自行前往「設定>AI Components>Experimental agentic features」開啟。此外,官方也提醒,啟用後將影響系統內所有使用者,因此需要充分了解其安全風險。隨著Copilot+ PC推出,微軟全力推動AI技術,卻遭外界多次批評實用性與安全性不足,包括先前因隱私疑慮而遭質疑的Microsoft Recall。這次的自主代理式AI表面上能提升效率,但在高度系統權限與操作不可預期的前提下,仍讓不少使用者憂心其安全性。
20億電子郵件、13億密碼外洩!資安專家警告:舊資料仍可致命
全球資安社群傳出重磅消息!知名外洩檢測網站「Have I Been Pwned?」(HIBP,即「我被駭了嗎?」)創辦人資安專家杭特(Troy Hunt),近日收到1份規模龐大的外洩資料庫,內含超過20億筆獨立電子郵件地址與13億個獨立密碼。據《PC World》報導,這批資料並非來自單一駭客事件,而是由資安公司「Synthient」長期從各種外洩來源匯總而成的整合資料集。過去,Synthient也曾提供過1.83億筆外洩郵件地址資料給HIBP進行安全分析。此次更新的資料量更為驚人,顯示資訊竊取活動的規模與深度仍在不斷擴大。杭特在他的部落格中解釋,這批資料主要來自「網銀大盜」(Infostealer)類型的惡意軟體。這類惡意程式會在中毒電腦上自動竊取使用者的帳密,再被駭客散布於網路暗處或透過Telegram群組交換流通。Synthient收集這些外洩紀錄後,去除重複項目,留下唯一的帳號密碼組合,以利進行比對與研究。杭特指出,這些資料有部分可在網路上自由取得,也有部分透過駭客社群流通。任何人都可以透過HIBP網站輸入自己的電子郵件地址,以檢查帳號是否遭到洩漏。為確保資料真實性,杭特親自驗證多筆資料。他首先搜尋自己的名字,結果發現1個來自1990年代、早已棄用的電子郵件地址。更令人驚訝的是,他還找到數個與該信箱相關的密碼,其中有1組的確曾屬於他本人。之後,他邀請多位訂閱他郵件清單的讀者進行測試。結果顯示,有人找到多年前已失效的密碼,也有人發現仍在使用的登入憑證。換言之,這批外洩資料橫跨數十年,既包含舊資料,也有近期的新紀錄。杭特強調,即便資料年代久遠,也不代表已無風險。駭客經常使用1種名為「撞庫」(Credential Stuffing,又稱「憑據填充」)的攻擊手法,利用過去外洩的帳號密碼組合嘗試登入其他網站。由於許多使用者多年不改密碼,舊資料往往仍能奏效。此外,簡單或可預測的密碼(例如「12345」、生日或寵物名字)更容易被快速破解,「只要使用者懶得更換密碼,駭客就永遠有機可乘。」杭特已將這13億筆密碼匯入他的「被駭密碼」(Pwned Passwords)資料庫,供大眾檢查特定密碼是否曾被破解。這個資料庫並不包含電子郵件地址,只專注於密碼本身的安全性。他舉例說:「假設你曾使用密碼『Fido123!』,若它已被揭露,不論是與你的信箱相關,還是他人的帳號被外洩,這個密碼都已不安全。因為這類密碼遵循可預測的規則,例如寵物名加上數字或符號,駭客能輕易破解。」杭特補充,即使發現某個強密碼出現在資料庫中,也可視為它確實被外洩過的證據,因此應立即停用並更換,「無論是哪種情況,這個密碼都不該再出現在任何帳號上。」杭特最後也提醒,用戶應定期檢查自己的電子郵件與密碼,無論是主要帳號還是1次性信箱,「你永遠不知道誰可能握有你的資料」,而資訊安全的防線往往取決於個人有無警覺。
俄羅斯駭客組織「齊林」橫掃全球 2025年已爆700起勒索攻擊
目前有網路安全研究人員揭露,以俄羅斯為基地的駭客組織「齊林」(Qilin)在2025年已聲稱完成第700起勒索軟體攻擊,成為當前全球最活躍的網攻集團之一。Comparitech的分析指出,這個組織自2022年出現以來迅速壯大,2024年共發動179起攻擊,而2025年的規模已成長近四倍。根據《Cybernews》報導指出,齊林採取所謂「勒索軟體即服務」(ransomware-as-a-service)的營運模式,將惡意軟體與入侵基礎設施出租給其他駭客組織,由他們實際發動攻擊並分享贖金。這種結構讓其行動擴散速度極快。尤其在2025年4月另一大型勒索平台「勒索中心」(RansomHub)關閉後,齊林吸收了大量流失的附屬駭客,攻擊量隨即暴增280%,短短數月從185起攀升至超過701起。研究顯示,齊林最常鎖定製造業、金融業、零售業、醫療體系與政府機構等存有大量機密資料的單位。其著名攻擊案例包括日本最大啤酒商朝日控股(Asahi Holdings),事件造成啤酒與軟性飲料供應短缺;以及法國大眾集團(Volkswagen Group France),該案據稱外洩2,000個檔案、約150GB內部資料。朝日集團至今仍在修復系統,法國阿盧佩皮尼昂公司(Alu Perpignan)則因攻擊導致營運停擺三週,損失等同三個月營收。Comparitech資料顯示,齊林的目標範圍涵蓋全球200多個國家,其中美國受害最深,共有375起攻擊,其次為法國41起、加拿大39起、南韓33起及西班牙26起。整體而言,該組織在所有已知事件中共竊取116TB資料,洩漏超過78萬筆記錄。學術與政府單位在過去一年也成為新焦點。教育機構遭受的攻擊數量從2024年至2025年間激增420%,政府機關增加344%,而醫療體系的成長幅度則為125%。其中,日產汽車(Nissan)旗下設計子公司「日產創意盒」(NissanCreativeBoxInc.)遭竊超過4TB設計資料,疑似涉及競爭情報外洩風險。在所有事件中,贖金金額動輒數百萬美元。馬來西亞機場控股公司(Malaysia Airports Holdings Bhd)今年3月遭攻擊後被索討1,000萬美元贖金,事件癱瘓吉隆坡國際機場(KualaLumpur International Airport)系統,官方拒絕付款;美國克里夫蘭市政法院(Cleveland Municipal Court)2月遭攻擊,駭客要求400萬美元;西班牙自治城市梅利利亞(Ciudad Autónomade Melilla)在6月的攻擊中被勒索212萬美元,並傳出4至5TB資料遭竊。Comparitech資料研究部主管穆迪(Rebecca Moody)指出,齊林藉由將惡意軟體租賃給其他駭客,使其活動範圍急速擴張。她說:「在短短數月內,它就鎖定了數百家企業,造成前所未見的混亂。」穆迪補充,光是2025年10月,齊林新增的受害者就超過百家,顯示其行動仍持續加速中。
不會教但會講!美國研究團隊示警 Snapchat聊天機器人防護形同虛設
根據一項實驗顯示,Snapchat的人工智慧聊天機器人「My AI」存在可被操控的安全漏洞,能在特定情境下分享原本受限制、甚至具危險性的內容。這項發現引發對AI防護機制與未成年使用者安全的關注,揭示社群平台在AI倫理設計上的重大隱憂。根據《Cybernews》報導,這項研究由《Cybernews》研究團隊執行,測試對象是Snapchat於2023年推出、目前全球逾9億人使用的「My AI」。該功能原設計為互動式對話助理,可回答事實問題、生成創作內容,並在群組聊天中參與對話。Snapchat Plus訂閱者還能與此AI交換照片,或請它依食材圖片生成食譜。依Snapchat官方說明,My AI經過額外的安全強化與內容審查訓練,目標是避免放大錯誤或有害資訊。但《Cybernews》的測試發現,這些防護並不如宣稱穩固。研究人員利用「越獄」(jailbreaking)技巧,以精心設計的提示語讓機器人繞過安全規範。當直接詢問如何製作汽油彈(Molotov cocktail)時,AI會拒答;但若將問題包裝成歷史敘事,要求描述芬蘭與蘇聯冬季戰爭(Winter War)中燃燒裝置的運用細節,My AI便生成了包含材料與步驟的內容。研究報告寫道「這個聊天機器人雖不會直教製作武器,卻會透過真實戰爭故事間接提供相關資訊。」團隊警告,這代表青少年或缺乏判斷力的使用者,可能僅憑簡單語言操控便能取得危險知識。此次實驗使Snapchat的安全承諾受質疑。《Cybernews》指出,Snapchat尚未修補該漏洞,也未將其列為重大風險事件。研究團隊已聯繫該公司請其回應,但截至報導發布仍未收到具體答覆。報導中提到,My AI的安全問題並非首次被討論。過去曾有使用者回報,該聊天機器人忽然傳送一段僅1秒的影片,畫面類似天花板一角,隨即完全停止回覆。此事一度引發社群恐慌,外界懷疑AI行為是否遭未授權操控。目前「越獄」已成AI領域的普遍挑戰,許多模型都曾遭類似攻擊。先前,《Cybernews》團隊成功誘導Meta整合於Messenger、WhatsApp與Instagram的個人助理,生成汽油彈製作指南。另有調查揭露,聯想(Lenovo)AI聊天機器人Lena(基於OpenAI的GPT-4模型)存在可在企業電腦上執行未授權腳本的漏洞,攻擊者可藉此竊取cookies並滲透客服系統。除歐美公司外,中國開發的聊天機器人DeepSeek也曾被安全研究員欺騙,生成可竊取Chrome瀏覽器資料的惡意程式。甚至有欠缺資安背景的研究者,只憑提示語就能讓模型產出具刪除敏感資訊功能的惡意軟體。在OpenAI發布GPT-5後,《Cybernews》指出,全球多支安全團隊於模型推出不到24小時內便成功實施「越獄」。這些事件凸顯AI平台普遍缺乏對抗操縱攻擊的穩定防線,也讓Snapchat等大型社群應用的使用安全問題更加突顯。
43%用戶還在Win 10!數億裝置失去安全更新 微軟2替代方案供用戶選擇
微軟(Microsoft)將在14日正式終止對Windows 10的支援,這意味著全球仍使用該系統的數億台電腦將不再獲得安全性更新與修補。政策生效後,無論一般使用者或企業裝置,資安風險都將升高。根據《BBC》報導,微軟建議升級至Windows 11,並為部分符合資格的個人電腦提供免費升級。不過因硬體門檻所限,許多老舊裝置無法支援新版系統。對此,美國消費者團體PIRG資深主任普羅克特(Nathan Proctor)直言,此決策「正演變成一場對消費者與環境的災難」,他批評科技業讓產品壽命愈來愈短、難以維修且被迫淘汰,「人們值得擁有能長久使用的科技」。依StatCounter數據,截至2025年7月,全球約有43%的Windows使用者仍在用Windows 10。微軟表示,全球有超過14億台裝置運行自家作業系統。在英國(UK),消費指南機構《Which?》估計仍有2100萬人使用此版本。該機構9月調查顯示,約四分之一受訪者打算在官方支援結束後繼續使用;每七人約有一人計畫直接購買新電腦。目前微軟提供兩個替代方案:其一,升級至Windows 11;其二,註冊「延伸安全性更新」(Extended Security Updates,簡稱ESU)計畫。ESU可在未來12個月持續提供關鍵安全更新,但不含技術支援與功能更新。已更新至最新版本、擁有微軟帳號且完成電腦備份的使用者,可免費獲得此服務;不符合條件者需支付30美元或以1000點Microsoft Rewards點數兌換。企業用戶則需每台裝置支付61美元。普羅克特批評,這將迫使許多仍運作良好的電腦被淘汰,使用者不得不為新裝置額外支出,對經濟與環境形成壓力。報導中提到,自2015年推出以來,Windows 10透過更新修補漏洞與加入新功能;停止支援後,系統將不再獲得防護補丁,裝置更易遭病毒、惡意軟體或駭客攻擊。近月多起大型網攻波及零售、汽車製造與托嬰連鎖等產業,資安再成焦點。微軟消費者事業行銷長梅赫迪(Yusuf Mehdi)在官方部落格表示,持續使用不受支援的系統,企業可能難以符合法規要求。若選擇升級Windows 11,需以微軟帳號登入;新系統相較舊版幾乎取消「本機帳號模式」,引發部分使用者對隱私與資料綁定的疑慮。對仍堅持留在Windows 10的使用者而言,未來不僅面臨安全風險,其他軟體開發商也可能逐步停止提供更新,導致部分功能無法使用。從技術、隱私到成本,這場作業系統更替正牽動數以億計人的數位生活。
AI正改寫資安戰局 駭客用提示詞就能發動攻擊
人工智慧正快速重塑網路安全版圖。Wiz首席技術專家勒特瓦克(Ami Luttwak)近日接受《TechCrunch》專訪時直言,AI帶來的挑戰是一場「心理戰」,因為每當技術浪潮興起,攻擊者總能找到全新切入點。勒特瓦克指出,企業急於將AI整合進工作流程,從vibe coding、AI代理到各類新工具,雖然大幅提升開發效率,但也同步放大攻擊面。他強調,這些加速交付程式碼的方法往往伴隨漏洞與捷徑,讓攻擊者有更多可乘之機。他舉例,Wiz測試發現vibe coding應用常見的問題就是認證設計不安全,因為AI代理若未被特別要求,就不會採取安全方式建構。結果,企業陷入「效率與安全」的持續拉扯。攻擊者同樣懂得運用提示詞技術與AI代理,甚至能要求系統洩漏秘密、刪除檔案。勒特瓦克提到,近期已出現多起重大案例:Drift事件:上月新創公司Drift遭駭,數百家企業的Salesforce資料被竊,受害者包括Cloudflare、Palo Alto Networks與Google。駭客利用竊得金鑰冒充聊天機器人,在客戶環境中橫向移動,惡意程式碼本身就是透過vibe coding生成。「s1ingularity」攻擊:今年8月,駭客鎖定JavaScript開發常用的建構系統Nx,植入惡意軟體,專門偵測Claude與Gemini等AI工具,進而攔截私人GitHub儲存庫。他說,雖然目前全面採用AI的企業僅約1%,但Wiz幾乎每週都能觀測到影響數千家客戶的攻擊事件。成立於2020年的Wiz,最初專注於協助企業辨識雲端漏洞與錯誤配置,近年則擴展至AI安全領域。去年9月推出 Wiz Code,將安全設計提前至軟體開發初期;今年4月再推 Wiz Defend,提供雲端即時威脅偵測與回應。勒特瓦克解釋,要達成「水平安全」(horizontal security),必須徹底理解客戶的應用程式與需求。他提醒新創公司,開發AI產品時不能忽視安全責任。他以自身經驗指出,Wiz在還沒寫下第一行程式碼之前,就完成了SOC2合規,並直言「五個員工的時候要做到,比等到500人時容易得多。」他呼籲新創從第一天就設立CISO,建立嚴謹安全架構,確保客戶資料留存在客戶環境,而不是交給外部小型服務。勒特瓦克強調,AI驅動的攻防對抗才剛開始,從釣魚郵件、電子郵件防護到惡意軟體偵測,每個領域都在被重新定義。對能結合工作流程與自動化的「vibe security」新創而言,這是關鍵時刻。他最後表示:「比賽已經開始,現在我們必須徹底重塑安全的每個部分。」
假冒蘋果行事曆邀請 隱蔽釣魚攻擊瞄準18億iPhone用戶銀行帳號
全球約18億名iPhone用戶近日接獲警告,一種偽裝成蘋果(Apple)行事曆邀請的新型詐騙正在快速蔓延。由於詐騙訊息透過蘋果官方伺服器發送,難以被垃圾郵件過濾器攔截,更顯隱蔽。根據《unilad》報導,這類詐騙常以「購買通知」為包裝,內容顯示一筆虛構的PayPal付款紀錄,例如「您的PayPal帳戶已被扣款599.00美元」,並附上所謂的客服電話。受害者若回撥,將落入「回撥式網路釣魚」陷阱,對方假扮客服人員,進一步要求下載惡意軟體,以竊取銀行帳號與憑證。資安平台Bleeping Computer揭露,詐騙者會在iCloud行事曆邀請的備註欄中植入釣魚訊息,並同時邀請由他們掌控的Microsoft 365信箱,以規避偵測。由於郵件確實經過蘋果伺服器傳送,看似合法,傳統防護機制更難分辨。CyberSmart執行長阿克塔爾(Jamie Akhtar)直言,來源經過驗證往往使收件人更容易上當。資安顧問賈馬利克(Javvad Malik)提醒,使用者必須對所有郵件與行事曆邀請保持懷疑。他建議檢視三個問題:這是否在預期之內?內容是否刻意挑動情緒?是否設下急迫時限要求立刻行動?若答案為「是」,就應立即停下,並透過官方管道自行驗證,而不是依照郵件或邀請中的指示操作。專家指出,詐騙手法正在進化,從過去容易識別的拼字錯誤或可疑郵件地址,逐漸轉向利用正規伺服器偽裝,讓過濾器與使用者更難察覺異常。蘋果也已確認相關情況,並強調切勿隨意點擊或回撥詐騙邀請中的電話號碼,以避免落入陷阱。
愛買忠孝店9月底熄燈!遭詐騙帳號假冒「歇業出清」 業者緊急發聲
位於台北市信義區的愛買忠孝店將在今年9月30日歇業,業者證實因租約到期和都市更新規劃,營運方向不再符合需求,才決定結束營業,讓不少當地居民紛紛喊不捨。豈料,近日出現詐騙集團假冒愛買在社群發文,佯稱「歇業出清」並附上詐騙連結,企圖誆騙消費者;對此,愛買火速發聲強調,官方只有一個臉書帳號,呼籲大眾不要受騙。知名大賣場愛買今(2)日透過官方臉書發聲,自愛買忠孝店宣布9月底結束營業後,社群上出現有詐騙集團假冒愛買官方帳號,創立像是「愛買-忠孝店」、「愛買網路特賣 - 忠孝店」、「愛買a.mart 忠孝店」、「愛買忠孝店特賣會」等多個帳號,並發布「歇業出清」、「萬件商品一件不留」的貼文,同時附上詐騙連結。業者指出,愛買在臉書只有一個官方帳號,強調「其他帳號一律不是官方,請不要上當受騙!」愛買也在文中提醒消費者千萬記得以下重點,切勿輕易透露個人資料,「無論是電話、簡訊還是社交媒體,請不要隨意提供您的身份證號碼、信用卡資料、銀行帳戶等個人信息」;還要謹防不明來歷的連結,「若收到不明的連結,請勿點擊,避免下載惡意軟體或被釣魚詐騙。」至於雙重驗證重要交易,當有人聲稱是公司或親友,要求匯款或提供個人資料,請透過其他方式再次核實對方真實身分;以及切勿輕信不實優惠,因為詐騙者常以「超低價優惠」或「限時促銷」等方式誘騙付款,呼籲大眾可以通過官方渠道查證優惠真實性。愛買最後特別提醒,民眾遇到可疑行為,請立即撥打防詐騙專線165確認情況。愛買忠孝店自2001年9月28日開幕,營運25年,在今年9月30日將結束營業。忠孝店熄燈後,愛買在全台門市剩下13間,台北市僅存景美店。
台灣受網攻頻率亞太最高!每週遭逾4千次攻擊 3大產業最慘
根據全球資安大廠「Check Point Software Technologies Ltd.」旗下威脅情報部門Check Point Research於24日發布的最新調查顯示,2025年第二季全球企業與組織平均每週遭受1984次網路攻擊,較2024年同期增長21%,與2023年相比則大幅成長58%。其中,台灣所面臨的網路攻擊情況尤為嚴峻,平均每週遭攻擊高達4055次,為全球平均值的兩倍,居亞太地區之冠。報告指出,今年1月至7月初,台灣受攻擊最頻繁的三大產業分別為硬體供應商、政府與軍事機構及製造業。硬體產業每週平均遭攻擊8139次,政府與軍事機構為5042次,製造業則達4983次,顯示台灣關鍵產業成為高度攻擊目標。在惡意軟體方面,Check Point Research指出,台灣最常遭遇的類型包括遠端存取木馬(如 Remcos、Agent Tesla)、竊密軟體(如 Androxgh0st、AZORult)及殭屍網路(如 Androxgh0st)。而資訊外洩則為台灣最常見的漏洞類型,影響範圍高達78%的組織,反映資安防護尚有提升空間。放眼全球產業別攻擊統計,教育與研究機構為受攻擊最頻繁類型,每週平均達4388次,年增幅31%,原因多與資安投入不足及學生、教職員的個資價值相關。政府與軍事機構排名第二,每週平均2632次攻擊,主因在於其擁有的敏感資料與對地緣政治的潛在影響。通訊業則以2612次居第三,年增幅高達38%,顯示掌握大量用戶資訊的產業也已成為駭客集中火力的目標。Check Point Research也給出資安建議,組織需採取主動的策略包含:強化威脅預防能力:導入如入侵防禦系統(IPS)、防勒索軟體工具與威脅情資等先進資安技術,阻擋潛在的資安威脅。 提升端點與網路防護:部署功能完善的防火牆、電子郵件安全機制與端點保護平台(EPP)降低攻擊面。加強使用者資安意識:定期進行資安訓練與釣魚模擬演練,協助員工識別並通報可疑行為。 確保備份與復原機制:建立更新且分隔的備份資料,並定期測試復原流程,以減少勒索攻擊或其他中斷所造成的影響。 導入零信任架構:持續以使用者權限驗證、網路資源分段,降低橫向移動風險。 確保掌握資訊:持續關注威脅情資與警示,預先掌握潛在風險。確保掌握資訊:持續關注威脅情資與警示,預先掌握潛在風險。
駭客資料轉手販售!美新創公司助討債與商戰 5000萬人隱私遭踐踏
近日有消息指出,一家名為「Farnsworth Intelligence」的私人情報新創公司,不僅取得駭客從全球超過5000萬台電腦中盜取的個人資料,甚至還將這些個資轉賣給討債公司、正在辦理離婚訴訟的配偶,或是企業為了挖角競爭對手客戶銷售對象來牟利。根據《404 Media》報導,「Farnsworth Intelligence」這家公司表面標榜合法經營,但販售的其實正是過去黑市駭客才會交易的資訊內容。Farnsworth Intelligence販售的資料來自於名為資訊竊取(infostealer)的惡意軟體,通常隱藏在盜版軟體內,受害者電腦一旦遭駭,駭客即可竊取其Cookies、帳號密碼、甚至各類瀏覽器內自動填入的個資,包括地址或帳單資訊。該公司將這些被盜資料重新包裝後公開販售,並列出多種用途,包括為債務追查找到債務人現居地址、提供高額訴訟或離婚案件可用的重大證據,甚至幫助企業挖掘競爭對手潛在客戶名單。該公司提供兩種服務,其一為「Farnsworth's Infostealer Data Platform」,提供完整遭駭者明文密碼,申請者需聯絡公司並說明用途,範圍涵蓋私人調查、情報、新聞業、執法、資安、法規遵循、智慧財產或品牌保護等。另一項則是infostealers.info,開放任何人使用,僅需支付最低50美元便可查詢資料。平台雖未曝光完整密碼,但仍包含大量敏感資訊,最近更新增自動填入資料搜尋功能,能查詢帳單地址等。404 Media曾實測,僅用50美元即可查得美國紐約史泰登島(Staten Island)與印度等多筆私人住址。資安專家指出,這些行徑不僅違反道德,更疑似涉及法律問題。電子前哨基金會(Electronic Frontier Foundation,EFF)專家昆廷(Cooper Quintin)批評,Farnsworth販售被竊資料牟利,讓原本已受害的人再次受害,這些資料甚至可能被警方用於無須搜索票下的監控,或被詐騙犯、跟蹤者進一步濫用。電子隱私資訊中心(Electronic Privacy Information Center,EPIC)法律顧問施羅德(Calli Schroeder)則表示,Farnsworth所列用途恐涉違法,舉例來說,許多法院並不接受非法取得之資訊作為證據,美國曾有法院在Ashley Madison洩漏案中裁定該資料仍屬保密資訊,無法作為證據,多數法官也不允許於離婚訴訟中使用此類資料。施羅德指出,若企業利用這些資料建立競爭對手客戶名單,極可能涉及企業間諜或商業機密侵權。她痛批Farnsworth此舉噁心且掠奪性,等同協助並促成受害者的二次剝削,還以此為傲,顯示道德破產在此產業已成常態。而截至目前為止,Farnsworth尚未做出任何回應。資安研究人員表示,操控資訊竊取軟體的駭客常透過Telegram頻道販售這些資料,其他不法分子付費即可存取。404 Media曾詢問Farnsworth是否從駭客手中購買資料再行包裝,該公司未回應。不過類似公司如Hudson Rock曾藉此揭露美國FBI通緝犯名單上兩名嫌疑人,資安公司RecordedFuture也曾發現3,334筆用於存取兒童色情網站的帳號憑證,並據此鎖定兩名人士。昆廷表示,販售失竊手機違法,販賣資料的Farnsworth,其行徑就是犯罪。
160億筆帳密外洩「蘋果、META、Google全中招」 有兩階段驗證也沒用「Cookies也外流」
近期爆發一起有史以來規模最大的帳密外洩事件,總計高達160億組帳號密碼在網路上曝光,牽涉範圍涵蓋Apple、Google、Facebook、Telegram、GitHub與多項政府與企業服務。根據《Cybernews》研究,這些資料並非舊資料回鍋,而是來自近期的資訊竊取行動,且絕大多數是被惡意軟體所擷取。根據《Cybernews》報導指出,這些紀錄分散在30個不同的資料庫,單一資料庫內最多包含35億筆資料,平均每筆資料集則約有5.5億筆。即使部分資訊重複,整體數量仍具驚人規模。研究團隊發現,這些資料庫結構清晰,常以網址搭配帳號密碼呈現,許多還附加Cookies、Session權杖與自動填入的瀏覽器中繼資料,能讓攻擊者直接繞過兩階段驗證(2FA)系統,入侵用戶帳號。《Cybernews》資安研究員迪亞琴科(Bob Diachenko)強調,這不僅是一場單純的資料外洩,而是一份「攻擊指南」,足以為釣魚詐騙、勒索軟體與企業郵件詐騙(BEC)行動提供「彈藥」。迪亞琴科表示,目前尚未出現證據顯示Apple、Facebook或Google本身發生過集中式資料外洩,但用戶憑證中已明確出現指向這些平台的登入網址,這意味著,帳號資訊可能是在用戶端被盜取。研究也發現部分資料庫的命名可能顯示潛在來源,例如一筆含4.55億筆紀錄的資料庫,其顯示來自俄羅斯聯邦(Russian Federation),另有一筆6000萬筆資料的集合則命名為Telegram。規模最大的資料庫紀錄超過35億筆,似乎與葡萄牙語族群有關。資安研究人員強調,這些包含Cookies與Session資料的憑證外洩事件,對未啟用雙重驗證或未定期清理登入資訊的用戶與組織構成極大風險。因為Cookies與Session資料可讓攻擊者無需輸入密碼和一次性驗證碼,即可模擬合法用戶登入,尤其對許多未自動清除登入狀態的系統來說,幾乎毫無防禦能力。回顧過去幾起重大資料外洩事件,這次160億筆資料的洩漏與2024年被稱為「所有外洩之母(Mother of All Breaches,MOAB)」的260億筆紀錄相互呼應。當年還曾出現名為「RockYou2024」的外洩包,內容包含近百億筆獨立密碼。此外,日前也發生中國用戶資料大量外洩的事件,影響涵蓋微信(WeChat)、支付寶(Alipay)與個資金融紀錄。面對龐大資料外洩風險,研究人員建議使用者務必啟用多重驗證(MFA)、定期更換密碼、避免重複使用舊密碼,並善用密碼管理工具建立獨特密碼組合。若有系統支援登入紀錄與安全警示,也應啟用監控功能,第一時間辨識異常行為。報導中指出,許多駭客是藉由使用資訊竊取工具來完成資料蒐集。這些惡意程式常藉由盜版軟體、受感染的PDF、遊戲模組等形式植入用戶裝置,一旦入侵成功,便能持續擷取憑證、Cookies、瀏覽紀錄、文件與內部工具資訊,最終在暗網販售或彙整為資料集用於後續攻擊。研究團隊警告,駭客甚至無須百分之一的成功率,只要憑藉這類大規模資料集中微小的命中率,便足以開啟數百萬筆帳號的大門。
1.84億組帳戶資料外洩!Apple、Google、Instagram都中招 專家:快啟用雙重驗證
近年來資料外洩事件頻傳,日前有位長期從事資料外洩追蹤的安全研究員弗勒(Jeremiah Fowler)發現,一個未受保護的大型資料庫中,竟出現超過1.84億個帳戶資料,總容量高達47.42 GB,內容包括Apple、Facebook、Instagram、Google和Spotify等等使用者的名稱及密碼。根據《連線雜誌》(Wired)等外媒報導,事情發生在5月初,弗勒在一台「非託管伺服器」中發現了高達47.42 GB、超過1.84億個登入憑證資訊,其中包括Facebook、Google、Instagram、Roblox、Discord、Netflix、PayPal、Amazon、Twitter(現改名為X)等等使用者的名稱和密碼。弗勒分析1萬個帳戶為樣本,有479個Facebook帳戶、475個Google帳戶、240個Instagram帳戶、227個Roblox帳戶、209個Discord帳戶,以及微軟、Netflix和PayPal帳戶各100多個;他也利用關鍵字進行搜尋,結果顯示「銀行」一詞有187個,而「錢包」一詞有57個。弗勒說到,除了社群平台以外,這些資料還涉及銀行、金融服務機構、個人健康平台、政府網站等等;而他以其中1萬多個被洩露帳戶為樣本,發現至少220個帶有「.gov」網址的電子郵件,並與至少29個國家有關,包括美國、澳洲、加拿大、中國、印度、以色列、紐西蘭、沙烏地阿拉伯和英國等等。弗勒認為,這次入侵很有可能是網路犯罪分子所為,因為他想不出其他方法可以從全球如此多的伺服器獲得這麼大量的資訊,而在這1.84億個帳戶裡,沒有可識別的擁有者,且登入ID亦沒有任何用途,「這可能是我這麼多年來發現最奇怪的1次」、「這不是我第1次看到壞人洩漏數據,只是規模如此之大」。弗勒也懷疑,收集這些數據的人,可能使用了名為「infostealer」的惡意軟體程式來編制這份名單,也可能透過未經授權的交易或身分盜竊來進行詐欺,從而獲取金錢、個人醫療紀錄、財物文件等等。弗勒建議,使用者應該定期檢查個人帳戶的安全性,啟用雙重驗證,並刪除電子郵件內存放的敏感文件,降低個資外洩的風險。
Gmail用戶注意! Google警告收到「這封信」別點:應立即刪除
Google近日對全球近20億Gmail用戶發出警告,若收到來自「no-reply@accounts.google.com」的電子郵件,千萬不要點擊內容的連結,建議立即刪除。Google表示,這類信件會假裝成Google官方通知,聲稱用戶的Google帳戶遭執法部門傳喚,誘騙用戶點擊連結,藉此竊取個資或信用卡資料,散播惡意軟體。根據《每日郵報》報導,這類新型詐騙被稱作「無回覆」電子郵件攻擊,受害者會收到來自no-reply@accounts.google.com的假官方信件,內容聲稱Google已遭到執法部門傳喚,要求用戶公開帳戶中的所有資料。軟體開發者強森(Nick Johnson)指出,這種電子郵件詐騙利用Google系統漏洞,透過一種名為Google OAuth的工具,讓第三方應用程式在獲得用戶授權後存取Google帳戶。詐騙集團會先建立一個與Google相似的假網站,並在網站上設立電子郵件帳戶,再向Google註冊一個假的應用程式,寄送詐騙信件。當用戶點進信件中的連結後,會被導向一個看起來像Google的登入頁面,一旦登入授權,詐騙者就可以存取帳戶內容,竊取用戶的個資。網路安全公司卡巴斯基(Kaspersky)表示,這類信件的寄件人信箱多以「me」開頭,像是「me@googl-mail-smtp-out-198-142-125-38-prod.net」,讓許多用戶在收件匣中看到的是「me」,容易讓人誤信郵件來自認識的人。Google提醒,若收到類似信件,應提高警覺立即刪除,不要點擊或回覆,若要查詢帳戶安全狀況,請直接在瀏覽器輸入「support.google.com」進入Google官方頁面查詢。另外,Google也建議用戶檢查帳戶安全設定,啟用通行金鑰(Passkeys),這是一種無需密碼、防網路釣魚的技術,使用儲存在使用者裝置上的加密金鑰,並以指紋、臉部掃描或PIN碼等生物識別技術,進行身份驗證。
間諜軟體「飛馬」侵害WhatsApp用戶 NSO集團判賠50億給Meta
先前曾報導過,由於以色列NSO集團(NSO Group)所開發的間諜軟體「Pegasus(飛馬)」竊取超過1,400名WhatsApp用戶的資料,之後被Meta於2019年一狀告上法院。而目前有消息指稱,美國加州聯邦陪審團於6日裁定,以色列間諜軟體開發商NSO集團須向Meta公司賠償高達1億6,725萬美元(折合新台幣約50億元)。根據《The Verge》報導指出,Meta之所以在2019年對NSO集團正式提出訴訟,主要是加拿大多倫多大學公民實驗室(Citizen Lab)揭露的一項重大漏洞。該漏洞允許攻擊者透過一通WhatsApp電話,不論用戶是否接聽,即可遠端安裝Pegasus間諜軟體。安裝成功後,Pegasus可啟動受害者裝置的相機與麥克風,讀取電子郵件、簡訊,並追蹤定位資訊。遭受攻擊的對象包括社會運動人士、新聞記者與多國外交官。在本次裁決中,陪審團除了裁定NSO需支付高額懲罰性賠償,也判令其支付444,719美元作為補償性損害賠償。Meta隨後發表聲明,形容這次判決不僅是隱私與網路安全領域的一大里程碑,也是首次針對開發非法間諜軟體的企業成功勝訴。Meta強調,NSO集團作為一間臭名昭著的間諜軟體供應商,該判決不僅對其構成警告,也對整個惡意軟體產業形成震攝。Meta表示,未來將尋求法院禁令,以防止NSO再次對WhatsApp發動攻擊。同時,公司也已公布在審判期間所錄製的證詞非正式逐字稿,並承諾將向數位權利組織捐款,用以保護用戶免受間諜軟體威脅。NSO集團發言人拉尼爾(Gil Lainer)表示,公司將仔細檢視此次判決的細節,並考慮採取後續法律行動,包括提出上訴與其他救濟程序。報導中也提到,過去NSO也曾因使用iOS漏洞針對iPhone用戶而遭蘋果提告。
手機廣告跳不停 專家警告「4圖案」APP別下載…最慘得恢復原廠設定
使用手機要注意,一個不小心可能中毒。有用戶求助,家裡長輩的手機運行速度變慢,還會不停跳出廣告,完全無法解決。對此,專家就提醒,有4個圖案的應用程式「千萬別點」,否則會沒完沒了,最嚴重可能資料整個不見。民眾在使用手機玩遊戲,或是看網頁的時候,有時會跳出廣告,通知「垃圾過多」、「要不要還原舊照片」、「手機空間不足」等,要是不知情的人,可能就會按下去,不過這些其實是偽裝成APP的惡意軟體。臉書專頁「遠傳內壢中華直營門市」提醒,家中叔叔、阿姨、長輩的人,可能手機一直響不停,不斷出現廣告,像是「歐拉手機管家 - 清理垃圾、病毒查殺、應用程式管理」、「CCleaner-清理工具」、「單鍵清除專家」、「更清潔的防病毒 VPN Cleaner Antivirus」、「清理手機、緩存和垃圾-增強器-優化器」、「手機清理-AI Cleaner」等APP。專家提醒,看到相關的廣告不要亂點。(圖/翻攝自遠傳內壢中華直營門市臉書)其實,這些都是廣告,火箭、掃把、垃圾桶、盾牌圖案都不要點,按下去就會沒完沒了,最壞的情況必須恢復原廠設定才能解決,也代表手機內的資料全部會不見。據了解,手機若下載到惡意程式APP,不但可能中毒,還可能被竊取個資。可以進入「設定」找到「應用程式」,刪除來路不明的APP;假如刪除之後還是沒有解決,建議恢復原廠設定。
別在機場充電手機!專家點出「3風險」警告資料外洩
現代人手機沉癮,除了行動電源外,許多人出國前會帶著充電器,在登機前把握時間充電,但在機場充電存在安全性方面的問題。一位安全專家警告遊客不要在機場充電手機,並點出3個具體風險。2024年聯邦調查局(FBI)網站上也警告:「避免使用機場、酒店或購物中心的免費充電站。」雖然機場這些充電站簡單易用,但插頭轉接器製造商SIGNAL + POWER的杰羅(Jae Ro)警告說:「這種便利性伴隨著巨大的安全風險。」並列出以下3點風險。被安裝惡意軟體杰羅說:「這些連接埠可能會被篡改,從而在你的設備上安裝惡意軟體。這種惡意軟體可以潛伏而不被發現,悄悄竊取密碼和銀行詳細信息等敏感信息。」充電陷阱駭客使用的一種被稱為「juice jacking」的技術,這涉及透過損壞的USB連接埠安裝的惡意軟體,它會鎖定您的設備,甚至將您的所有個人資料和密碼直接匯出給犯罪者。智慧型手機上的電源和資料流透過同一根電纜傳輸,這使得駭客能夠控制您的個人資訊。資料外洩杰羅表示「充電站可以同時傳輸數據和電力。雖然手機會提示用戶在『僅充電』和『傳輸檔案』模式之間進行選擇,但這種保護通常會被充電站繞過。」因此,您的設備可能容易受到資料攔截或利用。這些被盜資料隨後可能被用於身分盜竊或在暗網上出售。
河南男接電話嗆「不用妳管」慘被騙32萬 妻放話離婚:這些年受夠了
受夠了!中國河南省開封市一名馬姓男子,接到自稱「客服」的電話,告知其註冊了直播帶貨,每個月扣款800元人民幣(約3500元新台幣),若想取消就要下載APP,並提供個人資料,結果損失32萬人民幣(約143萬新台幣),氣得妻子要離婚。根據《小莉幫忙》報導,馬男接到一通陌生來電,對方自稱是客服中心,謊稱他註冊了直播帶貨會員,每月要扣款800元人民幣,若想要取消,就要下載APP,但其實是惡意軟體。此外,也須提供身分證、金融卡密碼、人臉識別等資訊。馬男接到自稱是客服的電話,結果是詐騙。(圖/翻攝自微博)期間,妻子發現手機螢幕變黑,懷疑可能受騙,但馬男激動回嗆:「不用妳管!」堅持繼續操作,結果3張金融卡被轉空,損失32萬人民幣。由於這筆錢是夫妻多年的積蓄,原本是兒子結婚的費用,妻子痛罵丈夫:「一輩子大事不商量」,家中連台像樣的冰箱都沒買,更堅決若錢款無法討回,一定會離婚,「跟你那日子,這些年我過夠了!」妻子態度堅決。(圖/翻攝自微博)目前警方已經立案調查,但追回資金難度較大。類似案件中,詐騙資金常被迅速轉到境外,因此追查難度高。此案凸顯電信詐騙對普通家庭的毀滅性打擊,也引發對中老年人反詐騙宣導教育不足的反思。消息一出,引發網友討論,「好多人沒這方面意識,最好手機不要綁卡」、「這個男人警惕性太低」、「離吧,不離會短命的」、「別想著追回來了,不可能的」、「不聽老婆言,吃虧在眼前」。
手機使用多久時間該關機?專家給答案 否則資料被看光
現代社會下民眾大多手機不離身,甚至24個小時全天不關機,長久以往恐怕裝置裡的資料都會被看光!美國國家安全局(NSA)給出建議,手機應該每個星期關機一次,不僅能清除系統垃圾和關閉未使用的應用程式,更能降低駭客攻擊,讓個資免遭竊取。美國國家安全局在2024年發布一份行動裝置最佳實踐安全指南,民眾不論是使用iPhone或Android系統的手機,都應該養成每個星期關機一次,並重新啟動手機,這樣能夠清理系統內暫存的垃圾,及關閉長時間開啟但未使用的應用程式,進而提高手機效能。最重要的一點,美國國家安全局表示,還能夠有效降低「零點擊攻擊」(Zero-Click Exploit)的風險,這類攻擊不須使用者點擊惡意連結或下載可疑檔案,駭客就能從手機漏洞入侵裝置,竊取個資、通訊內容等,甚至是遠端操空手機,故定期關機是阻斷這類攻擊的方式之一。不只養成定期關機的習慣,美國國家安全局也指出,使用者定期更新手機作業系統,讓手機使用起來會順暢。而藍芽和Wi-Fi在不使用情況下應關閉,尤其是Wi-Fi,應定期刪除不再使用的網路連線,防止駭客透過未受保護的網路進行攻擊。除此之外,也進一步提醒在公共場所提供的USB充電站,可能潛藏風險,駭客可以利用這些充電點竊取使用者個資,或是植入惡意軟體,建議使用者有需要時用個人行動電源為佳。美國國家安全局呼籲,科技發達的社會下,駭客攻擊技術也日新月異,手機安全防護就顯得格外重要,養成正確的資安習慣,才能有效保護個資不外洩。
小心!財政部揭最新詐騙手法 第一時間先確認「它」
近日有公司收到假冒財政部名義寄發的詐騙郵件,信件內含不實資訊,並誘導收件人點擊假連結、進入假網站。財政部已透過官方社群平台發出警示,提醒民眾提高警覺,避免受騙。財政部指出,該詐騙郵件內容援引近期財政部公告的《適用所得稅協定查核準則》第34條修正草案,卻竄改聯絡資訊,意圖營造可信度,進一步誘使收件人點擊不明連結或下載附件。從財政部公布的範例來看,這類詐騙郵件的寄件人地址並非官方信箱,真正的政府機關電子郵件地址應以「.gov.tw」結尾。財政部再次呼籲,若收到來自政府機關的電子郵件,應先確認寄件人地址是否為「.gov.tw」。(圖/翻攝自財政部臉書)此外,信中所提供的聯絡電話、傳真及電子郵件均為偽造,且結尾通常附有「點擊下載附件申報」的連結,極可能含有惡意軟體或詐騙手法,民眾切勿點擊,也不要輸入任何個人資料。財政部再次呼籲,若收到來自政府機關的電子郵件,應先確認寄件人地址是否為「.gov.tw」,如有疑慮,可撥打165反詐騙專線查證。如需租稅協定相關諮詢,也可直接聯繫財政部官方電話,確保資訊來源的真實性。
FBI嚴正示警!300家關鍵基礎設施機構遭駭 這款勒索病毒曾害學校洩漏數十萬份個資
美國聯邦調查局(FBI)與美國網路安全與基礎設施安全局(CISA)近日對一款名為Medusa的勒索軟體發出警告,這款「勒索軟體即服務」(RaaS)自2021年起便持續攻擊各大機構,近期受害者人數更大幅上升。根據CISA報告,Medusa主要透過網路釣魚手法竊取受害者憑證,並利用漏洞滲透企業與政府機構系統,攻擊對象涵蓋醫療、教育、法律、保險、科技與製造業等產業。 先前也曾害一間學校因此洩漏數十萬份學生敏感個資。綜合外媒報導指出,Medusa採用雙重勒索模式(double extortion model),在加密受害者數據後,威脅若不支付贖金,將公開洩漏這些資料。該組織設有資料洩漏網站,會列出被攻擊的受害機構,並附上倒數計時器,顯示何時將公開資料。受害者可以支付1萬美元的加密貨幣來延長倒數計時一天,若未支付贖金,數據則可能被販售給第三方。CISA指出,自今年2月以來,Medusa已攻擊超過300家關鍵基礎設施機構,其中包括政府機構、金融企業與教育機構等。該組織的附屬駭客利用CVE-2024-1709(影響遠端存取工具ScreenConnect的漏洞)與CVE-2023-48788(影響Fortinet安全產品漏洞)來發動攻擊,滲透系統後再展開勒索行動。 與部分單獨運作的駭客組織不同,Medusa採用附屬模式(affiliate model),也就是開發者負責管理勒索談判,而實際執行入侵的則是透過網路犯罪市場招募來的駭客,這些駭客可以獲得100至100萬美元不等的報酬,甚至有機會成為Medusa的獨家合作夥伴。 當受害者的系統被感染後,Medusa會要求受害者在48小時內回應,若無回應,駭客將直接透過電話或電子郵件聯繫對方,並進一步威脅公開資料。FBI的調查顯示,一些支付贖金的受害者甚至會再次遭到Medusa成員勒索,對方聲稱「原先的談判代表竊取了贖金」,並要求受害者再支付一半的款項才能取得真正的解密工具,這代表著該組織可能正在實施「三重勒索模式(triple extortion)」。Medusa最廣為人知的攻擊案例發生於2023年,當時該組織入侵明尼阿波利斯公立學校(Minneapolis Public Schools),導致數十萬份學生資料外洩,影響超過10萬人。此外,該組織的攻擊對象遍及全球,包括太平洋島國東加(Tonga)、法國市政府機構、菲律賓政府機構,甚至一家由加拿大兩大銀行聯合創立的科技公司也在其中。過去美國伊利諾州(Illinois)與德州(Texas)的政府機構也曾遭受攻擊,而最近 Medusa宣稱入侵了科羅拉多州奧羅拉市(Aurora, Colorado)政府單位,但當地官員否認了這一說法。 FBI強調,Medusa與MedusaLocker及Medusa移動惡意軟體變種無關,這是一個獨立的勒索軟體組織。Medusa最初是一個由駭客與開發者組成的封閉團隊,但隨著其運營規模擴大,開始以附屬模式招募更多駭客,透過網路犯罪論壇與黑市尋找有能力的駭客來幫助入侵系統,然後再由核心成員進行勒索談判與資金管理。 CISA表示,Medusa目前仍在持續擴展攻擊範圍,各機構應提高警覺,並採取有效的資安防禦策略,包括定期更新系統、採用強密碼、啟用多重身份驗證,並加強員工對網路釣魚攻擊的防範意識。此外,政府機構與企業應定期備份重要數據,確保即使遭受攻擊,仍能透過備份還原系統,避免支付贖金。