網路釣魚
」 駭客 詐騙 攻擊 Google 密碼
假冒蘋果行事曆邀請 隱蔽釣魚攻擊瞄準18億iPhone用戶銀行帳號
全球約18億名iPhone用戶近日接獲警告,一種偽裝成蘋果(Apple)行事曆邀請的新型詐騙正在快速蔓延。由於詐騙訊息透過蘋果官方伺服器發送,難以被垃圾郵件過濾器攔截,更顯隱蔽。根據《unilad》報導,這類詐騙常以「購買通知」為包裝,內容顯示一筆虛構的PayPal付款紀錄,例如「您的PayPal帳戶已被扣款599.00美元」,並附上所謂的客服電話。受害者若回撥,將落入「回撥式網路釣魚」陷阱,對方假扮客服人員,進一步要求下載惡意軟體,以竊取銀行帳號與憑證。資安平台Bleeping Computer揭露,詐騙者會在iCloud行事曆邀請的備註欄中植入釣魚訊息,並同時邀請由他們掌控的Microsoft 365信箱,以規避偵測。由於郵件確實經過蘋果伺服器傳送,看似合法,傳統防護機制更難分辨。CyberSmart執行長阿克塔爾(Jamie Akhtar)直言,來源經過驗證往往使收件人更容易上當。資安顧問賈馬利克(Javvad Malik)提醒,使用者必須對所有郵件與行事曆邀請保持懷疑。他建議檢視三個問題:這是否在預期之內?內容是否刻意挑動情緒?是否設下急迫時限要求立刻行動?若答案為「是」,就應立即停下,並透過官方管道自行驗證,而不是依照郵件或邀請中的指示操作。專家指出,詐騙手法正在進化,從過去容易識別的拼字錯誤或可疑郵件地址,逐漸轉向利用正規伺服器偽裝,讓過濾器與使用者更難察覺異常。蘋果也已確認相關情況,並強調切勿隨意點擊或回撥詐騙邀請中的電話號碼,以避免落入陷阱。
LV急發簡訊「客戶個資外洩」提醒加強警覺預防詐騙 遭駭項目全曝光
路易威登(Louis Vuitton)今天緊急以手機簡訊通知客戶,告知客戶個資已於7月2日遭駭外洩,提醒近日要提高警覺,小心網路釣魚、企圖詐騙或未經授權使用資訊等危險,LV表示目前已盡全力搶救與維護客戶個資,以防日後再次發生類似事件。LV在這封簡訊中坦承近日電腦系統遭駭,部分客戶的個資遭竊,包括名字、姓氏、性別、國家、電話號碼、電子郵件地址、郵寄地址、出生日期、購買、偏好資料和護照號碼(不包括護照影本), 幸好客戶的密碼或財務資訊,例如信用卡資訊、銀行資料或其他金融帳戶資訊並未外洩,為此LV除了通報相關主管機關,且已聘請資安領域的專家強化系統防護。LV建議客戶近日要特別小心任何未經請求的聯絡或其他可疑訊息,包括電子郵件、電話或簡訊等,以提防網路釣魚或詐騙,且不要向任何人透露LV帳戶密碼。
資安研究團隊曝自年初已有160億筆帳密外洩 蘋果、Google、臉書都遭殃
資安研究團隊Cybernews近日透露1則令人擔憂的消息,自2025年初以來,全球共有高達160億筆帳號密碼外洩,其中包括蘋果、Google、臉書等,甚至連政府入口網站都無法倖免。對此專家也建議,民眾除了立即更換帳號密碼外,也要避免在不同平台使用重複的密碼,來路不明的訊息與信件連結,也勿隨意點擊,以免造成重要資料外洩。根據外媒報導,資安研究團隊Cybernews從2025年初開始監控網路環境,至今發現30組外洩資料集,每組包含數千萬到35億筆帳號密碼,總計高達160億筆資料外洩,與先前遭駭客攻擊後外洩的資料不同,資安研究團隊警告,這些外洩的帳號密碼「是全新的、可大規模武器化的情報。」Cybernews指出,這些外洩的帳密包含蘋果、臉書、Google,甚至是政府單位的入口網站,這些帳密多半來自資訊竊取型惡意程式,其中最大的1組資料,疑似來自葡語地區,用戶數量十分驚人。Desired Effect執行長、前美國國家安全局網路安全專家伊凡(Evan Dornbush)指出「無論你的密碼有多長多複雜,只要駭客攻破儲存密碼的資料庫,他們就能掌握密碼。」Approov副總裁喬治(George McGregor)也將這種大規模資料外洩形容成第1張多米諾骨牌「將引發一系列潛在的網路攻擊」。同時資安專家也建議一般民眾立即採取行動,更換重要帳號的密碼,除了設定為高強度密碼外,也應避免在不同平台使用重複的密碼;此外,資安專家也建議民眾使用密碼管理工具並開啟雙重驗證,切勿忽視網路釣魚的不明訊息與連結,並定期檢查電腦與手機是否感染惡意程式。
2025年上半年加密貨幣遭盜630億 23起錢包入侵損失16億美元佔大宗
隨著加密貨幣的興起,不少網路駭客也紛紛將目標放在用戶的加密貨幣錢包上。根據Web3資安公司CertiK的報告指出,2025年截至目前,加密貨幣領域遭遇的攻擊損失已突破21億美元(折合新台幣約630億元)。其中主要損失集中在錢包遭入侵,損失金額高達16億美元(折合新台幣約479億元),遠遠超過其他形式的攻擊。根據《cryptopotato》報導指出,透過報告中可以明顯得知,駭客的目標重心已經從傳統的智慧合約漏洞,轉向透過社交工程直接竊取其數位資產,顯示這類個人化攻擊日益嚴重。報告中明確指出,截至目前共通報23起錢包遭入侵事件,造成高達16億美元的損失,是2025年迄今最具破壞力的攻擊類型。相較之下,雖然網路釣魚事件數量最多,高達114起,但總損失為約4億零150萬美元;而程式碼漏洞事件達100起,損失金額約為2億8千160萬美元,顯示儘管這些攻擊較為頻繁,但財務衝擊並未如錢包被駭來得巨大。其他如存取控制問題雖然出現19次,造成損失為1千410萬美元,但整體數額相對較低。而資金詐騙(exit scams),雖然在業界廣為人知且執法困難,但僅記錄9起事件,損失為160萬美元。價格操縱事件則有15起,損失共計810萬美元。進一步看,單是在5月,加密產業就因為駭客攻擊與詐騙手法損失了1億4010萬美元。這項統計是扣除成功凍結的1億6200萬美元資產後的實際淨損數據。5月最重大的一起事件就是基於Sui區塊鏈的去中心化交易所Cetus遭駭,此事件便造成2億2500萬美元的損失,凸顯即使在新興平台中,安全性仍是致命關鍵。單看5月的話,攻擊手法仍以程式碼漏洞與網路釣魚為主,造成約2億3千萬與4千760萬美元的損失,同時也有約850萬美元的損失來自針對錢包的直接攻擊。雖然錢包攻擊在數量上不及釣魚詐騙,但錢包遭入侵的平均損失金額極高,這意味著攻擊者愈來愈善於定位高價值錢包,進行高效率的目標性竊取。報導中也提到,這些統計有個很明顯地趨勢,就是發動攻擊的駭客已經傾向精準鎖定高資產目標進行攻擊,而非追求高頻率的攻擊來獲取低價的獲利。
卡巴斯基10年前就抓到 神秘駭客組織「Careto」竟直屬「西班牙政府」
多位前卡巴斯基(Kaspersky)研究人員表示,2014年就被發現的神祕駭客組織Careto,其背後操控者極可能正是西班牙政府。根據《TechCrunch》報導指出,Careto,又被稱為「The Mask」,是一個使用高度隱匿技術的駭客團隊,最初是卡巴斯基在調查一名古巴政府職員電腦遭駭時,發現Careto的蹤跡。Careto透過魚叉式網路釣魚攻擊、惡意連結與多平台感染手法,成功滲透了全球31個國家的政府機構、外交單位、能源企業與研究組織。Careto甚至能在不讓Windows顯示麥克風啟用圖示的情況下,偷偷竊聽、擷取用戶檔案,並蒐集加密憑證、瀏覽紀錄與Session Cookie等敏感資料。除此之外,Careto能入侵Windows、Mac、Linux系統,甚至有跡象顯示,Careto可能也能攻擊iOS與Android裝置,這已經與現今政府高階駭客間諜工具如出一轍。卡巴斯基研究人員起初認為這是某個既有政府支持的攻擊團體,直到深入分析後,研究人員才發現,Careto是前所未見、技術極為高超的新型駭客行動。由於惡意程式中藏有西班牙俚語字串「Caguen1aMar」,研究團隊便以「Careto」命名,該詞在西語中意指「醜臉」或「面具」。雖然Careto自2014年由防毒公司卡巴斯基首次揭露以來,其幕後主使一直都未被點名曝光。但多位當年參與調查的卡巴斯基前員工,近期向《TechCrunch》表示,該組織其實是由西班牙政府操控。這項說法顛覆長年來對Careto只是某個匿名西語駭客團體的印象。根據當年參與調查的卡巴斯基員工回憶,他們發現古巴是被攻擊最嚴重的國家之一,且所有攻擊來自同一組織。研究人員認為,Careto選擇鎖定古巴,可能與當時數名西班牙恐怖組織巴斯克祖國與自由(ETA)成員長期滯留該國有關。不僅古巴,後續包括摩洛哥、巴西、西班牙、直布羅陀、英國與阿爾及利亞等多國政府與企業皆為攻擊目標。卡巴斯基更在惡意碼中發現疑似來自西班牙的文化元素,如常見罵語與包含公牛、紅黃國旗色彩的插圖,種種線索指向西班牙官方的可能性極高。當時卡巴斯基內部私下已高度懷疑Careto由西班牙政府操控,但因公司採取「不歸因」政策,未對外點名。研究人員表示,他們雖未對媒體揭露,卻無人對此結論提出異議。西班牙國防部與卡巴斯基目前皆對此不予評論。報導中提到,Careto在2014年被曝光後便迅速潛伏,清除相關行蹤。但卡巴斯基在2024年表示再度發現Careto的活動蹤跡,入侵目標包括拉丁美洲與中非的組織。研究顯示,這些新攻擊與十年前Careto使用的技術與手法極為相似。在新一波攻擊中,Careto的惡意程式可悄悄啟動麥克風,竊取資料與Cookie紀錄,亦可在不驚動使用者的情況下持續監控裝置。儘管卡巴斯基研究員無法從技術層面確定幕後主使,但他們指出Careto的攻擊架構與手法精密程度超過許多知名APT組織。根據《TechCrunch》報導內容指出,目前卡巴斯基內部確認,Careto是由西班牙政府主導的行動。如情況屬實,Careto就會被認為是西方國家少數已知、曾公開曝光的駭客組織之一,與美國國安局的Equation Group、CIA支持的Lamberts,以及法國DGSE主導的Animal Farm齊名。
Gmail用戶注意! Google警告收到「這封信」別點:應立即刪除
Google近日對全球近20億Gmail用戶發出警告,若收到來自「no-reply@accounts.google.com」的電子郵件,千萬不要點擊內容的連結,建議立即刪除。Google表示,這類信件會假裝成Google官方通知,聲稱用戶的Google帳戶遭執法部門傳喚,誘騙用戶點擊連結,藉此竊取個資或信用卡資料,散播惡意軟體。根據《每日郵報》報導,這類新型詐騙被稱作「無回覆」電子郵件攻擊,受害者會收到來自no-reply@accounts.google.com的假官方信件,內容聲稱Google已遭到執法部門傳喚,要求用戶公開帳戶中的所有資料。軟體開發者強森(Nick Johnson)指出,這種電子郵件詐騙利用Google系統漏洞,透過一種名為Google OAuth的工具,讓第三方應用程式在獲得用戶授權後存取Google帳戶。詐騙集團會先建立一個與Google相似的假網站,並在網站上設立電子郵件帳戶,再向Google註冊一個假的應用程式,寄送詐騙信件。當用戶點進信件中的連結後,會被導向一個看起來像Google的登入頁面,一旦登入授權,詐騙者就可以存取帳戶內容,竊取用戶的個資。網路安全公司卡巴斯基(Kaspersky)表示,這類信件的寄件人信箱多以「me」開頭,像是「me@googl-mail-smtp-out-198-142-125-38-prod.net」,讓許多用戶在收件匣中看到的是「me」,容易讓人誤信郵件來自認識的人。Google提醒,若收到類似信件,應提高警覺立即刪除,不要點擊或回覆,若要查詢帳戶安全狀況,請直接在瀏覽器輸入「support.google.com」進入Google官方頁面查詢。另外,Google也建議用戶檢查帳戶安全設定,啟用通行金鑰(Passkeys),這是一種無需密碼、防網路釣魚的技術,使用儲存在使用者裝置上的加密金鑰,並以指紋、臉部掃描或PIN碼等生物識別技術,進行身份驗證。
駭客發動「高階」網路釣魚攻擊 Google急對18億Gamil用戶發警告
針對近期一起涉及18億名Gmail用戶的「高階」網路釣魚攻擊事件,Google緊急發出安全警告,提醒全球用戶提高防備。這場攻擊的揭露者是加密貨幣平台以太坊(Ethereum)的開發人員強森(Nick Johnson),他於4月16日在X平台上公開說明整起過程,表示攻擊者利用了Google基礎設施中的一項漏洞,且Google至今仍未修補,恐將導致類似事件更加頻繁。根據《每日郵報》報導指出,強森收到一封看似來自Google的電子郵件,內容稱其帳號遭傳票調查,需交出存取權限。該信不但使用了合法的Google地址發送,還通過了DKIM簽章驗證,這代表該郵件在傳送過程中未被竄改。更具欺騙性的是,這封信被歸類於與Google其他安全警示相同的對話串中,使得Gmail用戶難以察覺異常。唯一可疑之處,是該釣魚連結實際架設在sites.google.com,而非正牌的accounts.google.com。當強森點擊後,進入一個看似Google「支援入口」的頁面,點選「上傳更多文件」或「查看案件」後,都會被導向與Google官方頁面幾可亂真的登入頁,要求他輸入帳號密碼。強森警告,若不慎輸入憑證,駭客即可藉此入侵帳號,他本人則在發現異常後立刻中止操作。Google後續對此事件進行回應,證實這起來自特定威脅行為者攻擊行為的存在,並已啟動封鎖措施。Google發言人表示,Google鼓勵用戶啟用雙重驗證與通行密鑰(passkeys)來提高防禦。Google也重申,官方絕不會主動要求用戶提供密碼、一次性驗證碼或確認推播等帳號憑證,更不會打電話要求提供此類資訊。這次攻擊的詐騙策略之一,是利用Google Sites製作釣魚網站,假冒官方頁面來取得信任。強森表示,許多用戶只要看到網址中含有「google.com」就會誤以為安全,進而上當。強森也警告,若使用者僅以密碼登入Gmail帳號,遭竊後幾乎無任何保護機制能阻止駭客入侵。駭客甚至能利用自己的裝置產生雙重驗證碼,繞過安全措施。相較之下,通行密鑰則具備裝置綁定機制,無法被駭客遠端使用。Google也補充表示,近期已更新教育資源,說明如何辨識詐騙郵件,並強調即便官方會以電子郵件與用戶聯繫,也絕不會要求透過連結更新帳號或付款資訊。多數詐騙郵件會以通用稱呼開頭,並製造緊急情境,引導用戶點擊連結提供資料。此外,由於這類詐騙常假冒司法或政府機關的傳票,Google在其《隱私權與條款》頁面中也特別說明,若真收到來自政府的要求,公司會先發信通知使用者或其帳號管理員,除非法律明令禁止;一旦禁令解除,Google會補發通知。因此,若收到要求提供個資或帳號資訊的電郵,用戶應避免直接點擊郵件內連結,而是手動開啟新瀏覽器輸入網址以驗證真偽。Google再次提醒「每當網站要求你提供個人資訊時,請提高警覺。我們從不主動要求密碼或其他帳號資訊。」
FBI嚴正示警!300家關鍵基礎設施機構遭駭 這款勒索病毒曾害學校洩漏數十萬份個資
美國聯邦調查局(FBI)與美國網路安全與基礎設施安全局(CISA)近日對一款名為Medusa的勒索軟體發出警告,這款「勒索軟體即服務」(RaaS)自2021年起便持續攻擊各大機構,近期受害者人數更大幅上升。根據CISA報告,Medusa主要透過網路釣魚手法竊取受害者憑證,並利用漏洞滲透企業與政府機構系統,攻擊對象涵蓋醫療、教育、法律、保險、科技與製造業等產業。 先前也曾害一間學校因此洩漏數十萬份學生敏感個資。綜合外媒報導指出,Medusa採用雙重勒索模式(double extortion model),在加密受害者數據後,威脅若不支付贖金,將公開洩漏這些資料。該組織設有資料洩漏網站,會列出被攻擊的受害機構,並附上倒數計時器,顯示何時將公開資料。受害者可以支付1萬美元的加密貨幣來延長倒數計時一天,若未支付贖金,數據則可能被販售給第三方。CISA指出,自今年2月以來,Medusa已攻擊超過300家關鍵基礎設施機構,其中包括政府機構、金融企業與教育機構等。該組織的附屬駭客利用CVE-2024-1709(影響遠端存取工具ScreenConnect的漏洞)與CVE-2023-48788(影響Fortinet安全產品漏洞)來發動攻擊,滲透系統後再展開勒索行動。 與部分單獨運作的駭客組織不同,Medusa採用附屬模式(affiliate model),也就是開發者負責管理勒索談判,而實際執行入侵的則是透過網路犯罪市場招募來的駭客,這些駭客可以獲得100至100萬美元不等的報酬,甚至有機會成為Medusa的獨家合作夥伴。 當受害者的系統被感染後,Medusa會要求受害者在48小時內回應,若無回應,駭客將直接透過電話或電子郵件聯繫對方,並進一步威脅公開資料。FBI的調查顯示,一些支付贖金的受害者甚至會再次遭到Medusa成員勒索,對方聲稱「原先的談判代表竊取了贖金」,並要求受害者再支付一半的款項才能取得真正的解密工具,這代表著該組織可能正在實施「三重勒索模式(triple extortion)」。Medusa最廣為人知的攻擊案例發生於2023年,當時該組織入侵明尼阿波利斯公立學校(Minneapolis Public Schools),導致數十萬份學生資料外洩,影響超過10萬人。此外,該組織的攻擊對象遍及全球,包括太平洋島國東加(Tonga)、法國市政府機構、菲律賓政府機構,甚至一家由加拿大兩大銀行聯合創立的科技公司也在其中。過去美國伊利諾州(Illinois)與德州(Texas)的政府機構也曾遭受攻擊,而最近 Medusa宣稱入侵了科羅拉多州奧羅拉市(Aurora, Colorado)政府單位,但當地官員否認了這一說法。 FBI強調,Medusa與MedusaLocker及Medusa移動惡意軟體變種無關,這是一個獨立的勒索軟體組織。Medusa最初是一個由駭客與開發者組成的封閉團隊,但隨著其運營規模擴大,開始以附屬模式招募更多駭客,透過網路犯罪論壇與黑市尋找有能力的駭客來幫助入侵系統,然後再由核心成員進行勒索談判與資金管理。 CISA表示,Medusa目前仍在持續擴展攻擊範圍,各機構應提高警覺,並採取有效的資安防禦策略,包括定期更新系統、採用強密碼、啟用多重身份驗證,並加強員工對網路釣魚攻擊的防範意識。此外,政府機構與企業應定期備份重要數據,確保即使遭受攻擊,仍能透過備份還原系統,避免支付贖金。
簡訊驗證碼安全隱患多 Google證實將以QR Code逐步取代
手機簡訊驗證碼存在許多瑕疵,例如容易被駭客釣魚攻擊、用戶可能無法隨時使用設備收取驗證碼。Google近日也證實,Gmail身分驗證方式將逐步捨棄簡訊驗證,改以QR Code進行身分驗證,如此便能提升帳戶安全性,也能減少對電信業者的依賴。根據《富比士》(Forbes)報導,以簡訊取得安全碼進行身分驗證,並不是1個理想的選擇。Gmail發言人羅斯(Ross Richendrfer)就指出,簡訊驗證碼存在許多安全隱患,包括容易被駭客釣魚攻擊、若駭客從電信業者端取得用戶電話號碼,便能一同取得簡訊驗證碼等等,且用戶可能無法隨時使用裝置收取驗證碼,大大影響了便利性。目前Google使用簡訊驗證的主要目的有2個,一是確保用戶與先前的使用者始終是同一人,再者是為了防止不肖人士大量創建Gmail帳號,發送垃圾郵件與散播惡意訊息。不過近年來使用驗證碼程式(Authenticator Apps),或是使用無需應用程式的雙重驗證(2FA),已取代簡訊驗證成為主流,Gmail發言人羅斯表示,以QR Code進行身分驗證的時代即將來臨,未來會逐步捨棄簡訊驗證,以減少全球簡訊濫用的影響。Google認為使用QR Code驗證有兩大好處,一是降低網路釣魚的攻擊綠,二是減少對電新業者的依賴,雖然目前Google還未透露新驗證方式上路的具體時間,不過羅斯表示「簡訊驗證對用戶而言存在高風險,我們很高興能推出新的驗證方式,提升安全性。」
Gmail用戶小心了!假期前將迎詐騙高峰 Google警告:3大釣魚郵件要注意
2024年即將進入尾聲,Google日前對旗下的電子郵件服務Gmail用戶發出警告,為了迎接假期,大約有上億人會在線上預訂酒店或航班、購買禮物、向朋友和家人發送訊息等等,此時詐騙份子就可能透過Gmail攻擊用戶,利用網路釣魚、垃圾郵件和惡意軟體騙走用戶的金錢。根據《The Financial Express》等外媒報導,Google指出,自11月以來,電子郵件的流量大幅增加,網路攻擊的程度更使「保護收件箱變得比平時更具挑戰性」。Google表示,儘管Gmail的保護功能已阻擋99.9%的威脅,像是垃圾郵件、網路釣魚和惡意軟體等等,但也呼籲用戶不該放鬆警惕,「我們對這一進展感到相當高興,但預計會在假期時看到第2波攻擊,係因攻擊者會調整策略並嘗試新方法」。Google接著說到,據相關統計結果顯示,今(2024)年的網路釣魚攻擊數量比起去年減少了35%,今年Google也結合AI技術,成功提高Gmail對網路詐騙郵件的識別能力。對此,Google還揭露了3種常見的的詐騙郵件,提醒用戶要特別注意:1、發票詐騙詐騙者會發送偽造的發票郵件給用戶,這些郵件中通常包含1組電話號碼,當消費者撥打電話後,詐騙者會聲稱用戶有款項拖欠,說服對方給錢。2、名人詐騙詐騙者會冒充是名人本人發出郵件,或聲稱某名人推薦某個特定產品、分享優惠,然後利用名人來建立信任,並用看似「好到不像真的」的伎倆,來誘騙用戶投資或購買產品。3、勒索詐騙在這類詐騙中,受害者通常會突然收到1封電子郵件,其中包含了他們家庭住址或照片,並威脅如果不給錢就會上門進行破壞,或是將個人數據洩漏到網絡上。另外,Google也建議,若想要避免陷入騙局,應該避免打開使用「緊急、未授權、不要錯過機會」等詞彙的郵件,接著將可疑郵件標記為垃圾郵件,並將其檢舉。此外,也可以新增Gmail雙重認證,能夠增加額外的安全保護。
詐騙新手法!加密貨幣交易商轉錯帳號 97%比特幣遭詐「損失21億」
據了解,美國近期出現針對加密貨幣交易商的詐騙手法,一名交易商因此轉錯帳號,讓旗下97%比特幣進入到詐騙集團手中,損失金額高達6800萬美元(折合新台幣約21億元)。根據《Business Insider》報導指出,這次交易商遭詐的手法是「位址汙染(address poisoning)」,這屬於一種網路釣魚的攻擊手法,攻擊發動者會先透過區塊練進行查詢,找尋到受害者的錢包位址,接著自己製造一個與受害者錢包位址極其接近的錢包位址。後續攻擊者會透過這個錢包位址向受害者的錢包位址發送少量的加密貨幣,以便讓自己製造出來的錢包位址能存放在受害者的交易歷史紀錄中。之後受害者只要進行轉帳之際,如果沒有特別檢查的話,就有機會將自己的加密貨幣轉到攻擊者製造出來的錢包位址中。區塊鏈安全公司CertiK也證實,目前已經有一個加密貨幣交易商因為一時不察,將價值6930萬美元的比特幣轉移到詐騙集團手中,受害者因此損失高達97%的加密貨幣資產,目前錢包餘額僅剩下價值160萬美元的加密貨幣。加密交易平台Trezor則呼籲,使用者在轉移加密貨幣之前,務必要仔細檢查每個地址,而且不要從交易歷史紀錄中複製位址,否則就有可能因此陷入「位址汙染」的騙局中。Trezor甚至認為,在進行大筆的交易之前,最好先發送小筆的加密貨幣進行測試,待確認無異後,再進行主要的交易。報導中也引述了FBI的調查報告,指稱在2023年這段時間,加密貨幣的相關詐騙案件數量明顯暴增,單是在2023年,這些詐騙手法讓投資者損失高達39.4億美元的加密貨幣,佔全年投資詐騙的75%以上。
TikTok突要用戶「提供iPhone密碼」 官方緊急回應
大陸短影音分享平台TikTok流行全球,不過近日卻發生,用戶使用APP前需輸入iPhone密碼才能查看內容,引發外界高度擔憂與質疑。對此,TikTok官方回應,系統更新時出現錯誤,該問題目前已經解決。根據《紐約郵報》報導,用戶使用APP前需輸入iPhone密碼才能查看內容的狀況最早於11月發生,到了12月,陸陸續續有越來越多用戶回報此問題。對此,TikTok官方回應,iOS密碼提示這是與美國的安全合作夥伴在推出更新後所導致的錯誤,這個問題影響了一小部分人,目前問題已解決,用戶將不會再看到密碼提示。TikTok官方強調,iPhone密碼是iOS作業系統用來幫助驗證使用者身分,不論是TikTok或是美國安全合作夥伴都無法蒐集或訪問iOS用戶的密碼。專家則警告,共享密碼幾乎總是一個壞主意,尤其是在這種情況下,因為存在明顯的安全風險,並且容易遭受網路釣魚攻擊。
歐美情報聯盟點名俄羅斯駭客組織 2成員遭美國懸賞3億…背後有俄軍情單位支持
俄羅斯一個名為「Star Blizzard」(Seaborgium、TA446、ColdRiver)的駭客組織,近日遭到歐美情報單位「五眼聯盟」點名,指稱該組織聽命於俄羅斯聯邦安全局(FSB),過去曾發動多次網路攻擊、干預選舉,美國甚至針對其中2名成員發布價值千萬美金的懸賞令。根據外媒報導指出,五眼聯盟(澳洲、加拿大、紐西蘭、英國、美國等五個國家情報單位組成的情報同盟)於7日發表聲明,其中點名俄羅斯駭客組織Star Blizzard於2019年起,就針對美國、英國、北約國家的學術界、國防、政府、政治人物進行網路釣魚攻擊。而從2022年起,攻擊範圍更擴大至國防工業,美國能源部的設施也成為該組織的攻擊目標。聲明中表示,該組織主要是透過「網路釣魚」的方式來接近目標,接著透過冒充各領域的專家,透過社群平台與目標接觸,接著趁隙發送活動邀約、會議通知等信件,最後達到攻擊的目的。除此之外,五眼聯盟的聲明中也直接表示,該組織聽命於俄羅斯的聯邦安全局(FSB),其中甚至有成員就是聯邦安全局的官員。目前美國司法部已經起訴該組織內的2名成員,分別是Aleksandrovich Peretyatko、Andrey Stanislavovich Korinets,美國政府也對兩人寄出千萬美元的懸賞金。
Booking.com官方私訊「信用卡驗證失敗」 消費者點連結進去就被盜刷受害
知名訂房網站Booking.com傳出有民眾下訂後,收到官方訊息表示信用卡驗證失敗,附上連結要求重新驗證,結果重新驗證後竟然信用卡就發生盜刷的狀況,許多人因此被盜刷了幾萬元,在網路上出現不少災情。不少人現在都會透過訂房網站訂房,不只可以比較還可以搶便宜,但就有民眾透過Booking.com的官方APP訂房,沒想到收到官方訊息表示信用卡驗證失敗,並附上網址要重新認證,若24小時沒填,訂房就會被取消。因此讓不少消費者都趕緊重新驗證,結果卻掉入詐騙集團陷阱。有多家跟booking.com合作的飯店都陸續發出公告,表示若有接獲不明訊息,要你掃碼或更換信用卡號,千萬別跟著操作,而booking.com也曾發出聲明,表示駭客透過網路釣魚郵件,入侵合作夥伴的帳戶,目前已經凍結風險帳號,透露這些飯店可能遭駭客入侵,因此只要在網站上訂房,就會收到這樣的驗證訊息。根據刑事局165統計,從2023年初到至今,Booking.com已經超過百件,Agoda也有30件,Trivago和雄獅則各有20件。另外旅遊達人就透露,若訂房網站可以選擇現場付款,就盡量現場付款刷卡就好。
不用密碼! Google推「Passkeys」登入速度快40%
Google在今年5月時推出了「Passkeys(密碼金鑰)」,該功能是一種不需要密碼的登入方式,官方宣布,未來預設的登入會改為此方式,將比傳統密碼快上40%。Google、蘋果、微軟等,透過FIDO聯盟發布,以Passkeys為新的驗證身份方式,取代數字、字母搭配的傳統密碼,改以內建指紋、臉部辨識,或是螢幕解鎖Pin碼等進行驗證,此項新方式更能避免密碼因為儲存在雲端中,而遭網路釣魚竊取。Google表示,11日開始登入Google帳號後,預設的選項都會是Passkeys,並非再需要用戶輸入密碼,且會導引用戶創建專屬的Passkeys,從簡登入流程,比起傳統輸入密碼快40%。目前已許多平台開始採用Passkeys,包含微軟、蘋果都已經支援,Google將會慢慢拓展至YouTube、Google Maps等平台,而Uber、eBay、WhatsApp將在近期加入。Google補充,新技術需要一段時間才會讓大眾習慣,因此傳統密碼登入方式仍會保留,用戶也可以在Google帳號中的「安全性」選擇關閉「僅在必要時才輸入密碼」,暫停使用Passkeys。
旅遊淪詐騙1/真假旅遊網站難辨 Booking.com遭鎖定?網友示警「要小心」
【2023 12:50新增Booking.com回應】新冠肺炎疫情過後出國潮爆炸,民眾在旅遊網或訂房網訂房、訂機票、安排行程已成主流,2019年曾被刑事局列為高風險賣場的「Booking.com」近來又被網友點名、互相提醒「小心詐騙」,從今年初迄今,165全民防騙網接獲對於Booking.com的相關諮詢以及報案量已超過百件,Booking.com官網甚至在5月發出資安提醒,要會員多加小心,顯見旅遊詐騙之猖獗。據了解,刑事局165統計今年初至今,旅遊網站遭詐騙通報以及諮詢件數,Booking.com已超過百件,Agoda也有30件、Trivago20件、雄獅20件。其中,民眾小高收到Booking.com來信,寫著為確保預定和抵達,要求依照指示做信用卡驗證,他懷疑是詐騙而向165查證;娜娜同樣接到網站來信,表示她的信用卡被拒絕交易,要求重新輸入卡號等資料,但付款幣別變成歐元,害她受損上萬元。網友娜娜PO文分享自身遭詐騙過程,赫然發現扣款幣別竟變成了歐元。(圖/民眾提供)近來Booking.com詐騙成為背包客、Dcard、PTT等論壇近來熱議話題,今年5月間有網友分享慘痛經驗,因為看到自己關注的日本飯店大降價,便宜1萬元,他隨即依照要求付款下訂,填了信用卡交易密碼等資訊,結果被盜刷400多美金,折合台幣1萬多元;今年8月初,E小姐收到Booking上自己預定飯店的來信,要求驗證信用卡,她登入Booking查看,發現跟飯店的連絡對話框確實有同樣的訊息,E小姐直接連繫Booking客服,隔2天就收到Booking和飯店的通知表示「這是詐騙」。Booking客服表示,如發生錯誤扣費情況,請將該筆費用的銀行賬單包括交易商戶名稱、交易時間、交易金額和幣別上傳給他們,以做後續處理。Booking.com官網也在4個月前更新網站,提醒合作商家注意資安問題,指出詐騙集團可能會嘗試模仿官網電子郵件嘗試釣取帳號和密碼,甚至以釣魚電子郵件引導至看起來很像Booking.com後台的登入頁面,最終目的就是要竊取顧客個資,包括姓名、聯絡地址、信用卡資料與電話號碼。透過旅遊網站預訂住房、機票、安排行程已成近年旅遊型態主流,但也讓詐騙集團有機可乘。(示意圖/方萬民攝)一名資深警官表示,如果有人透過旅遊網官網「私訊」聯繫民眾,大多都是詐騙,要特別留意,尤其以私訊發送降價等優惠,附上出扣款連結,此類「最有鬼」。而在新冠肺炎疫情爆發前,2019年10月間,刑事局曾發出Booking.com疑似個資外洩警訊,據統計,該年度受害者有228人,財損金額高達3362萬元。對於網友遭詐騙事件,Booking.com發出聲明表示,一直以來都十分重視用戶以及合作夥伴的資料安全,同時不斷地研發並努力完善後台系統以及處理程序。他們也注意到近來網路犯罪者針對該平台合作夥伴攻擊有所增加,澄清這些並非單獨針對Booking.com 事件,而是大多數電子商務平台都會面臨的問題。經過調查,Booking.com發現近期攻擊為網路犯罪者通過網路釣魚電子郵件,入侵Booking.com合作夥伴的帳戶;他們也鄭重澄清,Booking.com 並沒有受到任何駭客入侵的情形。此外,為了保護消費者以及合作夥伴權益,Booking.com已凍結這些有風險的帳號,並協助受影響的旅宿合作夥伴們回復系統正常運作,同時協助他們通知及提供支援給予受影響的消費者。Booking.com建議消費者仔細檢查預訂確認頁面中的付款政策,如預訂的旅宿要求支付超出所列金額的付款,請即時聯繫 Booking.com 的客戶服務支援中心尋求協助。
旅遊淪詐騙2/雄獅個資外洩36萬筆民眾成肥羊 警:打165查詐騙最準
【2023 12:50新增Booking.com回應】2022年雄獅旅遊曾發生重大資安事件,駭客入侵竊走36萬筆資料,民眾變成詐騙肥羊;而在2019年10月刑事局曾公布高風險旅遊賣場,其中Booking.com上榜21周,累計228件。如今「報復性旅遊」正興起,各大旅遊討論區網友竟又互相提醒「Booking.com小心詐騙」各種手法,民眾受損金額從幾千元到4、5萬元不等,最惱人的是還沒出國就被騙,大大壞了旅遊興致。據了解,刑事局165防騙網統計今年初至今,旅遊網站遭詐騙通報以及諮詢件數,Booking.com已超過百件,Agoda也有30件、Trivago20件、雄獅20件。其中,民眾小高收到Booking.com來信,表示為了確保房間的預定和保留,要求依照指示進行信用卡驗證,他當下懷疑是詐騙而向165查證。另一位A先生則接到Booking.com通知,表示因電腦當機,4筆訂單總費用11000元未刷卡成功,後續會有銀行專員與之聯繫云云,接著就接到自稱銀行人員來電,要求A先生按照其指示以手機操作解除付款,他因此損失6千多元。多個網站討論版大量出現「Booking.com詐騙」示警,警方提醒民眾可撥打165專線查證、辨別。(圖/翻攝網路)旅遊網站被詐團盯上早有前例,雄獅旅遊2022年11月29日於台灣證交所公告表示發生重大資安事件,遭受駭客攻擊,另外還接獲通報有冒名詐騙情況,該公司約有半年的顧客訂單資料遭不法詐騙份子利用。經查,駭客是透過員工電腦竊取民眾購買自由行機票、訂房、等商品訂單資料,一共36萬筆外洩,當時有60位民眾反映接到詐騙電話,其中1人遭騙10萬元。不過,雄獅指出,旅行團旅客資料及所有信用卡交易訊息均未外洩,提醒民眾接到自稱雄獅旅遊的電話,務必提高警覺再次確認,以免受騙。一名資深警官指出,近年來民眾出國多透過各種旅遊、訂房網站預定,但如果對方透過旅遊網官網「私訊」聯繫,大多都是詐騙,要特別留意。資安專家李先生也表示,由於旅遊網或訂房網公司在境外,如民眾遭詐騙以及後續確認都存在「時間差」,建議如有詐騙疑慮,最好直接聯繫官網客服,不要直接在疑似詐騙的對話框回覆訊息,或點取對話框內提供之網址。雄獅旅遊2022年間曾因駭客入侵導致36萬筆資料外洩,當時有60位民眾向警方反映有接到詐騙電話。(示意圖/方萬民攝)李先生也分析詐團作業行為模式,「通常一個時間段大多是同一個詐團在進行詐騙,由於教戰手冊一樣,某公司或品牌詐騙諮詢會在同時段內激增」,因此民眾可以撥打165查詢,以利識別是否遭到詐騙。對於Booking.com疑似被詐騙集團選為重點詐騙工具一事,本刊向該公司發出mail詢問,但至截稿前未獲得回應。對於網友遭詐騙事件,Booking.com發出聲明表示,一直以來都十分重視用戶以及合作夥伴的資料安全,同時不斷地研發並努力完善後台系統以及處理程序。他們也注意到近來網路犯罪者針對該平台合作夥伴攻擊有所增加,澄清這些並非單獨針對Booking.com 事件,而是大多數電子商務平台都會面臨的問題。經過調查,Booking.com發現近期攻擊為網路犯罪者通過網路釣魚電子郵件,入侵Booking.com合作夥伴的帳戶;他們也鄭重澄清,Booking.com 並沒有受到任何駭客入侵的情形。此外,為了保護消費者以及合作夥伴權益,Booking.com已凍結這些有風險的帳號,並協助受影響的旅宿合作夥伴們回復系統正常運作,同時協助他們通知及提供支援給予受影響的消費者。Booking.com建議消費者仔細檢查預訂確認頁面中的付款政策,如預訂的旅宿要求支付超出所列金額的付款,請即時聯繫 Booking.com 的客戶服務支援中心尋求協助。
手機詐騙惡意連結暴增60% 3種類型最常見
隨著科技的進步,不少詐騙、病毒也都開始針對智慧型手機發送。趨勢科技日前統計台灣當地數據,發現來自手機的惡意連結數量飆破130萬筆,相較於去年同期的80多萬筆,可以說是增加將近60%。其中以釣魚、網路購物與網路交友最多。根據媒體報導指出,趨勢科技表示,「網路釣魚」是在手機上最常見的惡意連結,常見的手法就是假冒成知名企業的官網、服務網站,甚至使用熱門關鍵字做為釣餌,以此來降低使用者的戒心。其中甚至有部分犯罪組織會透過廣購投放,讓網站搜尋排名超越真正的官網,以此來誘騙使用者。第二名則是「網路購物」,趨勢科技表示,2023年上半年度一些購物平台上出現大量鎖定賣家的詐騙案例,不法份子佯裝成買家與賣家進行溝通,接著又假冒成官方系統派送虛假的購買訊息,誘騙賣家以此付費。第三名則是「網路交友」,趨勢科技也分析常見的交友詐騙案例,其中包含了常見的盜用照片,透過假照片來獲取被害者信任後,就傳送惡意連結給被害者,之後就以此來教唆被害者投資、借貸。除此之外,趨勢科技表示,2023上半年ChatGPT的爆紅也使得AI應用成為最熱門話題,假ChatGPT應用程式和釣魚網站隨之頻繁出現在社群和搜尋引擎並透過廣告投放提高能見度,不慎點擊連結將可能被引導至惡意網站,利用漏洞攻擊自動下載惡意軟體到行動裝置,使用者在無法覺察的情況下可能失去重要個資甚至被盜刷金融卡。
別再用「這些字詞」當密碼了! Dojo:駭客易破解
受到數位科技和網路影響,民眾通常同時擁有好幾個社群帳號,但要如何設定一個不易被破解的密碼,一直是不得忽視的技巧之一。英國支付服務供應商Dojo,日前曝光2023年度最易被駭客破解的20組密碼,供大家參考。根據Dojo公布的報告顯示,大多民眾習慣以「小寫英文字母」設定密碼,位居第一名最容易破解的就是「暱稱或綽號」,前5名細項包括「King」、「Rose」、「Love」、「Boo」、「Hero」。第二名至二十名,依序為「電視劇角色」、「電視節目」、「顏色」、「時尚品牌」、「城市」、「國家」、「電影」、「身體部位」、「汽車品牌」、「寵物名字」、「髒話」、「電玩遊戲角色」、「音樂藝術家」、「電玩遊戲」、「彩妝品牌」、「運動」、「虛構人物」、「超級英雄」、「足球俱樂部」。另外,報告提到,駭客大多採用5種方式破解密碼,包括惡意軟體竊取個人訊息、網路釣魚攻擊、常用的單詞或短句組合推敲、每秒以數百萬個密碼組合嘗試,或透過不同社群平台得知使用者的生日、寵物名字等個人資料,以此反覆測試。至於如何正確的設定密碼?Dojo建議,務必混用數字、大寫字母或特殊字符,例如:$、£,長度至少8至12個字元甚至更長,其可使安全性變高之餘,也較難被破解。Dojo表示,若使用者有疑慮記得立刻更改,亦勿在不同帳戶重複使用同組密碼,為了安全起見,也不建議使用姓名、生日或寵物名字等個資當作密碼組成的選項。
北韓駭客大搞網路釣魚 完美復刻南韓最大入口網站Naver
北韓政府所扶植的國家級駭客組織,近幾年來除了入侵多個加密貨幣交易所大量取得非法資金外,也透過駭客技術取得許多隱私機密資料。而現在有消息指出,北韓駭客組織似乎有感於「主動出擊」實在太過疲累,所以回頭在網路上架設了一個完美復刻南韓最大入口網站「Naver」的釣魚網站。綜合南韓媒體報導指出,南韓國家情報院於14日表示,目前北韓駭客已經成功複製了南韓最大的入口網站Naver,而且網站頁面不僅是完全照抄Naver,就連一些即時新聞、廣告內容、證券、房地產價格等即時性的資訊,這個釣魚網站也是與原本網站一樣同步更新。一般民眾稍有不慎的話,基本上就會被北韓的釣魚網站給騙走。雖說如此,北韓這個釣魚用的Naver網站的網址是「www.naverportal.com」與原本南韓的Naver網址「www.naver.com」還是有明顯落差。但僅憑著網址上些許的差異,南韓國家情報院憂心還是會有民眾因為一時不察而登入到釣魚網站。南韓國家情報院也表示,在此之前,北韓駭客組織就曾多次偽造Naver的登入頁面,以此來欺騙南韓的網友輸入自己的帳號密碼,在取得相關權限後,從中非法蒐集南韓民眾的隱私資料。