釣魚郵件
」 詐騙 駭客 網路攻擊 攻擊 資安
Instagram爆大規模資安外洩! 1750萬用戶個資疑流入暗網
社群平台Instagram傳出大規模個資外洩事件。資安公司Malwarebytes證實,約有1,750萬名Instagram用戶的個人資料遭到外洩,相關資料已在駭客論壇與暗網上被免費散布,恐遭不法人士利用進行詐騙與帳號盜用。更引發關注的是,經比對發現,該駭客疑似與日前在暗網兜售台灣好市多(Costco)會員個資為同一人。綜合外媒《CyberInsider》、《Engadge》報導,Malwarebytes表示,該公司在例行性的暗網監控中發現這批外洩資料,內容涵蓋多項敏感資訊,包括使用者名稱、真實姓名、電子郵件信箱、電話號碼、部分實體地址及其他聯絡方式。資安專家警告,駭客可能利用這些資料發動冒充攻擊、釣魚郵件,甚至透過Instagram的「重設密碼」機制嘗試接管帳號。調查指出,這批資料疑似源自2024年Instagram應用程式介面(API)外洩事件。一名使用代號為「Solonik」的駭客近日在知名駭客論壇BreachForums公開部分樣本供人下載,並宣稱可付費購買完整資料包。而台灣好市多出面強調,經內部查核後,確認相關外流資料並非好市多會員個資。目前Instagram母公司Meta尚未對此事件發表正式回應,相關詢問也未獲回覆,官方資安公告頁面與社群平台亦未見說明。外界尚無法確認資料外洩的確切原因,是否為API端點設定錯誤、第三方整合漏洞,或內部系統設定不當所致。Malwarebytes進一步指出,已有部分受影響用戶收到多封來自Instagram的密碼重設通知,這些通知可能是真實的安全機制,也可能已遭有心人士濫用。用戶未來恐收到外觀相當逼真的電子郵件或私訊,誘導點擊惡意連結或輸入帳密。資安專家建議,用戶應立即更換Instagram密碼、啟用雙重驗證(2FA),並檢查帳號是否有不明裝置登入。同時,Malwarebytes也提供免費的「數位足跡」查詢服務,讓用戶確認自身電子郵件是否出現在外洩名單中。
網路購物詐騙橫行 刑事局揭露常見詐騙態樣及手法
依據「165打詐儀錶板」最新統計,今年11月全國平均每日受理詐騙案件452件,財損新臺幣1億9,970萬元。去年同期(607件、4億2,253萬餘元)分別下降26%及53%。詐欺手法受理數前3名分別為:網路購物詐騙,占29.9%居首;其次是假投資詐騙,占12.93%;再者是假交友投資詐財詐騙,占9.01%。若以財損金額觀察,假投資詐騙仍最嚴重,占比高達42.13%;其次是假交友投資詐騙,占22.79%;最後是假檢警詐騙,占10.84%。其中,網路購物詐騙受理數已持續超過假投資詐騙,成為目前最主要的受害來源,雖然單件財損金額相對較低,但因受理件數龐大,整體危害不容忽視。刑事局表示,近期網路購物詐騙、假買家騙買家等詐騙手法,持續高發,詐騙集團多透過社群平臺、假粉專或刊登商品或演唱會門票資訊,誘使民眾點擊連結或脫離電商平臺私下交易;並利用臉書社團、動態貼文或陌生訊息接觸民眾,要求加入LINE後改以轉帳、遊戲點數或超商代碼付款,一旦得手即封鎖消失,使被害人求償無門。其中,以近期大量出現的「演唱會門票詐騙」最具代表性。詐騙集團鎖定BLACKPINK、TWICE等熱門場次,先在各大社團張貼讓票訊息,並引導買家轉往Messenger、LINE或IG私下聯繫,再以「晚了就被買走」、「今天內要付訂金」、「序號開演前五天才會釋出」等話術製造搶票壓力,迫使民眾匆促匯款。買家匯款後,詐騙者再以「序號未開放」、「帳戶需驗證」推託拖延,最後封鎖失聯,讓買家求償無門。詐騙集團亦會假扮「買家」聯繫賣家,謊稱「無法完成訂購」,並提供偽造的物流平台或電商客服連結,誘使賣家登入假網站。詐騙集團隨即冒充客服或銀行人員,稱需「開通金流驗證」「身分實名制」「賣家認證」才能完成交易,誘騙賣家匯款或交付金融卡、密碼,甚至要求寄送金融卡至指定地點,導致帳戶遭盜領或淪為洗錢工具。刑事局特別提醒,詐騙集團亦會透過「假求職」、「兼差代辦」「代領優惠」等名義,誘使民眾提供銀行帳戶、金融卡或手機門號,甚至要求申辦多組門號寄交詐騙集團。被害人往往在日後接獲警方通知時才發現名下帳戶遭用於詐欺案件,反成加重詐欺、洗錢共犯。警方再次強調:提供帳戶或門號即可能觸犯《洗錢防制法》、《刑法》詐欺罪章等相關法律,後果嚴重,務必提高警覺。詐欺手法延伸至「普發現金詐騙」。詐騙集團假稱「代領普發現金」、「更快拿到補助」之名義要求交付金融卡、密碼或協助提領,實為盜領帳戶錢財。刑事局呼籲,普發現金唯一官方網站為10000.gov.tw,切勿將帳戶、金融卡或密碼交給他人,也不要協助不明人士匯款或提領,以免成為車手或共犯。另亦有不法集團鎖定企業內部人員,先以釣魚郵件或偽造電子郵件帳號方式,假冒公司老闆或董事長身分發送訊息,指示辦理「緊急款項」或「專案付款」等事宜,刻意營造急迫情境。隨後再引導被害人改以LINE私下聯繫,並刻意建立僅有假老闆與員工的「假LINE群組」,透過LINE私訊傳送假合約或指定帳號要求轉帳,藉此規避公司內部查證機制。員工在時間壓力與假冒權威身分雙重影響下,將公司資金以臨櫃或網路轉帳方式匯入詐騙帳戶,往往待真正主管發現帳務異常時,資金早已遭迅速轉走,造成企業嚴重財務損失。陳幼芳女士亦特別出席本次記者會,與警方攜手呼籲全民提升防詐意識。她以親切易懂的方式分享常見詐騙話術,提醒民眾只要遇到「要求私下聯繫」、「提前匯款」、「高報酬保證獲利」或「限時優惠逼迫決定」等情境時,一定要先停下來、看清楚、查證明,避免因一時大意落入詐團陷阱。她同時呼籲,每個人都能成為家人與朋友的「識詐守門人」,主動與長輩分享最新防詐資訊,並提醒勿點擊不明連結、勿離開官方平台進行交易,讓防詐成為生活習慣,共同降低全社會的受害風險。刑事局強調,網路購物雖便利,但也成為詐騙集團利用的犯罪溫床;提供門號或帳戶更可能使自己淪為犯罪鏈的一部分。警方將持續透過「165打詐儀錶板」公布最新詐騙手法與趨勢,攜手全民提升防詐免疫力,也請民眾遇詐即報案、勇於檢舉讓詐團無所遁形,共同守護社會信任與民眾財產安全。
遭「假經理工作信」詐騙!總務急匯款3次 公司損失1700萬元
詐騙集團愈發猖獗,連工作信件也得小心!有民眾近日收到自稱經理寄來的 mail,要求加LINE並協助緊急款項處理,他當下並未多加查證就照做,直到公司發現釣魚郵件異常,他才驚覺遭到詐騙,還讓公司損失了1700多萬元。內政部警政署「165打詐儀錶板」近日分享個案,當事人自述,他是某傳產公司的總務,今年11月中旬,他坐在位置上忙著行政庶務,突然收到1封電子郵件,寄件者的信箱是「alonswinfredrgermanbl@gmail.com」,信件中稱「我是經理OOO,因要事安排,請你建立幫忙加入財務LINE」,上面還附有群組QR code。當事人表示,當時他以為是主管來信,便直接按照指示辦理,接著對方假扮主管的語氣,傳了很多資料給他,聲稱待會有1筆款項要付過來,詢問目前公司可動用資金還剩多少,要求財務彙整之後,把資料傳送過去,而對方還丟來1組匯款資訊,聲稱現在有幾筆訂單進來,有款項要先墊付,需要他當天協助處理。當事人說,當下他完全沒起疑心,以為就是重要的事務得處理,於是他就指示助理先後3次前往銀行以電匯方式,匯出18萬、10萬及27萬美元,行員詢問時,他還回答是訂單預付款,「最後,公司發現有釣魚郵件侵擾,這時我才發現款項沒有匯過來,整個過程從頭到尾根本就是假冒主管指示的詐騙,這次公司總共損失約新台幣1700多萬元!」對此,「165打詐儀錶板」也列出3招防詐小撇步:1、收到電子郵件,務必確認寄件者是否可信。2、電子郵件提到金錢、匯款帳號,請以電話或其他通訊管道聯繫寄件者(官網的聯繫窗口)確認內容無誤。3、收到可疑郵件,請不要理會,並直接向165查證。
一眼識破三大類電費詐騙手法!台電親傳防詐秘笈
詐騙手法推陳出新,為打擊詐騙歪風,保障民眾權益,台電針對民眾最常收到的電費繳納通知,從簡訊、郵件及電話等三大類管道,全面傳授防詐秘笈,讓民眾一眼識破詐騙手法,避免受騙。《簡訊附連結就有鬼!》台電說明,電費提醒簡訊自去(2024)年起已統一透過數位發展部開發的111政府專屬短碼簡訊平臺發送,內容僅提醒民眾未繳電費的電號及月份,不會提供任何引導連結。民眾收到任何有網址連結的繳費通知簡訊,都是詐騙訊息,務必提高警覺。《詐騙釣魚郵件3大特點:遮電號、無地址、壓縮檔》台電指出,釣魚郵件也是常見的詐騙手法,這類電子郵件看似由台電發出,但會遮擋用戶電號、也不會顯示用電地址,更會附上ZIP壓縮檔案,誘騙民眾開啟,進而導致電腦受駭。民眾收到通知繳費郵件時,只要發現有「遮電號、無地址、壓縮檔」3大特點,就是詐騙釣魚信件。《電話詐騙關鍵字:身分證、轉接、匯款》台電表示,提醒繳費電話則分為電話語音及人員致電2種,電話語音內容播放完畢即結束通話,不會轉接客服人員;而台電人員致電提醒繳費時,既不會要求核對民眾身分證字號,也不會將電話轉接警察機構或提供匯款帳號。若民眾接聽電話時聽到「身分證、轉接、匯款」等關鍵字,即可判斷此為詐騙電話。台電說明,民眾如果想要查詢電費繳款情形,可至台電官網(用戶服務>網路櫃檯>電子帳單服務>簡易帳單查詢)以電費帳單上的電號查詢(無須登入),亦可使用台灣電力APP確認。若接獲任何可疑簡訊、郵件或電話,請立即洽台電24小時客服專線1911或165反詐騙專線詢問,以免受騙。(台電廣告)
電郵申請電費退款陷阱!台電提醒:圖片連結有詐,切勿點擊
近日有不法份子假冒台電名義,發送「帳單錯誤、退款通知、立即申請退款」的電子郵件,以電費計算錯誤、可申請退款為由,誘騙民眾點選、進而騙取個資。台電提醒,這類郵件採用新型詐騙手法,將整封郵件設計成一張圖片,透過圖片中的台電網址取信民眾,一旦點擊即導向惡意詐騙網站,進而騙取民眾個人資訊,台電呼籲民眾提高警覺,以免受騙。近日有不法份子假冒台電名義,發送「帳單錯誤、退款通知、立即申請退款」的電子郵件,將整封郵件設計成一張圖片,透過圖片中的台電網址取信民眾,一旦點擊即導向惡意詐騙網站,進而騙取民眾個人資訊,台電呼籲民眾提高警覺,以免受騙。(圖片提供/台電)台電說明,溢收電費退款只能透過「轉入下期電費抵扣」或「臨櫃退款」二種方式辦理,其他以電子郵件或簡訊等方式通知用戶申請退款,即為詐騙。台電指出,台電寄出的電費相關郵件,皆不會附上任何網址,更不會要求民眾提供身分證及信用卡號等個人資訊,民眾如發現郵件內有網址,即為詐騙郵件。台電進一步指出,民眾也可從寄件者Email帳號,或是拼寫錯誤、可疑的網址看出詐騙端倪,若郵件遮擋用戶電號、沒有顯示用電地址,或是附上ZIP壓縮檔案,也同樣是詐騙釣魚郵件,請勿點選任何不明連結。台電提醒,民眾若接獲任何可疑郵件、簡訊或電話,請立即撥打台電公司24小時客服專線1911或警政署165反詐騙專線詢問,全民攜手防詐,守護荷包安全!(台電廣告)
電子發票詐騙要小心!婦收假財政部釣魚信 點連結慘被盜刷3萬
詐騙集團看準電子支付與雲端發票普及,近期鎖定民生議題大肆行騙。北部一名林姓婦人日前收到假冒「財政部雲端電子發票」的中獎通知釣魚郵件,信中謊稱她中獎需認證。林婦不疑有他,點擊惡意連結並依指示輸入個資及信用卡號,慘遭盜刷3萬餘元。刑事警察局警告,詐騙集團常利用「普發現金提前領取」或「電子發票中獎」等2大手法誘騙民眾。目前警方正追查該詐騙集團的流向。林婦收到的電子郵件附上一個惡意連結(https://einyvoice-natgov-tw.com/tw)。她點擊進入後,起初依頁面指示輸入手機號碼及載具密碼。接著,頁面跳出「信用卡歸戶異常,需重新驗證」的虛假提示,誘騙她更新綁定載具。林婦未察覺異狀,一步步掉入陷阱,再度輸入個人資料及信用卡號。她直到收到銀行交易成功的簡訊通知,才驚覺受騙上當,短短幾分鐘內信用卡即遭盜刷3萬餘元。刑事局提供釣魚網站的樣貌提醒民眾注意。(圖/刑事局提供)刑事局指出,現今詐騙集團仿冒的假網站設計日趨逼真,其標誌與介面幾乎與官方網站如出一轍,常令民眾難辨真偽。這類假網頁除了冒用公部門,也常偽冒金融機構、遠通電收、電商物流及行動支付品牌,企圖混水摸魚。警方預期,普發現金一旦開始發放後,詐騙集團勢必會傳送假稱領取現金的釣魚連結(例如:https://10000-gov-tw)。刑事局呼籲,民眾務必認明普發現金官網(https://10000.gov.tw)。政府絕不會寄發簡訊或電子郵件通知領錢登錄,也不會電話要求至ATM或網路操作轉帳。民眾若看到可疑連結,切記「不點擊、不填輸、不寄送、不轉傳」四不原則,並立即撥打165反詐騙諮詢專線求證。
AI正改寫資安戰局 駭客用提示詞就能發動攻擊
人工智慧正快速重塑網路安全版圖。Wiz首席技術專家勒特瓦克(Ami Luttwak)近日接受《TechCrunch》專訪時直言,AI帶來的挑戰是一場「心理戰」,因為每當技術浪潮興起,攻擊者總能找到全新切入點。勒特瓦克指出,企業急於將AI整合進工作流程,從vibe coding、AI代理到各類新工具,雖然大幅提升開發效率,但也同步放大攻擊面。他強調,這些加速交付程式碼的方法往往伴隨漏洞與捷徑,讓攻擊者有更多可乘之機。他舉例,Wiz測試發現vibe coding應用常見的問題就是認證設計不安全,因為AI代理若未被特別要求,就不會採取安全方式建構。結果,企業陷入「效率與安全」的持續拉扯。攻擊者同樣懂得運用提示詞技術與AI代理,甚至能要求系統洩漏秘密、刪除檔案。勒特瓦克提到,近期已出現多起重大案例:Drift事件:上月新創公司Drift遭駭,數百家企業的Salesforce資料被竊,受害者包括Cloudflare、Palo Alto Networks與Google。駭客利用竊得金鑰冒充聊天機器人,在客戶環境中橫向移動,惡意程式碼本身就是透過vibe coding生成。「s1ingularity」攻擊:今年8月,駭客鎖定JavaScript開發常用的建構系統Nx,植入惡意軟體,專門偵測Claude與Gemini等AI工具,進而攔截私人GitHub儲存庫。他說,雖然目前全面採用AI的企業僅約1%,但Wiz幾乎每週都能觀測到影響數千家客戶的攻擊事件。成立於2020年的Wiz,最初專注於協助企業辨識雲端漏洞與錯誤配置,近年則擴展至AI安全領域。去年9月推出 Wiz Code,將安全設計提前至軟體開發初期;今年4月再推 Wiz Defend,提供雲端即時威脅偵測與回應。勒特瓦克解釋,要達成「水平安全」(horizontal security),必須徹底理解客戶的應用程式與需求。他提醒新創公司,開發AI產品時不能忽視安全責任。他以自身經驗指出,Wiz在還沒寫下第一行程式碼之前,就完成了SOC2合規,並直言「五個員工的時候要做到,比等到500人時容易得多。」他呼籲新創從第一天就設立CISO,建立嚴謹安全架構,確保客戶資料留存在客戶環境,而不是交給外部小型服務。勒特瓦克強調,AI驅動的攻防對抗才剛開始,從釣魚郵件、電子郵件防護到惡意軟體偵測,每個領域都在被重新定義。對能結合工作流程與自動化的「vibe security」新創而言,這是關鍵時刻。他最後表示:「比賽已經開始,現在我們必須徹底重塑安全的每個部分。」
Email通知交通違規罰單是詐騙! 網曝辨識假網站方法:個資亂打也生出罰金
為防範詐騙案頻傳,交通部監理機關自8月12日起,已全面停用電子郵件通知交通違規。由於冒名的詐騙郵件多用「請於24小時內繳清」等字眼威脅,並聲稱駕照會扣點或累計滯納金,容易引起民眾緊張誤認。網友們也紛紛在網路上回報收過的郵件內容,甚至發現在假的網站上,隨便輸入身分資料就能生成罰單。近期詐騙集團頻繁冒用「監理服務網」、「監理機關」或「交通部公路局」等名義,寄送偽造的「交通違規催繳罰單」電子郵件,並引導民眾點擊假網址進行詐騙。交通部公路局因此多次強調,監理機關不會用電子郵件催繳罰單,「只要民眾收到任何催繳罰單的電子郵件絕對是詐騙,請民眾皆不要點選開啟,以免受騙。」而監理機關自8月12日起,已宣布「全面停止使用電子郵件通知交通違規未繳罰鍰」等相關資訊,目的在於降低民眾誤觸釣魚郵件風險,避免受騙上當。民眾若確認收到詐騙訊息,可透過以下方式防堵:撥打165反詐騙諮詢專線或上內政部警政署165全民防騙網通報,亦可直接於電子郵件系統內檢舉並封鎖來源,以避免更多人受害。近日也有許多民眾在社群平台發文透露詐騙集團的漏洞,像是隨便打一組身分證字號及車牌號碼,都會生成出一張「假的罰單」;而正確的監理站網址一定有「gov開頭,tw結尾」字眼,且是要求填入身分證字號、出生年月日及驗證碼,並不需要輸入車牌號碼。各縣市監理站強調,民眾如欲查詢相關罰鍰或監理資訊,可透過以下管道辦理:下載「監理服務APP」或於「監理服務網」查詢違規、燃料費、記點記次及各項監理訊息;前往四大超商多媒體事務機,輸入身分證字號與生日,即可查詢是否有罰單;撥打公路局用路人服務中心免付費專線0800-231-035或洽各地監理所站及六都交通事件裁決機關查證。正確的監理服務網官網。(圖/監理服務網)
千萬別點!詐團寄電子郵件催繳罰單 桃園監理站:已停止使用郵件通知
詐騙集團手法再升級,近日有民眾收到假冒「監理服務網」或「監理機關」的電子郵件,通知民眾「積欠交通違規罰鍰」或「尚欠強制險違規罰鍰」,還要求在期限內點擊指定連結繳費。桃園監理站提醒,這些都是詐騙訊息,請民眾務必提高警覺。桃園監理站表示,自114年8月12日起,監理機關已全面停止使用電子郵件通知民眾繳納交通罰鍰等相關資訊,目的在於避免民眾不小心點入釣魚郵件,避免受騙上當。桃園監理站指出,如果民眾想查詢相關罰鍰或監理資訊,可下載「監理服務APP」,或到「監理服務網」查詢違規、燃料費、記點記次等監理資訊;另外也能到4大超商多媒體事務機,輸入身分證字號和生日查詢,或撥打公路局用路人服務中心免付費專線0800-231-035,以及洽詢各地監理所站及6都交通事件裁決機關查證。至於收到詐騙郵件的民眾,除了可以直接在電子郵件系統檢舉並封鎖來源,也能撥打165反詐騙專線,或到警政署165全民防騙網通報,避免更多人受騙。桃園監理站提醒,監理機關不會以電子郵件要求民眾繳納罰鍰,請大家務必做到「不點擊、不轉帳、先查證」,共同防堵詐騙行為。
守護家園從社區開始!松山分局召開治安暨校安座談 有效強化警民合作
松山警分局分局長丁靖為加強警民協調與聯繫,於上(8)月甫上任便密集走訪轄內33位里長,並於114年9月10日14時在分局10樓禮堂舉辦「社區治安會議」暨「校園安全座談會」。會議特別邀請轄內里長、民意代表、守望相助隊及居民齊聚一堂,適逢新學期開始,各級學校也派員與會,與警方共同關注校園安全,攜手推動警政社區化,共同守護家園。活動開場由松山國小學童帶來熱情洋溢的傣族舞蹈,為會議注入溫馨與活力。接著由偵查隊分享毒品與詐騙防制觀念,特別提醒,俗稱「喪屍煙彈」的依托咪酯已於113年11月27日列為第二級毒品,不肖份子將其混製成電子菸油販售,對健康危害甚鉅。會中也提醒民眾提高警覺,避免點擊「釣魚郵件」或「詐騙簡訊」中的不明連結。 另中崙、東社及三民派出所所長分別就本年度社區治安狀況進行簡報,針對居民關心的治安、交通等議題進一步說明。會中並播放「警察辦案絕不會視訊筆錄」的宣導影片,加強防範假檢警詐騙的觀念。最後以活潑的有獎徵答帶動現場互動,讓居民踴躍參與、氣氛熱絡。 分局長表示,若民眾在社區大樓發現出入複雜、疑似吸毒產生燒塑膠氣味,或是在超商、金融機構發現有人持多張提款卡頻繁提領、不斷查看手機,都可能涉及毒品犯罪或詐欺車手活動。呼籲大家主動通報警方,警方將立即查處。唯有透過社區群體的力量與合作,才能讓松山區的治安與交通更加完善,滿足市民對安全生活的期待。
資安戰爭升級 台灣站上全球前線 AI與零信任成新世代防禦核心 Zscaler台灣總監莊劍偉:跨域團隊與國際合作成關鍵
隨著全球數位轉型加速,網路攻擊的頻率與複雜度正以前所未有的速度攀升。根據台灣國安局統計,2024年政府機關平均每日遭受駭客攻擊高達240萬次,較前一年翻倍成長;民間企業每週平均則面臨3,993次攻擊,居亞太地區之首。這些數字不僅突顯台灣在地緣政治下的資安高風險位置,也意味著資安已從單純的技術議題,正式升格為國家安全的核心戰線。全球資安新局:從勒索病毒到生成式AI風險近十年來,國際間的重大資安事件層出不窮。從2017年的NotPetya勒索軟體攻擊、2020年的SolarWinds供應鏈入侵、2021年的Microsoft Exchange資料外洩,到2024年發生的CrowdStrike更新當機事件,均揭露了軟體與系統在全球高度互聯下的脆弱性。同時,新興技術也帶來不可忽視的資安挑戰。生成式AI能協助企業提升效率,卻也可能被濫用於釣魚郵件、Deepfake詐騙與假資訊製造。後量子密碼學、元宇宙與AI基礎設施的崛起,更讓資訊安全風險呈現高度不確定性。台灣挑戰:醫療、半導體到金融的多重威脅 資安政策由被動轉主動台灣近年多起駭客事件,凸顯資安防護的迫切性。包括台積電高階製程機密疑遭日本供應商外洩、馬偕醫院與彰化基督教醫院遭勒索攻擊,甚至有駭客利用Google日曆事件或Google Sheets作為資料竊取的中繼站。金融產業同樣面臨挑戰。金管會放寬委外上雲規範後,金融機構的首要課題就是如何兼顧雲端成本與資安韌性。《金融資安行動方案2.0》明確要求導入零信任架構,透過身分驗證、設備檢測與分段管理,來確保客戶資料與交易安全。Zscaler台灣總監莊劍偉表示:「這些事件暴露出台灣產業與公共服務的脆弱環節,台灣政府應該將資安納入醫院與金融資訊體系政策中,讓醫療系統與金融數位轉型政策從「被動應對」轉向「主動防禦」」。新世代防禦:零信任2.0與AI驅動資安面對日益複雜的攻擊,零信任架構(Zero Trust Architecture, ZTA)已成為全球防禦的標準典範。與傳統「內網可信」模式不同,零信任強調「永不信任,持續驗證」。在台灣,資安研究院推動的零信任導入,正從自評檢核到驗測機制逐步落實,並強調微分割、軟體定義邊界與持續風險評估的應用。進一步來看,零信任也正進化到2.0階段。ZT 2.0不僅強化身份與網路分段,更融入機器學習與AI演算法,實現「持續監控與驗證」,並延伸至供應鏈與OT(營運科技)場域。AI則被視為資安防禦的加速器。生成式AI可模擬駭客攻擊情境,提升演練真實度;代理型AI(Agentic AI)則能自動化分析告警、縮短事件處理時間。Zscaler台灣總監莊劍偉表示:Zscaler於2025年推出的「AI驅動資料安全分類」功能,能以「類人直覺」識別超過200種敏感內容,大幅提升偵測效率。這是全球目前針對AI資安最新解決方案。國際戰略:各國資安布局與台灣的應對歐美與亞洲主要國家近年陸續發布資安戰略:美國:在《國家安全戰略》中強調大幅投資資安產業與創新技術,並推動行政命令EO 14028加強供應鏈安全。歐盟:推動NIS2、CRA等新規範,提升成員國韌性並加強協作。日本:2021年發表第三版《網路安全戰略》,呼應後疫情數位社會需求。英國:2022年《國家網路戰略》聚焦企業防禦與國際合作。相較之下,台灣身為出口導向國家,資安不僅是國安問題,更與產業鏈競爭力直接掛鉤。數發部資安署規劃在四年內投入至少88億元,培育1500名專業人力、提升資安產值至1,200億元,並建置政府骨幹網路AI防禦機制,逐步實現「智慧國家」願景。Zscaler台灣總監莊劍偉:跨域團隊與國際合作成關鍵Zscaler台灣總監莊劍偉指出,單靠技術無法全面應對新世代威脅,必須結合技術、情報與安全專家,組建跨域團隊,強化Secure AI、Secure Autonomous、Secure Medical Devices等產業的資安方案,才能有效預測攻擊路徑並制定防禦策略,莊劍偉也呼籲台灣應積極參與國際合作,推動資安標準互認,並建立針對智慧製造、醫療器材、太空產業等關鍵領域的資安合作框架,以便在全球供應鏈中鞏固地位,可以預見,台灣若能結合AI創新、零信任架構與跨國合作,不僅能抵禦日益複雜的資安威脅,更有機會在2030年前,成為全球智慧時代的資安產業領導國。
駕駛人注意!交通違規催繳遭詐團冒用 公路局即起全面停用電郵通知
近期詐騙集團頻繁冒用「監理服務網」、「監理機關」或「公路局」等名義,透過電子郵件傳送偽造違規通知,並引導民眾點擊假網址,雖然已通報下架逾500個假冒網站,但詐騙集團仍持續變換手法,令人防不勝防。公路局今天(12日)宣布,自即日起全面停止使用電子郵件通知民眾交通違規未繳罰鍰等相關資訊,降低民眾誤觸釣魚郵件的風險及避免受騙上當。公路局表示,由於使用電子郵件無須費用,還可大量發送,已成為詐騙集團最常利用的手段之一。一般民眾往往難以從寄件者名稱或主旨辨識信件真偽,因此,自即日起全面停止使用電子郵件通知民眾交通違規未繳罰鍰等相關資訊。公路局亦提醒,雖然停用電子郵件通知交通違規未繳服務,民眾仍可透過下載監理服務APP、至監理服務網查詢(https://www.mvdis.gov.tw/)或洽公路局用路人服務中心0800-231-035免費電話或各監理所站查詢相關違規資料;若為六都地方政府管轄之交通違規,則請洽六都裁決中心(處)等方式查詢,以維護自身權益避免受騙。
大陸科技公司遭網路攻擊!北京指控民進黨豢養駭客組織:技術水準低下
中國大陸廣州某科技公司遭境外駭客組織網路攻擊後,大陸公安機關立即組織技術團隊,對提取的攻擊程式和系統日誌進行技術分析和溯源追蹤,隨後指控該公司遭受的網路攻擊是「中國台灣民進黨當局豢養的駭客組織所為。」據新華社的報導,廣州市公安局天河區分局5月20日發佈警情通報稱,廣州某科技公司遭境外駭客組織網路攻擊,公安機關立即開展調查,提取相關攻擊程式樣本,全面固定相關涉案證據,並組織專業技術團隊開展技術溯源。報導根據警方調查結果稱,該台灣駭客組織近年來頻繁利用公開網路資產探測平臺,針對大陸10餘個省份的1000餘個重要網路系統(涉及軍工、能源、水電、交通、政府等)開展大規模網路資產探查,搜集相關系統基礎資訊和技術情報,並通過大範圍發送釣魚郵件、公開漏洞利用、密碼暴力破解、自製簡易木馬程式等低端網攻手法實施了多輪次網路攻擊,「特別是去年以來,該台灣駭客組織針對我境內目標的攻擊規模和攻擊頻次均有明顯提升,騷擾破壞意圖明顯,用心極其險惡。」報導還援引技術專家的說法稱,該台灣駭客組織的技術水準整體較低,攻擊手法簡單粗暴,攻擊範圍較廣,多次被我網路防護系統監測發現。其自製網路木馬程式的設計水準低下,留下多處可被反向追蹤的犯罪線索,為警方查明犯罪事實、鎖定犯罪嫌疑人及其上網地點提供了有利條件。技術分析顯示,雖然其頻繁利用VPN代理、境外雲主機和傀儡機等網路資產,通過大量來自美國、法國、韓國、日本、荷蘭、以色列、波蘭等國家的IP位址實施網路攻擊,意圖掩蓋其真實攻擊來源,但報導指出,通過網路偵查調查不難查清該駭客組織實施網路攻擊犯罪的整個過程及其真實意圖。
全球8成釣魚信件目標!日本爆發多起QR Code詐騙 苦主3分鐘遭盜刷快6萬
身為QR Code的發明國家,日本近期卻出現多起與QR Code支付有關的詐騙事件。其中一起案例是一名男子在短短3分鐘內被盜刷近6萬日圓購買航空機票,成為近期詐騙手法猖獗的縮影。根據《朝日新聞》報導指出,該名受害男子回憶表示,他突然收到一封標示為快遞公司的電子郵件,內容聲稱「包裹無法送達」,需更改地址才能完成配送,並附上一個QR Code供操作。由於當時他正好有網購訂單尚未收貨,因此毫無戒心地掃描了該QR Code並輸入自己的信用卡資料。男子表示,這個網站還仿冒配送業者的官方標誌與設計,看起來相當專業。幾分鐘後,他發現信用卡已遭盜刷購買兩筆總金額接近6萬日圓的航空機票。雖然他立即聯絡信用卡公司,但為時已晚。除了透過電子郵件誘導的手法之外,也曾出現有人在住家投遞偽裝成房租繳費單的傳單,上頭附有QR Code誘導受害者付款。愛知縣於2023年1月就有一名男子因此詐騙約11萬日圓。報導中提到,詐騙方式不只一種,另一常見變化是以「退款」為名的騙局。Proofpoint資安專家增田幸美表示,詐騙者會假裝要進行退款手續,要求受害者掃描QR Code,實際上卻是引導對方將錢轉入詐騙帳戶。根據資料,2025年2月全球針對用戶發送的釣魚郵件數量高達5億7,500萬封,其中有8成發送至日本,顯示日本用戶已成為全球詐騙郵件的主要目標之一。除了日本當地外,海外其他國家也曾發生類似案例,有詐騙犯偷偷將中國店家原有的QR Code支付貼紙替換為假的,使得所有銷售收入直接流入詐騙帳戶。有人在新加坡因掃描號稱「可免費獲得珍珠奶茶」的QR Code而下載一個應用程式,結果手機遭駭,銀行帳戶瞬間被盜走相當於222萬日圓的金額。增田幸美也向民眾呼籲,若在實體商店使用QR Code支付時,務必確認該QR Code是否由店員親自提供,並檢查其是否有異常標籤或貼紙覆蓋跡象,以免落入詐騙陷阱。
線上支付盜刷「因這點」銀行難認帳 OTP簡訊綁定驗證機制再升級防詐
近期線上支付等爭議案增加,像是盜刷綁定手機APPLE PAY等,光是在金融消費評議中心受理「銀行業」案件一度還超越保險業,且增至超過二成占比;尤其是在信用卡盜刷因涉及OTP簡訊驗證碼等,更讓銀行難辨是客戶本人還是詐騙集團,以致卡友通報信用卡遭詐騙造成損失案件頻傳,銀行業者皆陸續升級防盜刷機制以圍堵民眾被騙。華南銀行表示,分析近三個月案件類型,約有將近10%之新型詐騙手法改以交友、線上投資、網路投票、觀看寫真照片等方式誘騙被害人操作手機設定,伺機植入監控或木馬程式,取得被害人手機之操控權後進行冒名線上申請金融服務、轉帳、溢繳款項至信用卡進行交易等,因此也提醒民眾應多方查證。以華南銀行為例,除於綁定國際行動支付需比對手機門號及OTP密碼驗證外,亦於「華南銀行Rich+」APP建置管理交易功能,民眾可自行關閉不常用之交易方式。根據華南銀的統計,自2023年實施前揭機制迄今,已未再發生民眾反映遭綁定於行動支付之實質成效,更於2024年底率先同業於國內行動支付或電子錢包,新增客戶綁定卡片須驗證手機門號之驗證機制,只要國內商店APP有加入此機制,於綁卡時即會驗證客戶手機門號之正確性,大幅提升交易安全。另針對持卡人誤點釣魚網站後不慎提供OTP密碼遭盜刷的情況,於OTP簡訊及驗證網頁中增加4選1的「網頁識別碼」比對機制,客戶須於驗證網頁顯示4組「網頁識別碼」中,點選與本行發送之簡訊、APP推播或E-mail內容相符之「網頁識別碼」並輸入6碼數字「交易驗證碼」,兩項資料皆須點選及輸入驗證正確才會接續信用卡授權流程,此機制亦可降低持卡人遭詐騙成功之情形發生,提醒您,要「輸入或提供」網頁識別碼的網頁100%是詐騙!華南銀行於網路交易之每筆驗證密碼簡訊中加註防範詐騙警語、標示中英文幣別及金額,交易成功後亦透過APP或LINE發送即時交易通知,客戶如對消費有疑義時亦可透過官方LINE消費推播訊息之「反映此筆不是我的交易」功能立即反映並控管卡片,有效降低客戶遭盜刷風險,統計近三個月華南銀行成功防堵上百件信用卡詐騙案件,未再被盜用的信用卡額度金額達1,160萬餘元。國泰世華銀行則表示,詐騙集團常用手法多以偽冒銀行名義來發送釣魚郵件、訊息(含簡訊及通訊軟體),誘使客戶點擊來歷不明的連結或下載安裝APP,藉此達到詐騙目的。因此當民眾收到來歷不明之郵件或訊息,提醒需謹慎判斷信件內的連結是否為官方網址、郵件是否有加入數位簽章,且因應不同通訊軟體而有不同識別方式。以較常見的Gmail為例,使用Web/iOS版本開啟信件,寄件者下方有「綠勾勾」圖案,才是通過Gmail驗證官方郵件;若是Andriod版,則可查看附件是否含有「smime.p7s」,該簽章可用來識別郵件發送者為國泰世華銀行,確保郵件內容未遭偽冒及竄改,民眾可透過官方網站之「詐騙預防」專區查看或是撥打客服專線進行查證。國泰人壽2024年9月導入專屬簡訊簡碼「68168」,將有關保費交付及重要權益之簡訊通知,如繳費通知、保單權益變更、客戶權益提醒等,幫助保戶快速判斷來源,安心點擊通知簡訊,避免誤觸風險。另針對高齡族群,國壽更貼心地為網路交易進行電話確認,截至2024年11月底,已完成近11,000通電訪。
中共網軍侵擾倍增 國安局示警國人重視資安防護
中共網軍對台網路攻擊日益頻繁,從每日240萬次侵擾到鎖定政府機關、交通運輸及國防供應鏈進行竊資與破壞,其手法包括離地攻擊、釣魚郵件及零時差漏洞等。國安局5日表示,中共網軍頻繁駭侵政府、關鍵基礎設施及民企,手法日益精進,我國資安防線面臨嚴峻挑戰,提醒國人提高警覺,共同維護網路安全。國安局表示, 我政府網際服務網2024年每日平均侵擾數為240萬次,較2023年日平均侵擾數120萬次增加逾2倍。其中多數為中共網軍所為,雖多已有效偵阻,惟仍凸顯整體網駭侵擾態勢愈趨嚴峻。另外,民間網駭案件計906案,相較2023年752案,增長比率逾二成,其中以政府機關比率最高,占整體總數逾八成。國安局分析,中共網軍駭攻目標,以通訊傳播領域(650%,主要為電信業)、交通(70%)及國防供應鏈(57%)增長最為顯著,顯見該等領域已成為中共新興網駭重點。有關駭侵手法部分,國安局指出,中共網軍鎖定我政府機關網通設備漏洞設伏竊資,以「離地攻擊」(Living off-the-land)手法,躲避網防系統偵察,並針對我公職人員電子郵件,發動社交工程等攻擊,企圖竊取機敏資訊。此外,中共以多元手段,對我國防供應鏈及資服業者駭侵竊資,並透過進階持續性滲透、釣魚郵件、零時差漏洞、木馬病毒、後門程式等方式,駭攻設伏我公路、港務等關鍵基礎設施,企圖影響我國交通運輸秩序。國安局說明,在中共軍演期間,其網軍對我交通及金融機構,發動「分散式阻斷服務攻擊」(DDoS),期強化騷擾效果,並擴大軍事威懾。值得注意的是,中共亦結合民間駭客協力組織,運用勒索軟體等網路犯罪手法,對我製造業廠商遂行駭攻,以及對各國高科技新創產業竊取專利技術,圖謀獲取經濟利益。另中共網軍以網駭手段竊取我國人個資,於暗網及駭客論壇公開販售獲利,遂行「駭侵及洩漏」(Hack & Leak),同時藉由社群網路論壇發文批評網防不力,打擊我國威信。國安局強調,中共持續加大對我網路攻勢,並結合多元網路駭侵手法,對我政府、關鍵基礎設施及重要民企,進行偵查設伏及網駭竊資,提醒國人重視資安防護,警覺中共對我網駭威脅,共維整體網路安全。
每天遭網攻240萬次!國安局揭中共網駭手法 政府機關占8成
中共網軍對我國網路空間攻擊、竊資及侵擾不斷,且駭侵手法不斷翻新。為讓國人瞭解網安威脅趨勢,國安局近日完成「2024年中共網駭手法分析」報告,發現我國政府網際服務網去年每日平均侵擾數為240萬次,其中多數為中共網軍所為,目標以通訊傳播領域650%最多,整體網駭侵擾態勢愈趨嚴峻。根據國安局統計,在趨勢發展部分,依據政府網際服務網「入侵偵測指標」統計,我政府網際服務網去(2024)年每日平均侵擾數為240萬次,較2023年日平均侵擾數120萬次增加逾2倍。其中多數為中共網軍所為,雖多已有效偵阻,惟仍凸顯整體網駭侵擾態勢愈趨嚴峻。另國安情報團隊去年掌握我國政府及民間網駭案件計906案,相較2023年752案,增長比率逾二成,其中以政府機關比率最高,占整體總數逾八成。經分析中共網軍駭攻目標,以通訊傳播領域(650%,主要為電信業)、交通(70%)及國防供應鏈(57%)增長最為顯著,顯見該等領域已成為中共新興網駭重點。在駭侵手法部分,中共網軍鎖定我政府機關網通設備漏洞設伏竊資,以「離地攻擊」(Living off-the-land)手法,躲避網防系統偵察,並針對我公職人員電子郵件,發動社交工程等攻擊,企圖竊取機敏資訊。此外,中共以多元手段,對我國防供應鏈及資服業者駭侵竊資,並透過進階持續性滲透、釣魚郵件、零時差漏洞、木馬病毒、後門程式等方式,駭攻設伏我公路、港務等關鍵基礎設施,企圖影響我國交通運輸秩序。國安局發現,在中共軍演期間,其網軍對我交通及金融機構,發動「分散式阻斷服務攻擊」(DDoS),期強化騷擾效果,並擴大軍事威懾。值得注意的是,中共亦結合民間駭客協力組織,運用勒索軟體等網路犯罪手法,對我製造業廠商遂行駭攻,以及對各國高科技新創產業竊取專利技術,圖謀獲取經濟利益。另中共網軍以網駭手段竊取我國人個資,於暗網及駭客論壇公開販售獲利,遂行「駭侵及洩漏」(Hack & Leak),同時藉由社群網路論壇發文批評網防不力,打擊我國家威信。國安局強調,中共持續加大對我網路攻勢,並結合多元網路駭侵手法,對我政府、關鍵基礎設施及重要民企,進行偵查設伏及網駭竊資。我國政府透過資通安全聯防機制,運用多元情報來源管道,掌蒐網安威脅預警情資,即時分享權責部門應處;同時提醒國人重視資安防護,警覺中共對我網駭威脅,共維我國整體網路安全。
Gmail用戶小心了!假期前將迎詐騙高峰 Google警告:3大釣魚郵件要注意
2024年即將進入尾聲,Google日前對旗下的電子郵件服務Gmail用戶發出警告,為了迎接假期,大約有上億人會在線上預訂酒店或航班、購買禮物、向朋友和家人發送訊息等等,此時詐騙份子就可能透過Gmail攻擊用戶,利用網路釣魚、垃圾郵件和惡意軟體騙走用戶的金錢。根據《The Financial Express》等外媒報導,Google指出,自11月以來,電子郵件的流量大幅增加,網路攻擊的程度更使「保護收件箱變得比平時更具挑戰性」。Google表示,儘管Gmail的保護功能已阻擋99.9%的威脅,像是垃圾郵件、網路釣魚和惡意軟體等等,但也呼籲用戶不該放鬆警惕,「我們對這一進展感到相當高興,但預計會在假期時看到第2波攻擊,係因攻擊者會調整策略並嘗試新方法」。Google接著說到,據相關統計結果顯示,今(2024)年的網路釣魚攻擊數量比起去年減少了35%,今年Google也結合AI技術,成功提高Gmail對網路詐騙郵件的識別能力。對此,Google還揭露了3種常見的的詐騙郵件,提醒用戶要特別注意:1、發票詐騙詐騙者會發送偽造的發票郵件給用戶,這些郵件中通常包含1組電話號碼,當消費者撥打電話後,詐騙者會聲稱用戶有款項拖欠,說服對方給錢。2、名人詐騙詐騙者會冒充是名人本人發出郵件,或聲稱某名人推薦某個特定產品、分享優惠,然後利用名人來建立信任,並用看似「好到不像真的」的伎倆,來誘騙用戶投資或購買產品。3、勒索詐騙在這類詐騙中,受害者通常會突然收到1封電子郵件,其中包含了他們家庭住址或照片,並威脅如果不給錢就會上門進行破壞,或是將個人數據洩漏到網絡上。另外,Google也建議,若想要避免陷入騙局,應該避免打開使用「緊急、未授權、不要錯過機會」等詞彙的郵件,接著將可疑郵件標記為垃圾郵件,並將其檢舉。此外,也可以新增Gmail雙重認證,能夠增加額外的安全保護。
果迷注意!駭客偽裝蘋果官方廣灑釣魚信件 一點「帳號秒被盜」
近日,美國資安公司賽門鐵克(Symantec)揭露了一波新的網絡釣魚攻擊。稱有不肖份子會將釣魚信件偽裝成蘋果公司官方發送的服務更新通知,當用戶受騙點開釣魚連結,Apple ID等帳號個資就會全部外洩。根據賽門鐵克公告,由於蘋果公司提供的眾多高價值服務都根據用戶APPLE ID進行,比如行動裝置的控制存取、個人財務資料存取、信用卡的刷卡消費等,因此有許多駭客專門以APPLE ID為目標進行針對性地資料竊取。賽門鐵克觀察到的最近這一波釣魚攻擊,主要透過電子郵件進行,同時也有部分個案是透過簡訊進行。駭客們會透過惡意電郵、簡訊,偽裝成蘋果官方,聲稱用戶需點擊郵件中的連結,同意官方存取數據,才能繼續使用iCloud。當用戶點開連結後,會被帶到一個與iCloud服務高度相似的假網站,當用戶在此輸入帳號密碼登錄後,個人的帳號資料就會外洩。對此,蘋果公司建議用戶盡量啟用「雙重認證功能」,確保即使他人得知用戶的密碼,也無法單憑密碼存取帳號資料。如何開啟Apple ID雙重認證?根據蘋果技術支援頁面的說明,如果用戶的Apple ID未使用雙重認證,可以在裝置或網頁上開啟此功能:在iPhone、iPad或iPod touch上,前往「設定」> 你的姓名 >「登入與安全性」。點一下「開啟雙重認證」。然後點一下「繼續」,並按照螢幕上的指示操作。在Mac上:選擇「蘋果」選單 >「系統設定」(或「系統偏好設定」),然後按一下你的姓名(或Apple ID)。按一下「登入與安全性」。按一下「雙重認證」旁邊的「開啟」,並按照螢幕上的指示操作。在網頁上:前往appleid.apple.com,並使用Apple ID登入。回答用戶當初設定的安全問題,然後點一下「繼續」。看到升級帳號安全性的提示時,點一下「繼續」。然後點一下「升級帳號安全」,並按照螢幕上的指示操作。
年底採購旺季到!百貨粉專優惠也有詐 刑事局破解:這是釣魚別點
耶誕節及元旦腳步近進入年終購物高峰期,詐團也摩拳擦掌,刑事局特別呼籲民眾小心,更破解最新詐騙手法,包括以節慶特賣明義,詐團假冒百貨公司粉絲專頁刊登特賣訊息,譬如名牌LV包包下殺後要價僅數千元,誘騙民眾掉進詐騙陷阱。刑事局提醒,年節期間常見的網路詐騙類型包括祝賀耶誕節或新年的釣魚郵件、假冒特惠商品、假冒禮品卡調查詐騙等,民眾一定要提高警覺、小心為上。刑事局表示,桃園市1名莊姓女子,日前在臉書看到購物社群在販售麥當勞優惠券,她點進去購買3張優惠券計2百多元,並輸入自己的信用卡號及驗證碼,不料,事後收到銀行簡訊通知刷卡8千多元,莊女發現金額顯有出入且未收到優惠券,始驚覺遭詐騙。警方指出,隨著聖誕節與元旦等年底熱門節日到來,詐團瞄準民眾購物高峰期,藉節慶特賣,冒用百貨公司專櫃粉絲團等方式,在社群媒體貼出優惠特賣訊息,利用歲末歡慶及消費旺季等時機,誘使民眾掉進詐騙的陷阱,引導被害人網路付款。另外,網路詐騙常見的還有祝賀聖誕或新年釣魚郵件、假冒特惠商品、假冒禮品卡調查詐騙等;有的受害人看到熟悉百貨公司的粉絲專頁,而誤信刷卡付款,如社群媒體臉書的粉絲團,是新成立或追蹤數很少,甚至沒有藍勾勾,都可能暗藏詐欺風險。經查,詐團通常利用email或簡訊夾藏帶有惡意連結的程式,來盜取民眾個資,甚至夾帶間諜程式或木馬病毒等「.exe」,此外,也會透過Imessage或RCS等網路簡訊傳送到IPhone或Android系統的手機,一不小心點開就可能會中毒。警方呼籲,看到陌生連結時,千萬不要點擊,並記得檢查寄件人的電話或email是否與他們聲稱的單位相符。如民眾有詐騙疑慮時,謹記多方求證,撥打165反詐騙專線或向官方網站查證,以免成為詐騙集團犯案目標。