雙重驗證
」 駭客 Google 帳號 詐騙 臉書
新北推智慧防汛平台 AI預警降雨提前2小時應變
颱風季來臨,夏季又易有短延時強降雨,新北市水利局長宋德仁3日於市政會議,以「一機在手 防汛ALL IN」為題做專題報告。宋指出,為打破傳統防汛方式,水利局依照第一線防汛人員的實際需求,開發整合「全時監測、AI判斷、即時推播」,即時同步推播29區公所,應變時間比以往至少提前2小時。宋德仁說明,新北市有7成為山地,卻有7成人口居住平地,都市密集開發,使得綠地減少,降雨時逕流量增加。若要興建雨水下水道、滯洪池或改建抽水站,受限於道路下方管線密布,面臨極大困難。市府透過16座抽水站預抽、推動《透水保水自治條例》,結合公園與校園的透保水設施,成功創造近300萬噸滯洪量能,有效因應極端氣候。中港大排結合智慧防汛平台遠端操作。(圖/新北市水利局提供)新北市水利局長宋德仁3日於市政會議,以「一機在手 防汛ALL IN」為題做專題報告。(圖/中國時報高鈞麟攝)宋德仁指出,近年來平台功能不斷創新,除平時有66座抽水站能主動接收推播,精準操作閘門。降雨期間,8處雨水下水道縱剖面搭配抽水站AI操作,由單純監測前池水位,升級為將上游的雨水下水道水位一併考量,提醒操作人員即時啟動或加開機組抽水,騰出下水道的滯洪空間。宋德仁表示,9座的透保水校園也與平台的下水道水位聯動推播,能由遠端操作多次排空作業,提升防洪成效。在雨量監控最具突破性的進展,是去年底開發6處CCTV雨絲辨識,在降雨達到10mm/10min條件下,透過AI技術的學習,判斷降雨強度的能力,比氣象署提前16分鐘辨識暴雨正在發生,爭取更多預警時間,2025年底再新增6處。宋德仁說,607支具有積淹水影像辨識功能的CCTV,搭配淹水感測器的雙重驗證,能即時瞭解積淹水的範圍與深度,今年目標將再增加100支。另有30處的雨量站,開發降雨達到警戒值時,系統會自動推播周邊的水情資訊的新功能,方便防汛人員快速判斷積淹水成因。宋德仁補充,水利局選擇12處雨水下水道水位敏感變化、流況複雜的地點,在空間侷限的地底下,建置CCTV進行監控,不僅提升監測能力,不再單純依靠水位計的數值,也能在大雨過後檢視排水系統,找出問題熱區並提出解決方案。新北市副市長劉和然聽取簡報後表示,全國獨一無二的「智慧防汛平台」,讓水利人員能夠從天上到地底下的水情,1支手機全盤掌握,並且持續運用AI人工智慧即時整合與判斷,使防汛指揮中心猶如移動式作戰指揮所,並且搭配未來的AI發展,取得更智慧的防汛功能。此外,2026年將迎來第一座搭配智慧防汛平台的智慧化抽水站,同時結合MR技術,讓虛擬的操作就能讓抽水站的機組啟動抽水,並配合鄰近的自設雨量站及雨絲強度,進行AI學習,掌握真實降雨量,發展更精準的AI雨絲影像辨識。
愛買忠孝店9月底熄燈!遭詐騙帳號假冒「歇業出清」 業者緊急發聲
位於台北市信義區的愛買忠孝店將在今年9月30日歇業,業者證實因租約到期和都市更新規劃,營運方向不再符合需求,才決定結束營業,讓不少當地居民紛紛喊不捨。豈料,近日出現詐騙集團假冒愛買在社群發文,佯稱「歇業出清」並附上詐騙連結,企圖誆騙消費者;對此,愛買火速發聲強調,官方只有一個臉書帳號,呼籲大眾不要受騙。知名大賣場愛買今(2)日透過官方臉書發聲,自愛買忠孝店宣布9月底結束營業後,社群上出現有詐騙集團假冒愛買官方帳號,創立像是「愛買-忠孝店」、「愛買網路特賣 - 忠孝店」、「愛買a.mart 忠孝店」、「愛買忠孝店特賣會」等多個帳號,並發布「歇業出清」、「萬件商品一件不留」的貼文,同時附上詐騙連結。業者指出,愛買在臉書只有一個官方帳號,強調「其他帳號一律不是官方,請不要上當受騙!」愛買也在文中提醒消費者千萬記得以下重點,切勿輕易透露個人資料,「無論是電話、簡訊還是社交媒體,請不要隨意提供您的身份證號碼、信用卡資料、銀行帳戶等個人信息」;還要謹防不明來歷的連結,「若收到不明的連結,請勿點擊,避免下載惡意軟體或被釣魚詐騙。」至於雙重驗證重要交易,當有人聲稱是公司或親友,要求匯款或提供個人資料,請透過其他方式再次核實對方真實身分;以及切勿輕信不實優惠,因為詐騙者常以「超低價優惠」或「限時促銷」等方式誘騙付款,呼籲大眾可以通過官方渠道查證優惠真實性。愛買最後特別提醒,民眾遇到可疑行為,請立即撥打防詐騙專線165確認情況。愛買忠孝店自2001年9月28日開幕,營運25年,在今年9月30日將結束營業。忠孝店熄燈後,愛買在全台門市剩下13間,台北市僅存景美店。
駭客入侵Google!25億Gmail用戶個資恐外洩 專家教5招自保
國際駭客組織ShinyHunters於今年6月成功入侵Google一個透過Salesforce雲端平台管理的重要資料庫,竊取大量企業與客戶聯絡資料。由於此次資安漏洞可能影響高達25億名Gmail用戶,引發全球關注。目前,Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。根據《每日郵報》報導,駭客疑似透過社交工程手法,誘騙一名Google員工提供登入憑證,從而取得該資料庫的存取權限。雖然Google聲稱目前無證據顯示有用戶密碼外洩,但被竊取的聯絡資訊已被用於電話詐騙與釣魚攻擊,受害者可能因此帳戶遭盜用,甚至個資外洩。資安專家奈特(James Knight)指出,駭客已開始透過冒充Google員工的方式進行詐騙,使用650區碼撥打假電話,甚至傳送簡訊引導用戶重設密碼、提供驗證碼。他強調,「如果收到來自 Google 的語音或文字訊息,十之八九是假的,千萬不要輕信。」奈特也指出,駭客還利用盜得的Gmail名單進行暴力破解攻擊,嘗試輸入常見密碼如「password」登入帳戶。專家呼籲Gmail用戶立即採取以下資安措施:1、啟用雙重驗證(MFA):提升登入安全性。2、更換強密碼:避免使用簡單、重複或被外洩過的密碼。3、使用密碼金鑰(Passkey):提升身份驗證層級。4、進行 Google 帳戶安全檢查:檢視潛在風險與異常登入紀錄。5、保持警覺:勿隨意提供驗證碼,不要輕信任何「來自Google」的來電或訊息。此外,駭客此次還利用「懸空桶(Dangling Bucket)」攻擊法,從過時或未封鎖的Google Cloud存取點切入,植入惡意程式或竊取更多資料。目前Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。發言人Mark Karayan拒絕進一步回應。奈特提到,雖然Google長年投資資安系統,並曾收購資安公司,但此次 Salesforce資料庫的漏洞仍令人震驚,「這些 email 資料對駭客而言如同金礦,他們可能已藉此獲得龐大利益。」他提醒所有網路用戶,「駭客會不斷透過大量測試與釣魚手段,試圖入侵帳戶。保持高度警覺,是防範詐騙的第一步。」
20年生活回憶全沒了 名嘴深夜崩潰痛哭吵醒兒:原諒我的脆弱
資深名嘴狄志為常在社群分享生活,27日他表示,他在深夜崩潰痛哭,因為發現臉書被停權,對他來說如晴天霹靂,因為20年生活回憶全沒了,還吵醒睡在身旁的兒子。網友表示,「希望志為哥早日將帳號救回。」狄志為在臉書發文,原諒他最近的脆弱,也不怕大家笑,因為忍不住崩潰兩次,「周六傍晚,我收到 Instagram 的通知,說我的帳號信箱被更改,問是不是我操作的,在確認完是Meta無誤後,立刻嘗試登入,卻發現密碼也被改了,雙重認證完全沒有發揮作用。」狄志為指出,「我一直以為有雙重驗證就很安全,沒想到在幾分鐘之內,我的帳號就被盜走。更糟糕的是,我的 IG 和 Facebook 個人帳號是連動的,沒多久我的私人 FB 帳號也被停權。因為個人帳號被停權,我現在完全無法進入我辛苦經營多年的粉絲專頁。」狄志為說,「粉專對我來說不只是工作,它是我一點一滴投入心力、用心經營的地方。觀察我周遭的人事物,跟各位共享一些心情點滴與正能量,但現在我只能靠管理員或小編幫我發文,偶爾回訊息,心裡真的很慌。」狄志為表示,整個週末他都沒心做其他事,周六晚上搞到凌晨一點想補救,「好不容易睡著,清晨五點多起來上廁所,發現 FB 被停權,那一刻我真的如遭晴天霹靂。」狄志為說,「那種無力感、焦慮感和失落感,一瞬間把我壓垮。我忍不住在清晨痛哭,因為我知道自己辛苦經營的一切,可能就這樣不見,崩潰的過程,還吵醒睡在我身旁的磊。」狄志為指出,「週日花了一整天四處奔波,只希望能把帳號救回來,甚至懷疑電腦中毒,好朋友建議我乾脆重灌兩台筆電。結果官方的救援和申訴機制就像一扇緊閉的門,無論怎麼嘗試都進不去。」狄志為直言,「我個人的 FB 裡有二十年的生活照片、日記和紀錄,那是我人生的一部分。現在我卻連登錄的權限都沒有,更別說管理我的粉專。想到這裡,我就覺得心被掏空。最諷刺的是,滿滿的詐騙帳號和釣魚網站猖獗至今卻都好好的,但我們這些努力經營、真心分享的人卻成了犧牲品。」狄志為說,「我知道有很多人跟我一樣,IG 被盜之後,帳號就被莫名其妙停權。很多案例甚至顯示 Meta 的AI管理機制有Bug ,但使用者在這個過程中,焦慮和無助卻沒有人看見。官方的保護機制和雙重認證看起來形同虛設,連寄信給 Meta 官方信箱都不知道有沒有用。」狄志為指出,「我真的曾想過放棄,但想到那些二十年的回憶、生活的記錄、以及陪伴我成長的每一篇文章,真的好不甘心。說真的,我也只能安慰自己,至少粉專還在,跟那些粉專被盜、整個消失的人比起來,我好像已經算是幸運的了。但只要私人管理帳號一天沒有回來,我就還是戰戰兢兢,心裡充滿恐懼。」狄志為說,「我知道有過一樣經歷的人一定懂——那種焦慮、失落、憤怒和無力感,讓人徹夜難眠。也許我還需要很長時間去努力,但我真心希望我的事能提醒更多人提高警覺,也希望 Meta 能夠正視這個問題,讓我們重新找回對這個平台的信任。」
iPhone用戶注意了 不法份子假冒UPS發送簡訊「目標竊取用戶個資」
近期一種假冒「UPS」的詐騙簡訊在美國大規模流傳,不法份子專門針對iPhone用戶下手,企圖竊取個資。這些訊息乍看之下語句通順、內容逼真,聲稱使用者有包裹投遞失敗,若不立即點選連結重新安排,包裹將退回寄件人。但這些簡訊其實來自犯罪集團,並未提供任何實際包裹編號,而是一種廣泛散佈的釣魚詐騙,目的是誘騙正在等包裹的民眾點擊偽造連結或回覆簡訊。根據《apple insider》報導指出,這類詐騙訊息通常附上一個看似正常的網址連結,但其實是導向假UPS網站。例如最近一封簡訊內的網址為「serveye.co.us」,與真正的UPS官網UPS.com毫無關聯。這些假網站會誘使用戶輸入個人資料,有時甚至要求複製連結貼到Safari瀏覽器中開啟。某些詐騙簡訊還會要求用戶先回覆字母「Y」,藉此讓iPhone視為「已知聯絡人」,從而解鎖簡訊內的連結,使詐騙過程更加順利。根據目前掌握的資訊,這類訊息多來自廉價的大宗簡訊平台,背後常涉及海外組織,包括中國的犯罪集團。透過大量收購的手機號碼,他們以極低成本大量散播詐騙訊息。即使只有少部分受害者上鉤,對詐騙者來說仍具有極高的報酬率。Apple雖已針對這類詐騙作出防範,例如阻擋未知聯絡人簡訊內的點擊連結,並在iOS 26系統中強化垃圾訊息過濾功能,設立獨立資料夾來區分雙重驗證與可疑訊息,但詐騙手法仍在演變。詐騙者現在會教導用戶如何繞過限制,例如回覆簡訊或手動開啟連結,使得這些保護措施失效。Apple在iOS 26中,除了「液態玻璃」(Liquid Glass)為視覺設計亮點外,系統也導入了多項反詐騙新功能。像是訊息App的垃圾訊息資料夾,電話App也新增了接聽未知來電前的語音篩選功能,要求對方先說明來電原因,供使用者判斷是否接聽。而語音信箱目前則無自動封鎖機制,但當使用者收到可疑留言時,系統會提供「回報垃圾訊息」按鈕,可選擇刪除或保留留言,同時將其送交Apple審查。
160億筆帳密外洩「蘋果、META、Google全中招」 有兩階段驗證也沒用「Cookies也外流」
近期爆發一起有史以來規模最大的帳密外洩事件,總計高達160億組帳號密碼在網路上曝光,牽涉範圍涵蓋Apple、Google、Facebook、Telegram、GitHub與多項政府與企業服務。根據《Cybernews》研究,這些資料並非舊資料回鍋,而是來自近期的資訊竊取行動,且絕大多數是被惡意軟體所擷取。根據《Cybernews》報導指出,這些紀錄分散在30個不同的資料庫,單一資料庫內最多包含35億筆資料,平均每筆資料集則約有5.5億筆。即使部分資訊重複,整體數量仍具驚人規模。研究團隊發現,這些資料庫結構清晰,常以網址搭配帳號密碼呈現,許多還附加Cookies、Session權杖與自動填入的瀏覽器中繼資料,能讓攻擊者直接繞過兩階段驗證(2FA)系統,入侵用戶帳號。《Cybernews》資安研究員迪亞琴科(Bob Diachenko)強調,這不僅是一場單純的資料外洩,而是一份「攻擊指南」,足以為釣魚詐騙、勒索軟體與企業郵件詐騙(BEC)行動提供「彈藥」。迪亞琴科表示,目前尚未出現證據顯示Apple、Facebook或Google本身發生過集中式資料外洩,但用戶憑證中已明確出現指向這些平台的登入網址,這意味著,帳號資訊可能是在用戶端被盜取。研究也發現部分資料庫的命名可能顯示潛在來源,例如一筆含4.55億筆紀錄的資料庫,其顯示來自俄羅斯聯邦(Russian Federation),另有一筆6000萬筆資料的集合則命名為Telegram。規模最大的資料庫紀錄超過35億筆,似乎與葡萄牙語族群有關。資安研究人員強調,這些包含Cookies與Session資料的憑證外洩事件,對未啟用雙重驗證或未定期清理登入資訊的用戶與組織構成極大風險。因為Cookies與Session資料可讓攻擊者無需輸入密碼和一次性驗證碼,即可模擬合法用戶登入,尤其對許多未自動清除登入狀態的系統來說,幾乎毫無防禦能力。回顧過去幾起重大資料外洩事件,這次160億筆資料的洩漏與2024年被稱為「所有外洩之母(Mother of All Breaches,MOAB)」的260億筆紀錄相互呼應。當年還曾出現名為「RockYou2024」的外洩包,內容包含近百億筆獨立密碼。此外,日前也發生中國用戶資料大量外洩的事件,影響涵蓋微信(WeChat)、支付寶(Alipay)與個資金融紀錄。面對龐大資料外洩風險,研究人員建議使用者務必啟用多重驗證(MFA)、定期更換密碼、避免重複使用舊密碼,並善用密碼管理工具建立獨特密碼組合。若有系統支援登入紀錄與安全警示,也應啟用監控功能,第一時間辨識異常行為。報導中指出,許多駭客是藉由使用資訊竊取工具來完成資料蒐集。這些惡意程式常藉由盜版軟體、受感染的PDF、遊戲模組等形式植入用戶裝置,一旦入侵成功,便能持續擷取憑證、Cookies、瀏覽紀錄、文件與內部工具資訊,最終在暗網販售或彙整為資料集用於後續攻擊。研究團隊警告,駭客甚至無須百分之一的成功率,只要憑藉這類大規模資料集中微小的命中率,便足以開啟數百萬筆帳號的大門。
資安研究團隊曝自年初已有160億筆帳密外洩 蘋果、Google、臉書都遭殃
資安研究團隊Cybernews近日透露1則令人擔憂的消息,自2025年初以來,全球共有高達160億筆帳號密碼外洩,其中包括蘋果、Google、臉書等,甚至連政府入口網站都無法倖免。對此專家也建議,民眾除了立即更換帳號密碼外,也要避免在不同平台使用重複的密碼,來路不明的訊息與信件連結,也勿隨意點擊,以免造成重要資料外洩。根據外媒報導,資安研究團隊Cybernews從2025年初開始監控網路環境,至今發現30組外洩資料集,每組包含數千萬到35億筆帳號密碼,總計高達160億筆資料外洩,與先前遭駭客攻擊後外洩的資料不同,資安研究團隊警告,這些外洩的帳號密碼「是全新的、可大規模武器化的情報。」Cybernews指出,這些外洩的帳密包含蘋果、臉書、Google,甚至是政府單位的入口網站,這些帳密多半來自資訊竊取型惡意程式,其中最大的1組資料,疑似來自葡語地區,用戶數量十分驚人。Desired Effect執行長、前美國國家安全局網路安全專家伊凡(Evan Dornbush)指出「無論你的密碼有多長多複雜,只要駭客攻破儲存密碼的資料庫,他們就能掌握密碼。」Approov副總裁喬治(George McGregor)也將這種大規模資料外洩形容成第1張多米諾骨牌「將引發一系列潛在的網路攻擊」。同時資安專家也建議一般民眾立即採取行動,更換重要帳號的密碼,除了設定為高強度密碼外,也應避免在不同平台使用重複的密碼;此外,資安專家也建議民眾使用密碼管理工具並開啟雙重驗證,切勿忽視網路釣魚的不明訊息與連結,並定期檢查電腦與手機是否感染惡意程式。
1.84億組帳戶資料外洩!Apple、Google、Instagram都中招 專家:快啟用雙重驗證
近年來資料外洩事件頻傳,日前有位長期從事資料外洩追蹤的安全研究員弗勒(Jeremiah Fowler)發現,一個未受保護的大型資料庫中,竟出現超過1.84億個帳戶資料,總容量高達47.42 GB,內容包括Apple、Facebook、Instagram、Google和Spotify等等使用者的名稱及密碼。根據《連線雜誌》(Wired)等外媒報導,事情發生在5月初,弗勒在一台「非託管伺服器」中發現了高達47.42 GB、超過1.84億個登入憑證資訊,其中包括Facebook、Google、Instagram、Roblox、Discord、Netflix、PayPal、Amazon、Twitter(現改名為X)等等使用者的名稱和密碼。弗勒分析1萬個帳戶為樣本,有479個Facebook帳戶、475個Google帳戶、240個Instagram帳戶、227個Roblox帳戶、209個Discord帳戶,以及微軟、Netflix和PayPal帳戶各100多個;他也利用關鍵字進行搜尋,結果顯示「銀行」一詞有187個,而「錢包」一詞有57個。弗勒說到,除了社群平台以外,這些資料還涉及銀行、金融服務機構、個人健康平台、政府網站等等;而他以其中1萬多個被洩露帳戶為樣本,發現至少220個帶有「.gov」網址的電子郵件,並與至少29個國家有關,包括美國、澳洲、加拿大、中國、印度、以色列、紐西蘭、沙烏地阿拉伯和英國等等。弗勒認為,這次入侵很有可能是網路犯罪分子所為,因為他想不出其他方法可以從全球如此多的伺服器獲得這麼大量的資訊,而在這1.84億個帳戶裡,沒有可識別的擁有者,且登入ID亦沒有任何用途,「這可能是我這麼多年來發現最奇怪的1次」、「這不是我第1次看到壞人洩漏數據,只是規模如此之大」。弗勒也懷疑,收集這些數據的人,可能使用了名為「infostealer」的惡意軟體程式來編制這份名單,也可能透過未經授權的交易或身分盜竊來進行詐欺,從而獲取金錢、個人醫療紀錄、財物文件等等。弗勒建議,使用者應該定期檢查個人帳戶的安全性,啟用雙重驗證,並刪除電子郵件內存放的敏感文件,降低個資外洩的風險。
駭客發動「高階」網路釣魚攻擊 Google急對18億Gamil用戶發警告
針對近期一起涉及18億名Gmail用戶的「高階」網路釣魚攻擊事件,Google緊急發出安全警告,提醒全球用戶提高防備。這場攻擊的揭露者是加密貨幣平台以太坊(Ethereum)的開發人員強森(Nick Johnson),他於4月16日在X平台上公開說明整起過程,表示攻擊者利用了Google基礎設施中的一項漏洞,且Google至今仍未修補,恐將導致類似事件更加頻繁。根據《每日郵報》報導指出,強森收到一封看似來自Google的電子郵件,內容稱其帳號遭傳票調查,需交出存取權限。該信不但使用了合法的Google地址發送,還通過了DKIM簽章驗證,這代表該郵件在傳送過程中未被竄改。更具欺騙性的是,這封信被歸類於與Google其他安全警示相同的對話串中,使得Gmail用戶難以察覺異常。唯一可疑之處,是該釣魚連結實際架設在sites.google.com,而非正牌的accounts.google.com。當強森點擊後,進入一個看似Google「支援入口」的頁面,點選「上傳更多文件」或「查看案件」後,都會被導向與Google官方頁面幾可亂真的登入頁,要求他輸入帳號密碼。強森警告,若不慎輸入憑證,駭客即可藉此入侵帳號,他本人則在發現異常後立刻中止操作。Google後續對此事件進行回應,證實這起來自特定威脅行為者攻擊行為的存在,並已啟動封鎖措施。Google發言人表示,Google鼓勵用戶啟用雙重驗證與通行密鑰(passkeys)來提高防禦。Google也重申,官方絕不會主動要求用戶提供密碼、一次性驗證碼或確認推播等帳號憑證,更不會打電話要求提供此類資訊。這次攻擊的詐騙策略之一,是利用Google Sites製作釣魚網站,假冒官方頁面來取得信任。強森表示,許多用戶只要看到網址中含有「google.com」就會誤以為安全,進而上當。強森也警告,若使用者僅以密碼登入Gmail帳號,遭竊後幾乎無任何保護機制能阻止駭客入侵。駭客甚至能利用自己的裝置產生雙重驗證碼,繞過安全措施。相較之下,通行密鑰則具備裝置綁定機制,無法被駭客遠端使用。Google也補充表示,近期已更新教育資源,說明如何辨識詐騙郵件,並強調即便官方會以電子郵件與用戶聯繫,也絕不會要求透過連結更新帳號或付款資訊。多數詐騙郵件會以通用稱呼開頭,並製造緊急情境,引導用戶點擊連結提供資料。此外,由於這類詐騙常假冒司法或政府機關的傳票,Google在其《隱私權與條款》頁面中也特別說明,若真收到來自政府的要求,公司會先發信通知使用者或其帳號管理員,除非法律明令禁止;一旦禁令解除,Google會補發通知。因此,若收到要求提供個資或帳號資訊的電郵,用戶應避免直接點擊郵件內連結,而是手動開啟新瀏覽器輸入網址以驗證真偽。Google再次提醒「每當網站要求你提供個人資訊時,請提高警覺。我們從不主動要求密碼或其他帳號資訊。」
5類資訊勿告知ChatGPT!專家揭嚴重後果 最慘恐釀金錢損失
當今不少人將人工智慧(AI)聊天機器人視為生活助手,彼此無話不談。然而,國外有專家警告,若不慎透露個人敏感資訊,可能會帶來資安風險。《華爾街日報》報導指出,輸入5類資訊給ChatGPT等聊天機器人,等同於「失去對它的控制權」,呼籲使用者提高警覺。史丹佛大學「以人為本人工智慧研究中心(Institute for Human-Centered)」研究員金恩(Jennifer King)受訪時指出,「當你把資料輸入聊天機器人,你就失去對它的控制權。」OpenAI也在官網提醒使用者「請勿分享任何敏感資訊。」Google對旗下聊天機器人Gemini使用者則強調,不應輸入「你不願審查者看到的資料」。報導整理出5大類「高風險資訊」,使用者應避免與AI平台分享。一、身分資料不要向AI平台透露任何身份資訊,包含身分證字號、駕照號碼、護照號碼、出生日期、住址及電話等。雖然部分平台會進行編輯,但完全避免分享這些資訊會更安全。二、醫療結果雖然醫療業重視患者的隱私權,以保護當事人個資以及免受歧視,但隱私權並不適用於AI平台。金恩建議,若有需求,應將資料剪裁成「僅包含檢查結果」,並刪除個資,降低外洩風險。三、財務帳戶所有與金融資產相關的帳號、登入資訊,不可輸入AI平台。黑客一旦掌握此類資料,恐釀成金錢損失。四、登入訊息由於聊天機器人不斷增強執行任務的能力,似乎成為可向它提供帳戶使用者名稱和密碼的理由,但這些AI平台並不是保險庫,也不能保證帳戶憑證的安全,更好的辦法是將相關資訊放入密碼管理器中。五、公司專有資料部分使用者習慣用AI平台協助撰寫工作信件或合約草稿,卻可能不經意暴露客戶資訊、內部文件或未公開的商業機密。《華爾街日報》指出,除非一些公司訂閱企業版的客製化人工智慧程序,否則使用者仍需自行審慎把關。若使用者仍希望與AI平台保有互動,專家建議應設定高強度密碼,並啟用雙重驗證。AI公司「Anthropic」資安長安長克林頓(Jason Clinton)補充,對話紀錄應於結束後立即刪除,多數公司會在30天後永久清除資料。
為逃兵找槍手抽血幫造假!北市10年僅8件詐逃 手法一致為「假愛滋」
藝人王大陸涉嫌偽造病歷逃避兵役,引發社會關注,台北市議員曾獻瑩2日發現,近10年北市利用假資料申請體位改判的案件僅有8件,且全部為假愛滋案件,建議北市兵役局應建立雙重驗證機制,杜絕兵役詐欺。兵役局回應,持續落實役男申請複檢作業的查核機制。曾獻瑩指出,這8名役男的手法幾乎一致,由感染愛滋的槍手抽血檢驗,取得陽性診斷後,再以全國醫療卡申請復檢,最後成功獲得免役判定,整起案件還是兵役處收到匿名檢舉才曝光。曾獻瑩表示,案件曝光後雖然局處強化防堵措施,新增愛滋用藥記錄比對,查核以愛滋申請免疫的役男用藥、治療紀錄,但顯示部分改判體位事由的查核機制仍有改進空間,除愛滋病之外、還有像是高血壓等慢性疾病,都可追查用藥紀錄,來建立雙重驗證的機制。另第一線體檢的人別確認,曾獻瑩建議,可導入人臉辨識等科技工具,避免槍手代驗的情形,這次王大陸案曝光,顯示逃兵案件有集團操作手法,甚至有所謂的免役產業鏈,呼籲兵役局應強化查核機制,維護兵役公平。兵役局說明,假愛滋案該病狀屬體位區分標準表第3項的「法定傳染病」,依照中央役男體位審查會第90次會議決議,役男罹患該病症並檢具有全國醫療卡者,得採認該卡並逕予判為免役體位,但2008年採行後,發現有役男自核卡後未曾有相關就醫紀錄,有違疾病治療的常理。兵役局說,為防範役男以「假愛滋」不正當手段取得全國醫療服務卡規避兵役義務,內政部也於2021年重行訂定相關查核作業,增加比對役男就醫及用藥紀錄等機制,以防範類此案件再次發生。兵役局強調,若發現役男以相同病名申請複檢改判體位的案件異常增加,或役男檢具的診斷證明書所載的病況,與參加徵兵檢查時差異甚大的案件,均即行主動瞭解,並報請中央調查處理,經嚴謹程序把關後,妨害兵役移送的案件,已不多見。此外,議員所提人臉辨識科技建議,兵役局回應,會再適時利用會議與中央主管機關內政部役政司研討。
簡訊驗證碼安全隱患多 Google證實將以QR Code逐步取代
手機簡訊驗證碼存在許多瑕疵,例如容易被駭客釣魚攻擊、用戶可能無法隨時使用設備收取驗證碼。Google近日也證實,Gmail身分驗證方式將逐步捨棄簡訊驗證,改以QR Code進行身分驗證,如此便能提升帳戶安全性,也能減少對電信業者的依賴。根據《富比士》(Forbes)報導,以簡訊取得安全碼進行身分驗證,並不是1個理想的選擇。Gmail發言人羅斯(Ross Richendrfer)就指出,簡訊驗證碼存在許多安全隱患,包括容易被駭客釣魚攻擊、若駭客從電信業者端取得用戶電話號碼,便能一同取得簡訊驗證碼等等,且用戶可能無法隨時使用裝置收取驗證碼,大大影響了便利性。目前Google使用簡訊驗證的主要目的有2個,一是確保用戶與先前的使用者始終是同一人,再者是為了防止不肖人士大量創建Gmail帳號,發送垃圾郵件與散播惡意訊息。不過近年來使用驗證碼程式(Authenticator Apps),或是使用無需應用程式的雙重驗證(2FA),已取代簡訊驗證成為主流,Gmail發言人羅斯表示,以QR Code進行身分驗證的時代即將來臨,未來會逐步捨棄簡訊驗證,以減少全球簡訊濫用的影響。Google認為使用QR Code驗證有兩大好處,一是降低網路釣魚的攻擊綠,二是減少對電新業者的依賴,雖然目前Google還未透露新驗證方式上路的具體時間,不過羅斯表示「簡訊驗證對用戶而言存在高風險,我們很高興能推出新的驗證方式,提升安全性。」
新型木馬「Rafel RAT」嚴重肆虐 三星、小米、ViVo、華為全遭殃
目前有消息指出,有一款名為「Rafel RAT」的新型木馬病毒,正在全球的Android裝置上迅速感染中。而根據資安單位的調查,這款木馬除了能竊取個資外,還能遠端操控裝置,甚至有攔截雙重驗證的可能。目前受害裝置中,以三星、小米、ViVo、華為等品牌手機為大宗。受害Android品牌排序。(圖/翻攝自Check Point Research)根據以色列資安機構「Check Point Research」發布的調查報告,這款名為Rafel RAT的木馬病毒有著以下功能:取得管理員權限將應用程式添加到白名單(忽略電池優化)看起來像合法的應用程式即使應用程式已關閉也能在背景運行(可能在某些設備上無法運行)支援無障礙功能支持Android v5 - v12不需要端口轉發獲取鎖醒權限完全無法檢測繞過Google Play Protect檢查抹除SD記憶卡鎖定設備螢幕更改手機桌布啟動勒索軟體遠端呼叫設備進行震動刪除通話記錄通過Discord通知受害者竊取通知(通過Discord發送)「Check Point Research」表示,他們偵測到約120起使用Rafel RAT進行攻擊的活動,其中包含了一些知名單位、軍事組織,受害目標大多來自美國、中國與印度,但其實整體受害區域相當的寬廣。受害用戶國籍。(圖/翻攝自Check Point Research)「Check Point Research」直言,Rafel RAT由於可以移轉手機內資料的關係,甚至開發出攔截雙重驗證訊息的技術,在案例的調查階段中,他們發現不少受害案例都有雙重驗證被繞過的紀錄,成功獲取到受害者其他社群帳號的資料與存取權限。而根據調查,受害的裝置以Android系統為主,其中以三星、小米、ViVo、華為等品牌受害嚴重。但報告中也明確表示,這些品牌之所以受害情況比較嚴重,主要是因為其智慧型手機較受歡迎、市場銷量較好所致。另外一個狀況是,許多遭感染的裝置其實都是早已停止支援更新的舊版Android系統。受害裝置分布。(圖/翻攝自Check Point Research)報告中也提到,Rafel RAT會偽裝成許多知名的社群軟體,如Instagram、WhatsApp,或是各大電商平台、防毒軟體的官方APP,他會透過偽裝成這些軟體,逐步取得使用者手機的權限,進而讓Rafel RAT徹底控制受害人的手機。如果有受害人發現,想要移除木馬的話,木馬軟體本身甚至還可以阻止受害人移除,或是駭客直接透過木馬遠端鎖定螢幕、變更密碼,讓使用者無法使用手機。報告中也明確表明,Rafel RAT的出現,就是安卓惡意軟體不斷演變的典型例子,其有著開源性質、廣泛的功能集以及在各種非法活動中的廣泛應用的特點。網絡犯罪分子如使用Rafel RAT這樣的技術和工具來破壞用戶隱私、竊取敏感數據和實施金融欺詐,想要防範的話,多層次的網絡安全觀念是必不可少的。
收簡訊「微軟帳號被登入」 轉頭社群帳號全被盜!用這網頁查詢駭客偷登記錄
近日,微軟帳號再傳被盜消息!一名網友在臉書分享慘痛經驗,表示3號晚上收到簡訊通知「微軟帳號被登入」,由於乍看像是詐騙,且開電腦登入後也無異狀異狀,因此他當時不以為意。不料睡了一覺醒來,驚覺重要社群帳號全被盜!事後,這名網友費了好一番工夫才一一找回帳號,為此他特別撰文,提醒網友檢查微軟登入狀況並注意防範,收到簡訊通知也不要忽視。網友在臉書公開發文分享經驗,表示自己3日晚間收到簡訊通知「微軟帳號遭登入」後,誤以為是詐騙簡訊,並未進一步檢查帳號的所有登入資訊。隔天一覺醒來,發現自己的FB、IG、Google、微軟帳號全數被盜,好在他大多帳號都有綁雙重驗證,駭客也沒有把設定移除,因此可以一一搶回控制權。接著,他透過微軟官方的「帳號登入記錄」詳查登入資訊,驚訝發現原來他的微軟帳號至少從4月初就開始被來源不定的IP以暴力破解嘗試登入,一直到3號才成功,也因此收到那封簡訊通知。他進一步透露,他大多數綁定兩階段認證的社群帳號會被盜用,可能是由於微軟帳號跟電腦作業系統有綁定同步,因此駭客在破解他的微軟帳號後,便以此冒用資訊在其他電腦上偽裝成已認證的電腦,因此成功繞過兩階段驗證的設定。不少網友見狀,紛紛進入「微軟帳號登入記錄」查詢,驚覺自己的帳號也曾遭到他人嘗試登入,趕緊開啟兩階段認證保護帳號安全。還有網友看見原PO分享的通知,認為真的不太能怪苦主,「那個簡訊看起來真的超像詐騙!」
孫翠鳳突發「緊急公告」!明華園粉專遭盜用 「管理員被踢出」網頁消失
台灣最大規模的知名歌仔戲團「明華園」創立於日治時期、西元1929年,至今已有95年歷史,劇團也曾多次赴海外表演;當家小生孫翠鳳為多人熟識的當家小生角色。然而她昨(24)日突發布緊急公告,表示明華園的官方粉專遭盜用,並呼籲粉絲切勿上當。明華園粉絲團遭不明人士盜用。(圖/翻攝臉書頁面)孫翠鳳昨日在臉書粉專發文表示,明華園戲劇總團官方粉絲專業在昨凌晨遭不明人士入侵,網頁也不翼而飛,目前正由小編協助處理。同時他們也呼籲粉絲,「如果有收到任何訊息請勿當真!皆非官方」,並附上一張孫翠鳳在《蓬萊仙島──漢鍾離》中的角色照蓬萊仙島勇士鍾離權,「希望他能化身蚩尤,替官方粉專討回該有的和平哈哈哈啊哈哈哈」。明華園同步在官網公告,表示粉絲若有任何問題可私訊IG。(圖/翻攝明華園官網)對此,許多粉絲也相當擔心,紛紛表示希望盡早找回帳號;而明華園的粉絲專頁目前顯示「無法查看此內容」,官網表示雙重驗證措施已做,但帳號仍被盜用,且全數管理員接被踢出,無人能開啟粉專,若有任何問題可私訊Instagram。
iPhone狂跳「登入要求」有被盜可能? 3C部落客傳授1招自救
近期有多名網友在臉書社團表示,自己的iPhone近期一直收到登入通知,而且登入地點都是在中國的長沙、福建、四川等地。社團管理員、3C部落客瘋先生表示,會有這樣的情形代表用戶的APPLE ID帳號密碼遭到盜用,但是被蘋果的「 Apple ID 雙重驗證」給擋下來,呼籲使用者如果有出現類似的情形,應該要盡快修改APPLE ID的密碼,避免帳號遭到有心人士盜用。3C部落客瘋先生發文表示,一般而言,民眾在其他裝置登入APPLE ID的時候,通常自己的iPhone都會跳出一個登入通知訊息。而最常見的情況就是出現「APPLE ID正在板橋區附近登入」的通知,瘋先生表示,即便你不在板橋,但是卻看到這樣的通知是正常情況,因為APPLE官方主要讀取的是「電信業者伺服器所在位置的資訊」,因此並非是絕對準確,就算是出現台北、台南、台中也都正常。最要就是,在跳出這些訊息之前,你自己本身就有進行登入。但如果使用者並沒有登入帳號,而且登入通知是顯示在海外,比如中國、香港、日本等地,這基本上就能判斷APPLE ID的密碼有高度外流的可能,很有可能就是駭客正在試圖登入,結果被蘋果官方的兩階段驗證給擋住。瘋先生表示,如果看到這樣的畫面,第一時間就先按下「不允許。瘋先生也表示,如果有遇到類似的情形,使用者不是按下不允許就行了,還要盡快地修改APPLE ID的密碼。而修改密碼的地方在iPhone中的「設定」=>「最頂端的APPLE ID帳號」=>「密碼與安全性」=>「更改密碼」,在這邊就可以即時性的幫你的APPLE ID進行密碼的修改。
推特新收費制度上路 「藍勾勾」3/20起獨享簡訊雙重驗證防駭客
由於近來有駭客濫用推特(Twitter)的簡訊雙因素驗證(2 Factor Authentication,2FA),Twitter上周六(18日)表示,將針對其普遍使用的文字訊息雙重因素認證作出大的改變。之後只開放付費訂閱Twitter Blue用戶使用2FA方式來保護他們的帳戶,而非付費訂閱用戶將不再具有此項驗證功能。Twitter官方發推文宣布,已註冊的非付費訂閱Twitter Blue用戶將有30天的時間更改為其他方法。在下個月(即3月20日之後)僅「藍勾勾」Twitter Blue訂閱戶才能享用取得經「簡訊雙因素驗證」的高強度性隨機安全密碼。而未付費訂閱但仍啟用簡訊雙因素驗證的帳戶將被禁用。也就是說,若本身沒有加入Twitter Blue訂閱用戶並升級為取得「藍勾勾」標章的話,未來僅能透過第三方安全密鑰驗證器;而Twitter Blue訂閱用戶,則將享有獲得帳號安全的簡訊驗證碼專屬功能。據外媒報導指出,Twitter之所以針對簡訊雙因素驗證系統採取收費新政策,主要是電話簡訊的雙重認證方式正在被不肖業者濫用,使用機器人發送認證簡訊,造成垃圾簡訊與詐騙行為;老闆兼執行長Elon Musk也表示,因為電訊公司使用機器人來發送認證簡訊,並且推特每年因為詐騙簡訊損失6000萬美元(約新台幣18.2億)。附帶補充的是,Musk於去年入主接管推特社群平台後,大力推行Twitter Blue訂閱付費服務。Twitter這項新政策目背後也在試圖吸引更多用戶付費訂閱,此服務每月Android用戶要價8美元(約新台幣243元),iOS用戶則要價11美元(約新台幣334元);而原先免費給已驗證帳號的藍色勾號,也對任何準備付費的用戶採取開放。Twitter認為,取消此項選項將有助於減少對其平台由垃圾郵件發送者和詐騙者造成的影響。然而,停用簡訊雙因素驗證的用戶將不會取消將手機號碼和帳戶的連結,用戶可以在帳戶設定中更新電話號碼。官方一方面希望減少垃圾郵件發送者和詐騙對平台的影響,不過有些人對付費取得額外安全性的想法感到不滿,而另一些人則覺得這是確保他們帳戶安全的必要步驟。
iCloud驚傳備份災情 用戶:更新16.3後出問題
蘋果iPhone的作業系統iOS日前釋出了最新的iOS 16.3版本,但不少用戶在更新之後,發生無法使用iCloud進行雲端備份與同布上傳的情形。目前外媒認為應該是缺少身分雙重驗證有關。根據《Apple Insider》報導指出,這起事件目前在蘋果官方的支援論壇以及美國社群網站Reddit上都有案例,部分用戶在更新到iOS 16.3之後,就出現無法與iCloud進行連線的問題,其中包含了iCloud雲端硬碟和iCloud備份。當用戶出現無法連線的問題後,手機畫面上會跳出提示視窗「發生意外錯誤,請稍後再試」。Reddit的網友試圖進行分類,發現出現問題的用戶共同點是沒有啟用雙重身分驗證,而由於iOS 16.3的更新內容是包含了啟用物理安全密鑰來保護帳號,因此網友們認為對Apple ID啟用雙重身分驗證是可以解決的辦法。但報導中也指出,有些用戶即便啟用了雙重身分驗證,還是遇到相同的問題。目前仍有待蘋果官方針對此問題進行排除。
北市警局科長公務帳號私揪正妹議員吃飯? 北市刑大:追查冒用者中
台北市議員林亮君昨(29)日在臉書發文,指稱北市警局保防科長林基田透過通訊軟體邀約她吃飯見面。但林基田本人自稱未使用該軟體,自己是受害者。對此,北市刑大回應,經查林基田並未使用該通訊軟體,研判是遭人盜用,案件已由市刑大科技犯罪偵查隊受理,將追查不法冒用者之身分。北市議員林亮君昨天在臉書PO出1張對話截圖,上面是台北市警局保防科長林基田私訊問她「在忙什麼」、「裝不認識嗎」,接著約她出去吃飯。林亮君發文批「警察局科長約我吃飯喔?反詐騙反到被盜帳號這樣不行喔。」接著,民進黨立法委員高嘉瑜也PO出類似奇怪對話,質疑「這隻手機號碼應該是台北市警察局保防科長的公務手機,警察局回覆是被盜帳號,若連警察自己都被盜帳號,甚至成為詐騙幫兇,那民眾要如何自保?」北市刑大指出,初步研判,應有人冒用林基田公務門號申請該通訊軟體帳號,再以其他方式取得登入驗證碼後,進一步取得該帳號控制權,並冒用林基田的名義私訊他人。也表示該行為已觸犯《妨害電腦使用罪》,案件由刑大科技犯罪偵查隊受理,已協助檢舉該冒用帳號,並持續追查不法冒用者之身分。對此,林基田也喊冤,不但沒有使用這個軟體,且未下載該軟體,無辜被盜用,自己也是受害者,目前已做相關處理,也呼籲民眾要小心詐騙。警方呼籲,不法集團會以各種方法誘騙、盜取民眾個資,民眾使用網路社群或通訊軟體時,切勿點選來路不明簡訊、連結或於網頁輸入個資,也不要提供個資或傳送手機擷圖給未經查證的對象,同時應該在網路社群或通訊軟體設定雙重驗證或掃碼登入提升安全性,並設定每次登入通知,檢視有無來路不明的設備重複登入帳號。
元大落難記3/道高一尺魔高一丈駭客天天攻擊 股民下單三招防身術免淪肉票
國內共7家證券商、期貨商通報「密碼撞庫攻擊」資安事件後,金管會等主管機關隨即高分貝提醒民眾,「勿用身分證、生日作為登錄帳密」,並要求業者清查「交易下單憑證」的防護力。CTWANT調查,各證券期貨商現也正趕工升級再加一層簡訊動態密碼「OTP」(One-time password),提高交易安全防護力。這次「1125密碼撞庫攻擊」事件爆發,令資安界十分傻眼。知情人士向CTWANT記者透露,「這次駭客攻擊成功,主要是有些證券、期貨商在採用兩道關卡的『登錄帳號、密碼+下單憑證』雙重驗證中,讓客戶登錄及申請憑證都可以使用『出生年月日』,才會在駭客蒐集到民眾的個資、帳號密碼後遭到破解。」「雙重驗證,這是最基本防駭之道,為何可以用『出生年月日』當密碼這種事,竟出現在受到高度監管的證券、期貨商。」這位資安專家不解的說。「其實金管會、證交所一直宣導業者須提高資安防護力,很多同業都是禁止客戶使用最容易遭外洩的個資,像是身分證、生日當帳號、密碼。」相關主管機關高層也分析說,「由於一直有客戶向券商、期貨商反映不擅長網路交易,希望帳號、密碼可以簡單些,才會開這道寬門可用身分證、生日完成下單憑證。結果出事了,業者也只能自己吞下損失的金額。」對此,元大證券強調他們在提供投資人第一道的「登錄」服務時,是禁用「生日」當作密碼。民眾網路交易愈加頻繁,愈加要留意陌生網址的優惠吸引,這是屬於一種釣魚取得個資的手法之一。(圖/翻攝趨勢科技防詐達人臉書)CTWANT調查,今年1月金管會、證交所、期交所等主管機關,就有要求證券、期貨商落實下單登錄時,應採雙因子(例如:下單憑證、綁定裝置、OTP、生物辨識等)認證防護機制。目前,券商網路、App等下單平台系統,基本上採取二道交易安全防護關卡,第一關是用戶人登錄的帳號、密碼,第二關交易下單憑證。11月底的密碼撞庫事件後,在金管會、證交所等強烈建議下,證券、期貨商已經在增設第三關的「OTP」,藉此加強交易安全防駭力。目前國內配合主管機關提供的「下單憑證」機制的安控廠商,主要為全景軟體、臺灣網路憑證這二家公司;看盤App設計廠商則以三竹資訊為最大宗。這三家廠商正將完成的「OTP」程式設計送至Apple、Google上架App更新系統審核中,這也是元大行動精靈App尚未恢復複委託電子下單的原因之一。趨勢科技資深技術顧問簡勝財跟CTWANT記者說,「網路交易的方便性與安全性,是天秤的兩端,如何取得平衡,考驗企業、消費者的智慧與人性」,「最簡單做好交易防護,其實就是最麻煩的作法「每一個網路、App平台登錄的帳號、密碼,都要不一樣。」趨勢科技資深技術顧問簡勝財提醒民眾,使用容易外洩的個資像是身分證、生日當帳號、密碼,雖是最便捷,但也最容易被駭客取得。(圖/趨勢科技提供)簡勝財指出,除了身分證、生日是很多人常用的帳密之外,現在也常見用Fb、Google、IG等社群平台帳號,輕易登錄許多網站,一旦密碼相同,遭到駭客取得外洩的個資,或者是透過網路釣魚手法,在民眾的電腦、手機植入木馬程式,側錄到民眾的帳號、密碼,就很容易讓駭客用相同的帳號、密碼去測試其他網站,一旦成功冒名做金融交易,即成為「密碼撞庫攻擊」資安事件。「大家也要留意,『OTP』也有可能是遭駭客偽造,有被騙取個資的機會,建議網路交易頻繁的民眾,可將常登錄及下單交易的品牌企業官網加到『我的最愛』,避免不小心或是未注意而登錄到陌生的連結與網站。」簡勝財提醒,「下載的App等系統,須隨著業者通知更新時做更新,因為每次更新,都有可能是業者在加強網路安全等級,另可透過防毒軟體等為電腦掃毒。」臺灣網路認證公司策略發展部則指出,駭客攻擊手法日益變種進化升級,可說是「道高一尺,魔高一丈」,天天與企業上演攻防戰,建議民眾可多參考資訊界常使用的三種「多因子憑證」,作為自己的帳號、密碼。第一類是用戶所知(What you know)因子,譬如說只有用戶自己個人會知道私密記憶,像是由個人設計的密碼等,身分證字號、生日的個資因為常在許多App使用,相對來說反而安全性低。第二類是用戶所擁有(What you have)因子,像是透過民眾的手機裝置、行動電話SIN卡發出的簡訊認證。第三類是用戶天生具有(Who you are)因子,即是每個人擁有的獨特生物辨識系統,像是透過掃描臉部、指紋識別等。