RPZ
」
偽冒LINE軟體攻擊! 誤載電腦恐遭「植入惡意程式」
根據國家資通安全研究院的最新資安週報,部分機關透過搜尋引擎查詢通訊軟體LINE的安裝檔時,誤點與官方網站相近的網址,導致變成安裝「偽冒軟體」,電腦因此遭植入惡意程式。資安院示警,機關可集中派送常用軟體,統一控管下載來源與安裝流程,並透過DNS/Proxy阻擋偽冒網站與惡意下載行為,避免誤載風險。資安院最新發布的第24期資安週報顯示,本週總計接獲33件公務機關與特定⾮公務機關事件通報,公務機關⾮法⼊侵事件中以異常連線占多數,偽冒LINE軟體攻擊情境再度出現。資安院指出,部分機關透過搜尋引擎查找LINE安裝檔時,誤點與官方網站名稱相近網址,以致下載並安裝偽冒軟體,導致電腦遭植入惡意程式。過去已知網址雖已透過停止解析機制(DNS RPZ)進行處理,但相似網址仍持續遭駭客註冊利用,提醒使用者務須提高警覺。資安院表示,這類情境在2025年第2至第3季已多次發生,顯示即便是高度熟悉的常用軟體,只要下載來源未受控,仍容易成為社交工程與惡意程式散布的切入點;又或是人員過度信任熟悉品牌,社交工程攻擊辨識不足。若宣導未結合技術與制度配套,防護成效有限。資安院建議,機關可集中派送常用軟體,並統一控管下載來源,搭配阻擋偽冒網站、限制未授權程式執行及強化異常連線偵測,同時以實例宣導提升人員辨識能力。資安院提到,本週一家民間電子通路業「至上電子股份有限公司」發布重大訊息,指公司資訊系統遭受駭客網路攻擊,已立即啟動相關防禦機制,避免影響資安安全。不過同時強調,此事件目前沒有個資、機密或重要文件資料外洩等情事發生,對公司營運無重大影響,後續將持續密集監控,並強化網路與資訊基礎架構之管控。LINE電腦版出現假冒網站(下),不少民眾下載惡意程式遭駭個資。(圖/翻攝自Google)
立委粉專被強制下架、KOL帳號遭錯殺 葛如鈞批政府錯誤行使公權力傷數位人權
立法院院會今天針對「打詐成效」質詢行政院長卓榮泰,國民黨立委葛如鈞質疑,近期接連發生粉專與KOL社群帳號遭平台下架事件,嚴重衝擊民眾工作、生計與私人生活,甚至有人因此罹患憂鬱症,凸顯政府在數位時代保障言論自由與人權機制存在重大漏洞,要求政院在一個月內提出「數位人權保障報告」。葛如鈞指出,從去年11月大量財經網紅粉專遭下架事件傳開後,兩周前再度出現數千名各行各業KOL帳號遭停權,4天前甚至連立法院同仁翁曉玲委員的臉書都被下架。對於許多仰賴粉專維生的人而言,「粉專消失」就像世界末日,甚至有小編因此失去工作,也有人因為許多珍貴的生活紀錄全部消失而罹患憂鬱症。因此,葛如鈞親手將 500 多名受害者的《聯合陳情書》送交行政院長卓榮泰,希望院長能責成數發部盡速處理。葛如鈞指出,這些事件中,有相當高比例的受害者都是因政府機關的「錯誤通報」才慘遭平台下架。例如,過去曾有加密貨幣領域的正版 KOL 遭錯誤下架後,反而讓詐騙帳號趁虛而入,形同幫詐騙集團助攻。更嚴重的是,被下架的當事人僅收到「依某行政單位法律要求」的通知,卻無法得知具體違規內容與依據條文,導致當事人無從申訴,完全陷入資訊不透明的困境。葛如鈞呼籲,政府應比照「打詐儀表板」建立「下架儀表板」,公開哪些帳號屬於錯誤下架,提升透明度;政府錯誤行使公權力造成民眾損失,至今卻沒有任何補償機制與配套措施。更令人憂心的是,過去包括Google地圖、Telegram、Azurewebsites.net等知名服務,都曾因數位發展部DNS RPZ錯誤封鎖而受影響,甚至一度連數發部公文系統都癱瘓。若主管機關能憑自身判斷隨意封鎖網站與帳號,卻無須承擔責任或公告標準,恐將成為「數位中介法」復辟。葛如鈞委員強調,他支持打詐與保護兒少,但政府以打詐為名,卻採取不精準的數位管制,最後可能讓打詐愈打愈猖獗!他警告,若「打詐」淪為政府擴張網路控制的藉口,將嚴重侵害民主社會保障的言論自由與數位人權,因為不透明就會有錯殺、亂殺的風險。葛如鈞最後呼籲,應盡速改善封鎖與下架行為的不透明與缺乏監督的問題,確保台灣在發展數位治理的同時,不犧牲人民的基本權益。
創意私房封網仍看得到 立委:所有提供連網服務業者均應納管
立法委員鍾佳濱、林月琴與陳素月12日舉行者會指出,日前台灣網路資訊中心封阻日前查獲被稱為「台版N號房」的「創意私房」網站之政策出現瑕疵,只要使用者透過非國內四大電信業者提供的網路服務、或開啟VPN代理伺服器程式,都可順利瀏覽本應被停止解析、遭封鎖的「創意私房」論壇,呼籲主管機關應納管所有提供消費者連上網的「網際網路接取服務提供者(IASP)」,以阻絕兒少性剝削及詐騙洗錢等不法行為。鍾佳濱指出,國內三大業者在電信法中屬第一類電信,所提供的服務需經過財團法人台灣網路資訊中心(TWNIC)管理,而TWNIC主管機關為數發部。但第二類電信的主管機關是NCC,也就是說,例如有線電視業者等其他提供網路服務的業者,在電信法中並未強制其加入TWNIC,雖有許多業者自主加入TWNIC RPZ 聯合防護,然而,百密一疏,仍少部分有線電視業者未加入,導致雖停止解析「創意私房」論壇,但出現漏洞,仍有管道能瀏覽。林月琴提醒,在當前跨越國界無遠弗屆的數位時代下,目前這些防制措施,可能還是非常不足,依目前國內管理現況,即便新修限制接取手段,仍舊受限於多數電信事業業者未加入DNS RPZ 的自律機制,以致政府在管理手段上未能全面落實,甚至出現刻意利用電信法漏洞規避監理之情事,導致國內網路詐騙及相關犯罪事件頻傳且難以處罰。「網路業者目前尚未有任何主責單位,需要一個明確、事權統一的主管機關。」林月琴認為,參考國外做法,台灣針對兒少網路使用安全,需要更為積極主動的立法管理,舉凡英國的《線上安全法》(The Online Safety Act)、紐約州的《防止成癮性內容剝削兒童法》(Stop Addictive Feeds ExploitationFor Kids Act)等,都是我們值得借鏡的對,台灣不論未來是新立法或修舊法都要納入大量意見,避免閉門造車,積極保護兒少免於霸凌、性剝削。陳素月舉例,之前有助理在立法院內進行測試,透過院內合作的有線電視業者提供的網路接取服務,就能順利連上創意私房網站。她表示,封網未落實完全,透過這些二類電信或虛擬私人網路VPN就能持續看到性影像,不僅無法遏止網路性犯罪,也在各項網路詐騙、洗錢防治,形成諸多漏洞。陳素月指出,二類電信業者在電信法修法後,現行的「電信管理法」中仍採自行登記制,NCC對於有哪些二類電信業者有提供網際網路接取服務提供,都沒有掌握業者數量及納管,除了連署支持修法納管外,也要求通傳會及數位部,在修法完成前要有專案小組,盡速研究解決方案。鍾佳濱指出,目前電信管理法對於提供網路接取服務採自願登記制,造成我國現有網際網路接取服務提供者(IASP)數量未明,主管機關要執行封網時,無法通知所有IASP執行限制接取,致民眾仍能接取不法網站之執法漏洞,不只是保護兒少,防範打詐和防範洗錢活動有賴跨部會協助,應將相關業者納入管理,以避免類似情形再次發生。衛福部表示,基於兒少保護的立場,若有電信業者未加入DNSRPZ就無法做到同步封網處理,呼籲電信業者應一起加入;數位發展部表示,會積極配合主管機關,NCC也說明中長期計畫未來會成立電信管理法工作小組,至於納管義務會再跨部會討論。
唐鳳出席IGF遭疑自貶身分 他點出1跡象「該下台了!」數位部回應了
數位部長唐鳳近日代表台灣出席聯合國IGF會議,卻遭外界質疑「自貶身分」,不願以部長名義參與,就連綠媒也大篇幅報導,讓資深媒體人黃揚明直呼「未來的高層態度很明顯了,該下台了啦!」對此,數位部表示,為爭取在不損及我國尊嚴下,得以出席聯合國正式會議,唐鳳以資安院董事長名義報名,並非自貶身分。對於今(18)日媒體報導友好國家有意協助臺灣外交突破,數位發展部部長唐鳳卻不願以部長名義參與聯合國會議等說法,數位部表示,相關指稱與事實不符,避免造成外界誤解以及友好國家友人困擾,特別澄清說明。數位部說明,聯合國網際網路治理論壇(UN Internet Governance Forum,IGF)去年10月於日本京都舉行國際年會,本部受美國邀請參與美方於年會首日舉辦的論壇,為爭取在不損及我國尊嚴下,得以出席聯合國正式會議,唐部長以資安院董事長名義報名,以實質參與政府分組討論議程。數位部表示,IGF年會屬於聯合國正式活動,鼓勵多方利害關係人參與網路公共政策創新發展,與會國家或國際組織均可在大會同意下,於年會期間舉辦各式議程,包括美國去年10月於IGF年會首日舉行的「網際網路未來宣言:共同行動」(The DFI: Principles to Action)論壇。數位部收到美方邀請臺灣參加其於IGF首日主辦的DFI論壇,唐部長以2022年4月代表臺灣簽署DFI的簽署人身分與會。由於在聯合國註冊系統裡,若以政府官員名義出席,必須在選單中選擇部門所屬的聯合國成員國,數位部為爭取在不損及我國尊嚴下,出席聯合國正式會議,因此唐部長以國家資通安全研究院董事長名義報名,以實質參與DFI政府分組討論議程。而後考量部長實體與會或將引起某些非友好勢力的行動,造成不必要的困擾,故決定改以線上方式參加首日DFI論壇;另為把握此一難得機會,與友好國家重要人士及官員就相關議題交換意見,唐部長仍決定親赴日本,並在場邊進行多場會談。在護照議題方面,數位部表示,唐部長去年3月下旬應美國加州州長Gavin Newsom邀請,赴美參加閉門會議。因唐部長臨行前發現個人護照遺失,且此行涉及公務,並非度假,故向美方詢問能否以外交護照赴美。美國在台協會台北辦事處(AIT/T)經研議後,決定簽發單張B1/B2簽證給唐部長。針對美方的做法,唐部長從未宣稱是外交突破。 同年9月,唐部長持外交護照赴美參加自由線上聯盟(Freedom Online Coalition, FOC)高階會議,AIT循例再次簽發單張B1/B2簽證給唐部長。數位部全程均依照主辦方要求進行安全檢核,並無要求特殊待遇。所謂要求特殊待遇的說法是有心人刻意挑撥。事實上,唐部長此行與美國國務卿布林肯(Antony Blinken)、主責安全及民主與人權的國務次卿Uzra Zeya、網路空間暨數位政策局(Bureau of Cyberspace and Digital Policy)數位無任所大使Nathaniel C.Fick,以及法國、愛沙尼亞和立陶宛等38國的數位及外交首長齊聚一堂,共同研討如何因應新興技術所帶來的風險等議題。數位部表示,本部在數位化、產業交流、資安、AI等先進技術方面持續臺美交流與合作,與美方建立多方聯絡窗口及管道,維持雙方緊密友好關係。如美方來臺參與數位部資通安全署舉辦的跨國網路攻防演練(CODE),我方也派員參與美國Cyber Storm攻防演練;多位美方政要訪臺時皆曾拜會本部交流,包括美國在台協會主席羅森柏格(Laura Rosenberger)、美國聯邦通訊委員會卡爾(Brendan Carr)委員、美國國家標準暨技術研究院(NIST)院長Laurie E. Locascio等人。數位部將在此基礎下持續與美方進一步深化相關業務的交流與合作。在立委對於本部執行業務的評論與期許方面,數位部指出,自本部成立以來,積極落實行政院「新世代打擊詐欺策略行動綱領1.5版」分工,強化防堵詐騙訊息、防阻詐騙金流,對第三方支付、電商及遊戲點數強化管理,並建立「111」政府專屬短碼簡訊平臺與政府專用短網址,供各級政府機關使用,強化政府訊息信任度,對抗詐騙犯罪。為因應境外資訊操弄,數位部積極配合行政院資安會報「網際網路內容管理基本規範及分工原則」,協同檢警調機關與Meta、Google等跨境大型平臺建立快速聯繫管道,即時通報不法行為,並協調LINE主動阻斷來自外站廣告導入,加速處置高風險帳號。此外,資安院主動邀請法務部調查局及內政部刑事警察局等相關執法單位,共同參與訊息分析技術交流,並將相關研發成果提供與會單位運用,依據各單位回饋意見,做為持續精進發展之參考。同時,資安院也積極與「台灣事實查核中心」等第三方查核單位合作,以AI技術針對爭議訊息進行分析,並提供溯源與諮詢服務,以提升應處能量。數位部轄管財團法人台灣網路資訊中心(TWNIC)建構DNS RPZ(Response Policy Zone)機制,依法院判決或法律授權之行政處分對網域名稱停止解析,檢警調等執法機構對於重大金融犯罪、假冒政府機關網站、詐騙網站、選舉期間偽冒網站等重大案件緊急申請,均可透過RPZ攔阻,去年共攔阻達34,561件,遠超過前年的2,945件。
老司機GG1/台灣最大素人肉片網遭下架 3知名系列影片主落網
台灣最大老司機論壇「創X私房」專門販售「素人肉片」聞名,令人髮指的是其中有許多都是渣男友流出販售,甚至附上肉片女主角真實姓名、學校、FB帳號等個資,滿足偷窺慾。日前刑事局電偵大隊已封鎖「創意X房」的RPZ (Response Policy Zone, 可限制境內外惡意網域名稱或IP位址接取),因此「創意X房」目前已無法透過國內電信業者搜尋到。此外,該論壇影片供應者A男、B男、C男(化名)最為出名,去年有多位女性被害人站出來提告,刑事局受理報案,經布線追查,拘提A男、B男、C男到案,3人對犯行均坦承不諱。據了解,「創X私房」是全台最大素人肉片買賣網站,2012年成立,採會員制平台,平台入會費1年1800人民幣折合台幣近7千元,成員也可以是影片供應者,上傳「自家肉片」後,該網站依點擊率拆帳給款,粗估該網站上約有18萬部肉片。被警方逮捕的3位影片提供者,其中A男外型陽光、從事金融業,家世不錯而且已婚有小孩,是外人眼中的人生勝利組,落網後他自稱「性慾強」,趁著約砲甜言蜜語哄騙對方「拍片助興」,後續卻未遵守諾言「做完就刪」,竟還直接上傳網路賣錢。而B男則在科技業工作,長相激似已逝歌手張雨生,不同的是他因為熱愛健身、身材健美,是名符其實的肌肉男。C男外號風雅,他和A男手法相似,都以約砲偷拍等釣魚方式,自己當男主角掌鏡拍下性愛片由於身材微胖、「那話兒」也引起網友討論甚至被打臉,C男也因為涉嫌多起偷拍案而遭到起訴。去年,因為「創X私房」部分肉片大量在通訊軟體Telegram被轉貼、流出,許多受害人才赫然發現自己成了女主角,透過女性團體協助,近百人報案提告。刑事局獲報後去年9月、11月、12月連續發動6波搜索,拘提A男、B男、C男到案,依違反《妨害秘密罪》、《散布猥褻物品》、《個資法》、《兒童及少年性剝削防制條例》等罪嫌送辦。