The post 資安專家：瀏覽器永遠不要存信用卡資料 first appeared on 捕夢網 Blog.

要求使用者依照特定指示操作的網釣攻擊手法ClickFix，近半年接二連三出現，如今出現專門針對特定行業的攻擊行動，引起研究人員關注並提出警告。

微軟威脅情報團隊從去年12月的旅遊旺季，察覺專門針對旅館業者的ClickFix網釣攻擊行動，駭客組織Storm-1865假借訂房網站Booking.com的名義發送釣魚郵件，意圖散布能竊取多種帳密資料的惡意程式。值得留意的是，這波攻擊行動仍在持續進行當中。

駭客攻擊的範圍相當廣泛，涵蓋北美、大洋洲、南亞及東南亞，歐洲北部、南部、東部、西部都有災情。遭到攻擊的目標存在共通點，那就是大部分都與Booking.com有合作關係。

在這波攻擊當中，駭客先鎖定可能與Booking.com合作的旅館及相關人士，假借該訂房網站名義寄送惡意郵件，信件內容相當多元，包括旅客的負面評論、潛在客戶需求、網路促銷機會，以及帳號驗證等。然而，這些郵件存在共通之處，不是內文包含URL連結，就是挾帶的PDF附件存在URL，駭客引誘收信人點選，對Booking.com進行回覆。

然而收信人一旦點選，就會被帶往冒牌的Booking.com網站進行CAPTCHA圖靈驗證，要求依照指示操作，先透遇快速鍵開啟執行視窗，然後貼上駭客的命令並執行，從而在受害電腦植入各式惡意軟體。

這些惡意程式包含XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT，此外，研究人員也看到下載PowerShell、JavaScript程式碼的情況。

而對於上述的惡意程式及程式碼，微軟指出都具備竊取財務資料及帳密資斗的能力，攻擊者再將其用於詐欺活動。不過，Storm-1865假冒Booking.com從事攻擊的情況已有前例，2023年這些駭客使用類似的社交工程手法，打著該訂房網站的名號，鎖定旅館房客散布惡意程式。

文章來源

The post 駭客佯裝Booking.com從事ClickFix網釣，對旅館業者的人際網路散布惡意程式 first appeared on 捕夢網 Blog.

提供網站防護功能的外掛程式一旦出現漏洞，不僅可能讓其防護能力失效，還有可能讓攻擊者對網站上下其手，而最近專精網站安全的資安業者Patchstack揭露的漏洞，就是這種例子。

3月20日Patchstack警告WordPress資安外掛WP Ghost存在重大層級的本機檔案包含（Local File Inclusion，LFI）漏洞，若不處理攻擊者有機會遠端利用漏洞，從而執行任意程式碼（RCE），這項漏洞被登記為CVE-2025-26909，CVSS風險評為9.6（滿分10分），相當危險，研究人員呼籲網站管理者應儘速套用5.4.02版外掛程式因應。

WP Ghost是相當受到歡迎的免費資安及防火牆外掛程式，有超過20萬個WordPress網站採用，號稱每個月成功封鎖9百萬次暴力破解嘗試，以及阻斷14萬次入侵。而對於如何強化網站的安全，開發者表示此外掛程式能變更或隱藏常見的漏洞，使得駭客或網站機器人難以利用WordPress、外掛程式、佈景主題的弱點。

這項漏洞之所以形成，Patchstack指出，由於使用者透過URL路徑輸入的數值驗證方式不夠完備，導致有心人士可趁機讀取或執行本機電腦的檔案（LFI）。研究人員特別提及在大部分的環境組態下，這項漏洞的存在，都有可能讓攻擊者有機會發動RCE攻擊，而且，攻擊者不需通過身分驗證就能利用這項弱點。

不過，攻擊者想利用這項漏洞利用還是有門檻要克服，那就是：必須設法將WP Ghost的變更路徑功能設置為Lite模式或Ghost模式，而在系統預設狀態之下，這些模式會是停用的。

文章來源

The post WordPress外掛WP Ghost有重大漏洞，高達20萬個網站暴露在這個風險之下 first appeared on 捕夢網 Blog.

[周刊王CTWANT] 美國聯邦調查局（FBI）與美國網路安全與基礎設施安全局（CISA）近日對一款名為Medusa的勒索軟體發出警告，這款「勒索軟體即服務」（RaaS）自2021年起便持續攻擊各大機構，近期受害者人數更大幅上升。根據CISA報告，Medusa主要透過網路釣魚手法竊取受害者憑證，並利用漏洞滲透企業與政府機構系統，攻擊對象涵蓋醫療、教育、法律、保險、科技與製造業等產業。 先前也曾害一間學校因此洩漏數十萬份學生敏感個資。

綜合外媒報導指出，Medusa採用雙重勒索模式（double extortion model），在加密受害者數據後，威脅若不支付贖金，將公開洩漏這些資料。該組織設有資料洩漏網站，會列出被攻擊的受害機構，並附上倒數計時器，顯示何時將公開資料。受害者可以支付1萬美元的加密貨幣來延長倒數計時一天，若未支付贖金，數據則可能被販售給第三方。

CISA指出，自今年2月以來，Medusa已攻擊超過300家關鍵基礎設施機構，其中包括政府機構、金融企業與教育機構等。該組織的附屬駭客利用CVE-2024-1709（影響遠端存取工具ScreenConnect的漏洞）與CVE-2023-48788（影響Fortinet安全產品漏洞）來發動攻擊，滲透系統後再展開勒索行動。

與部分單獨運作的駭客組織不同，Medusa採用附屬模式（affiliate model），也就是開發者負責管理勒索談判，而實際執行入侵的則是透過網路犯罪市場招募來的駭客，這些駭客可以獲得100至100萬美元不等的報酬，甚至有機會成為Medusa的獨家合作夥伴。

當受害者的系統被感染後，Medusa會要求受害者在48小時內回應，若無回應，駭客將直接透過電話或電子郵件聯繫對方，並進一步威脅公開資料。

FBI的調查顯示，一些支付贖金的受害者甚至會再次遭到Medusa成員勒索，對方聲稱「原先的談判代表竊取了贖金」，並要求受害者再支付一半的款項才能取得真正的解密工具，這代表著該組織可能正在實施「三重勒索模式（triple extortion）」。

Medusa最廣為人知的攻擊案例發生於2023年，當時該組織入侵明尼阿波利斯公立學校（Minneapolis Public Schools），導致數十萬份學生資料外洩，影響超過10萬人。

此外，該組織的攻擊對象遍及全球，包括太平洋島國東加（Tonga）、法國市政府機構、菲律賓政府機構，甚至一家由加拿大兩大銀行聯合創立的科技公司也在其中。過去美國伊利諾州（Illinois）與德州（Texas）的政府機構也曾遭受攻擊，而最近 Medusa宣稱入侵了科羅拉多州奧羅拉市（Aurora, Colorado）政府單位，但當地官員否認了這一說法。

FBI強調，Medusa與MedusaLocker及Medusa移動惡意軟體變種無關，這是一個獨立的勒索軟體組織。Medusa最初是一個由駭客與開發者組成的封閉團隊，但隨著其運營規模擴大，開始以附屬模式招募更多駭客，透過網路犯罪論壇與黑市尋找有能力的駭客來幫助入侵系統，然後再由核心成員進行勒索談判與資金管理。

CISA表示，Medusa目前仍在持續擴展攻擊範圍，各機構應提高警覺，並採取有效的資安防禦策略，包括定期更新系統、採用強密碼、啟用多重身份驗證，並加強員工對網路釣魚攻擊的防範意識。此外，政府機構與企業應定期備份重要數據，確保即使遭受攻擊，仍能透過備份還原系統，避免支付贖金。

文章來源

The post FBI嚴正示警！300家關鍵基礎設施機構遭駭 這款勒索病毒曾害學校洩漏數十萬份個資 first appeared on 捕夢網 Blog.

兩年前公布的已知漏洞近期再傳新的攻擊行動！資安業者Cato Networks揭露發生在今年1月上旬的攻擊行動，駭客鎖定的標的，就是尚未修補CVE-2023-1389的TP-Link無線基地臺Archer AX21。

這波攻擊行動駭客綁架了超過6千臺無線基地臺組成殭屍網路，範圍涵蓋美國、澳洲、中國、墨西哥，這樣的情況突顯該漏洞在TP-Link發布相關更新之後，迄今仍有不少設備尚未修補，而讓駭客有機可乘。

【攻擊與威脅】

殭屍網路Ballista綁架尚未修補的TP-Link設備，逾6千臺遭感染

TP-Link於2023年3月修補旗下Archer AX21無線基地臺漏洞CVE-2023-1389，隔月就開始出現針對未修補用戶的相關攻擊行動，去年更出現同時有6個殭屍網路試圖綁架該型號無線基地臺的情況。事隔兩年，最近再度傳出利用此漏洞攻擊所造成的新資安事故。

資安業者Cato Networks指出，他們在今年1月上旬發現新一波的漏洞利用活動，殭屍網路Ballista鎖定美國、澳洲、中國、墨西哥而來，針對醫療保健、服務業、科技組織發動攻擊，試圖透過有效酬載注入來利用CVE-2023-1389，從而得到初始入侵管道，得逞後下載載入惡意程式的bash指令碼並執行，將Ballista植入受害裝置，目前有超過6千臺裝置受害。

為隱匿行蹤，此殭屍網路病毒使用82埠建立經加密處理的C2通道並進行通訊，自動嘗試利用CVE-2023-1389感染網際網路上的其他設備。一旦接收到C2的命令，該病毒能在受害設備執行Shell命令，或是進行DDoS攻擊。

針對微軟修補的Win32核心子系統零時差漏洞，傳出在2年前就遭到利用

本週微軟發布3月份例行更新，其中修補一項已被用於實際攻擊行動的Win32核心子系統權限提升漏洞CVE-2025-24983，通報此事資安業者ESET透露，這項漏洞被利用的情況，最早可追溯到2年前。

究竟這項漏洞引發什麼樣的災情？ESET指出，有人從2023年3月開始，將其用於攻擊執行Windows 8.1及Server 2012R2作業系統的工作站電腦及伺服器，得逞後植入名為PipeMagic的後門程式。

ESET也對於這項漏洞發生的原因提出說明：在Win32k驅動程式使用名為WaitForInputIdle的API的特定場景當中，會發生W32PROCESS解除引用（dereference）的次數與應有次數不一致的現象，而造成記憶體釋放後再存取使用的現象。

文章來源

The post 殭屍網路Ballista綁架6千臺尚未修補的TP-Link無線基地臺 first appeared on 捕夢網 Blog.

台電節電獎勵登錄要求信用卡資料？

原始謠傳版本：

節電獎勵活動登錄 省電，也省電費！ https://www.rzvqplm.cc/#/

主要會收到類似電子郵件：

查證解釋：

台電寄出節電獎勵申請郵件？

MyGoPen 近期在 Facebook、LINE 等社群平台，發現有不少民眾發文討論，表示自己收到疑似台電寄發的電費獎勵通知，記者檢視電郵內所附連結，可以看到寄件者皆署名「台灣電力公司」，但活動頁面卻出現「http://tipower.cc/」、「http://xrlmvpq.cc/」等不同網址，並非常見的「.tw」結尾。

以「台電、省電獎勵」進行搜索，可以找到「節電獎勵活動登錄」，即使起到 2 月 17 日，也就是本次查核報告上架日，民眾可以活動網站登錄電號或是地址，參加台電的省電活動，當期用電每節省 1 度，可獲得0.6元獎勵金。檢視正式活動網址，應為「https://service.taipower.com.tw/tpcuip/savepower/」。

由於上述提到的兩個可疑網址，皆因違反《詐欺犯罪危害防制條例》遭到封鎖，記者在 Facebook 上搜尋「節電、詐騙」，可以看到有用戶分享實際操作詐騙網站的經驗，整個網頁做的和正版活動網站非常像，也是要民眾以電號或是地址登錄，但在填完基本資料後，還要求填寫信用卡帳戶，如果未察覺是詐騙，填寫後信用卡就有可能遭到盜刷。

高雄市燕巢區公所 Facebook 粉專於 2024 年 3 月 27 日發文，教民眾如何使用該網站登錄節電獎勵，0：23 處可以看到在登錄電號後，會要民眾提供姓名、聯絡電話及聯絡 Email（選填），之後點選「確認登錄」即完成登記，正式網站不會要民眾填寫信用卡資料。

台電也在 2025 年 1 月 17 日發布新聞稿，提醒民眾當心可疑電子郵件，並強調參加節電活動獎勵的民眾，獎勵金是直接於各期電費中折抵，不須輸入信用卡卡號或銀行帳戶資訊。

此外，透過財團法人台灣網路資訊中心「Whois 查詢」，會發現圖片中的網址分別於 2025 年 2 月 11 日及 1 月 21 日才架設，明顯不是台電的網頁；若是以同樣方式查詢正式活動頁面（service.taipower.com.tw），可以看到該網址的網域顯示為「taipower.com.tw」，註冊人為「台灣電力股份有限公司」，且至少 1997 年以來即有網站記錄。

事實上，類似這種台電獎勵詐騙的手法已行之有年，如果在 Google 上搜尋「節電、詐騙」，可以找到新北市政府警察局土城分局於 2017 年 7 月發布的新聞稿《「台電節電獎勵活動」網頁是釣魚網站？》，顯示網傳詐騙手法至少超過 8 年。

總結來說，民眾近期如果收到聲稱是台電寄來的節電獎勵電郵，須特別留意不要點擊郵件內的可疑連結，以免個資、信用卡帳號外洩，造成錢財損失。

文章來源

The post 【詐騙】網傳台電寄節電獎勵電郵？填資料領取？釣魚網站騙取信用卡個資 first appeared on 捕夢網 Blog.

The post 有些訊息「看似正常」卻是詐騙？Google 發表兩大 AI 偵測功能破解 first appeared on 捕夢網 Blog.

The post 通訊軟體 Signal 下載飆升 958%！數位隱私意識崛起，資安專家該關注什麼？ first appeared on 捕夢網 Blog.

高鐵公司發現，從前年開始，訂票系統出現異常購票，一般人工手動輸入資料，要花30秒到1分鐘完成，卻疑似有機器人程式搶票，1分鐘可訂上百張。檢警獲報追查，搶票程式如果輸錯信用卡號，會快速換另一張卡重新輸入，這麼多個資哪來？

原來這個犯罪組織，會先發釣魚簡訊，騙被害人停車費、罰單還沒繳，或點數即將過期，要求輸入個資。同時透過境外駭客的IP，用騙來的個資做無本生意，上高鐵網站大量訂票，將訂票代號傳給黃姓、謝姓兩名台灣幹部，再讓兩名陳姓「客服人員」，將售票資訊登在「晚鳥票票券交易平台」網站，聯繫購票者付款取票，最後把犯罪所得交給施姓幣商，轉為虛擬貨幣。

檢警指出，「晚鳥票票券交易平台」是合法網站，提供臨時無法搭車的民眾轉讓出售平台，想撿便宜票或買不到票，都可能會接洽購買。
盜刷集團鎖定「臺北－左營」車票下手轉售，原價1490元打8折，只賣1192元，如果購票民眾，不用搭到高雄，而是新竹、台中等中間站下車，也可享用同段票8折優惠，反正對於盜刷集團來講，本來就是無償取得，不會因為北高車票低價出售而虧本。

士林地檢署指揮鐵路警察局偵辦，揪出7名被告，他們從2023年6月到2024年1月間，總共賣出1萬多張「盜刷晚鳥票」，海撈1300萬。全案以組織犯罪防制條例、偽造文書、詐欺、鐵路法、洗錢防制法等罪嫌，偵結起訴。

The post 高鐵也有黃牛！詐個資盜刷車票爽撈千萬 7名「釣客」慘了 first appeared on 捕夢網 Blog.

The post 「我不是機器人」功能早被破解！為何 Google 還留著使用？ first appeared on 捕夢網 Blog.