2025年綜合所得稅申報期自5月1日起至6月30日止，民眾可透過電腦、手機報稅或臨櫃申報，但要小心提防詐騙陷阱。（示意圖／取自Pixabay）

每年5月是全台民眾最關注的報稅季，2025年綜合所得稅申報期自5月1日起至6月30日止，民眾可透過電腦、手機報稅或臨櫃申報。不過，隨著報稅作業啟動，詐騙集團也趁勢活躍，財政部與國稅局近日多次發布警示，提醒民眾提防與稅務名義相關的詐騙陷阱，以免落入不法分子圈套。

報稅小心！最新詐騙手法出現「存款個資立刻被盜」

常見詐騙手法五花八門，包含冒充國稅局發送簡訊、電子郵件或偽造信件，藉由「補稅趕退稅」、「退稅匯款」等說法誘導民眾點擊釣魚連結或輸入個人資料，進而盜取個資甚至財產。詐騙話術更細緻多變，例如聲稱當天補繳欠稅即可進入首波退稅名單，或是要求民眾攜帶金融卡到 ATM 操作完成所謂的退稅程序。

國稅局指出，有詐團假冒政府人員寄送「扣繳稅款異常通知」的電子郵件，或以「稅務電子數位化普查」為由，要求掃描 QR Code 填寫個資。這些訊息表面上看似正式，甚至仿冒「財政部」、「賦稅署」或「國稅局」名義寄送，但實際內容多包含惡意連結或病毒附件，一旦點擊可能導致電腦中毒、帳戶遭盜。

為防止受騙，國稅局再次強調，政府機關不會以電話、簡訊、電子郵件通知民眾辦理退稅，也絕不會要求前往 ATM 操作。正確的官方網站網址應以「.gov.tw」結尾，前面不能夾雜多餘英文字母或數字，更不會出現「.com」等商業域名。民眾如遇可疑訊息，務必避免點擊連結或輸入個資，可撥打165反詐騙專線或洽詢各地國稅局查證。（相關報導：台灣出現最新詐騙手法！點開1封信「2.5萬元瞬間蒸發」，銀行也追不回很多人都收到｜更多文章）

財政部呼籲民眾提高警覺，確認繳稅資訊與網站來源無誤再行操作，才能確保資料安全、免受詐騙損失。在報稅高峰期，防詐意識與正確辨識能力，是每位納稅人不可或缺的自保關鍵。

財政部提醒新詐騙手法。（圖／翻攝自財政部臉書）

The post 台灣最新詐騙手法出現！輸入1資料「存款個資立刻被盜」，一堆人都收到錢沒了 first appeared on 捕夢網 Blog.

5月綜所稅結算申報開跑，財政部今年力推手機報稅，但近期南韓最大電信業者 SK Telecom（SKT）爆發嚴重資安事件，駭客透過惡意程式入侵，竊取了用戶的USIM相關資料，造成個資外洩。KPMG顧問服務部營運長謝昀澤表示，現正值報稅季，手機金融服務預期將被大量使用，民眾要謹記五個重點，才能避免自己成為手機SIM卡攻擊的受害者。謝昀澤表示，依據目前的資訊分析，SKT這起事件的原因可能與其資安預算縮減有關。SKT去年減少網路安全支出，使得駭客利用多種惡意軟體進行攻擊，並成功入侵SKT的系統。由於全球不景氣與多國政府大幅削減預算，使得政府與大型企業，開始重新被國際駭客集團盯上。以美國網路安全主管機關網路安全暨基礎架構管理署（CISA）為例，近期該機構即因預算刪減，已停用幾款重要的資安分析工具。這些工具對於惡意程式偵測和網路資安監控至關重要，如此定會削弱國家整體的網路防禦能力。

謝昀澤分析，過去民眾普遍認為SIM卡攻擊因成本較高，不易大規模執行，通常是鎖定高價值受害者的駭客手法。但SKT事件顛覆這個想法，據國外媒體報導有超過25種資料型態及大量行動服務資訊遭外洩，駭客透過這些資訊，即可偽造SIM卡、冒用他人身分。謝昀澤指出，若SIM卡遭偽冒複製，駭客不僅可掌控（接管）受害者的身分驗證機制，創造出「暗黑數位孿生（Dark Digital Twin）」的偽SIM卡，還可能進一步修改其在銀行、證券等高敏感機構中的基本資料與聯絡資訊，甚至竄改交易內容，造成金融交易失序。

KPMG數位安全實驗室主管林大馗指出，目前台灣金融機構仍有大量行動服務仰賴手機門號進行身分驗證，這類機制的潛在風險亟需重視，並發展對應的安全強化方案。謝昀澤提醒，目前是報稅季，手機金融服務預期將被大量使用，民眾要謹記五個重點，才能避免自己成為手機SIM卡攻擊的受害者。

一、不要讓手機門號成為單一驗證機制。

二、不要提供過多的個人身分驗證資訊。

三、要設定足夠複雜的密碼：因為SIM卡交換攻擊(SIM Swapping)，主要攔截透過簡訊傳送的二次驗證碼（OTP），無法破解第一道以密碼為主的驗證機制。因此，強化第一關的密碼強度，可有效提升整體防護力。

四、要設定重要交易即時通知的第二管道：例如Line, Email。KPMG顧問服務部營運長謝昀澤表示，現正值報稅季，手機金融服務預期將被大量使用，…
五、要留意應收到而未收到的交易簡訊通知。

文章來源

The post 手機報稅簡便 但專家提醒須注意資安風險 first appeared on 捕夢網 Blog.

你接到過自稱「監理所來電」的電話嗎？小心，這很可能是詐騙。近來詐騙猖獗，詐騙集團手法不斷升級，現在連「車輛報廢補助」都能成為騙術話術的一部分！

日前有不肖份子假冒監理機關人員，打電話給民眾，謊稱他們的身分證被人冒用去辦理車輛過戶或領牌，甚至還說「你的車要被人拿去申請報廢補助了！」，緊接著再誘導受害者提供身分證號、銀行帳戶、甚至LINE帳號等資料，聲稱「方便後續聯繫」。其中更誇張的是，有詐騙者冒用臺北市區監理所科長的名義打電話，讓不少人信以為真，還真的把個資都交出去了！

▲謊稱民眾車輛報廢補助成為詐騙手法。（示意圖／翻攝自Pixabay）

監理機關不會打電話或傳簡訊要你提供個資，更不會主動加你的LINE，如果接到類似來電，務必冷靜、馬上掛斷，並可透過「監理服務網」或親自撥打當地監理所電話查證，千萬不要被唬住，更不要一時慌張就把個人資料交出去。

監理所也呼籲大家多提醒家人、長輩，特別是對科技操作不熟悉的人，最容易成為詐騙目標。一旦個資外洩，後果可能是信用受損、金錢損失，甚至可能捲入其他刑事案件，得不償失。

文章來源

The post 你的車被冒名報廢了？別信！監理所揭穿最新詐騙套路 first appeared on 捕夢網 Blog.

資安大廠觀察指出，台灣遭受資安攻擊居全球之冠！企業若遭受攻擊所產生的營運中斷損失，甚至潛在的法律賠償責任，都會產生財務層面的衝擊，甚至影響與重要客戶的關係。根據美商達信保險經紀人與微軟共同發布的資安韌性調查報告，1/3的亞洲企業未具備資安事故應變計畫，缺乏充分應變計劃與測試的企業，承受的損失與成本比具備高度規劃與測試的企業平均高出41%。

去年發生一件匪夷所思的詐騙，總部設於英國的知名工程顧問公司奧雅納（Arup)一位香港財務人員，在視訊電話會議聽從Deepfake 技術冒充的財務長與高階主管指示，匯款2600萬美元(約8.45億台幣)，讓公司遭受鉅額損失。

在快速變化的聯網、AI、雲端時代下，AI強大的分析與歸納功能使企業更易曝弱點，而生成式AI以假亂真的發展，更讓資安威脅樣貌難以捉摸。不同態樣的駭客攻擊屢屢攻佔媒體版面，上市櫃公司的資安重大事故也引起投資人關切。

零壹科技身觀察一般公司受限於資源及經驗，處理分秒必爭的資安事故時，往往捉襟見肘不知從何著手。零壹科技總經理陳鍵忠表示，為解決客戶面臨資安攻擊威脅的痛點，整合集團資安專業技術人力資源，推出【零壹資安保母服務】，發生資安事件時即時以最有效率方式，應用相關資安產品工具，協助抵禦不同類型資安威脅，縮短服務中斷時間，確保持續營運。

當資安事故獲得初步控制必要引進其他服務支援時，如網路勒索調查、法令遵循、公共關係管理，甚至資料採證、法律責任防禦等，則需要更具備深度及廣度的服務網絡加入。

美商達信保險經紀人提供專業資安保險服務，有別於傳統保險，更具有提前部署資源整合的特色，除了保單條款所訂理賠標準時理賠第一線事故應變費用，並可協助客戶引進相關專家資源，降低財務衝擊並快速恢復正常營運。

和泰產險協助企業在資訊安全事件發生時，迅速獲得保障與專業支援，涵蓋事故應變費用與責任保障，並積極參與資訊安全事件應變計畫的建構，確保企業面對資訊安全威脅時能迅速啟動應變機制，減少損失。企業資安險的保障內容依保戶需求不同而異，會提供專業的保險方案讓保戶獲得適切的保障及保費

在政府資安即國安的宣示下，企業應重視資安風險管理，適時評估投保資安保險。零壹科技、美商達信保險經紀人台灣分公司、和泰產險提供企業資安環境健檢、資安風險評估報告及保險方案規劃，全方位滿足企業風險管理需求，當遭遇資安攻擊時，第一時間支援前線的資訊人員止損，同時提供後方管理階層策略建議，事後獲得適當的保險理賠。

文章來源

The post AI以假亂真資安風險高　沒應變損失高4成 first appeared on 捕夢網 Blog.

當企業將 AI 用於提升效率、降低成本，資安卻常被忽視。世界經濟論壇最新報告《2025 年全球網路安全展望》，揭示了一項令產業不安的數據──多數（66%）受訪組織認為 AI 將在未來一年內衝擊網路安全，卻只有少數（37%）組織表示已制定安全部署 AI 工具的流程，這種落差被稱為「AI 與資安困境（AI–cyber paradox）」，已成為企業不得不面對的新挑戰。

事實上，AI 大型語言模型（LLM）不只是工具，也是全新的攻擊面。根據世界經濟論壇，在 AI 採用和部署流程中，如果沒有充分考慮資安風險和因應措施，可能不知不覺在 IT 基礎設施引入漏洞。那麼，究竟什麼樣的情境，可能讓 AI 變得不安全？

情境 1：閉源、開源 AI 和第三方組件本身就有資安風險

企業在導入 AI 過程中，可能使用多種閉源和開源 AI 模型，然而市面上不同模型的品質和安全態勢可能存在巨大差異。軟體供應鏈公司 JFrog 觀察，2024 年，全球最大公開機器學習模型平台 Hugging Face 上新增的模型與資料集超過 100 萬個，與此同時，惡意模型的數量也成長了 6.5 倍。也就是說，AI 模型成為駭客釣魚攻擊的工具，增加企業選用 AI 模型的安全風險。

思科在《2025 AI 資安現況》指出，AI 生態系仰賴共享的模型、資料集與函式庫，這使得攻擊面擴大至整個 AI 供應鏈。無論是預訓練模型、開源函式庫，或是用於訓練 AI 系統的資料集，AI 供應鏈攻擊利用了企業對第三方工具的信任──當某環節遭入侵，問題往往在造成重大損害之後才會被發現，並可能對多個下游應用與系統造成影響。

情境 2：針對 LLM 微調？產生有害輸出可能性高出 22 倍

根據致力於 Web 應用程式安全性的國際非營利組織 OWASP 發布的 LLM 十大風險清單，駭客可以進行資料與模型投毒（Data and Model Poisoning），針對 LLM 生命週期的不同階段進行操弄，例如預訓練、微調和嵌入。

其中，「微調（Fine-tuning）」階段特別值得關注。思科研究發現，經微調的 LLM 產出有害內容的可能性是基礎模型的 22 倍。根據 OWASO，有害內容指的是 LLM 產生不安全、不當、具有潛在威脅或負面影響的輸出，例如違反安全規範、被惡意利用的程式碼、釣魚或詐騙、誤導性內容、敏感資訊洩露等。

雖然微調有助於提升模型在特定情境下的準確性，但也會削弱 AI 模型原有的安全機制，暴露在越獄、提示注入等攻擊手法之下。思科研究測試多個經過微調、被應用於醫療、金融與法律領域的模型，包括 Llama-2-7B 等，指出服務特定專業應用導向的微調模型，也難以擺脫被攻擊的風險。

情境 3：當企業吹起 Vibe coding 風潮，敏感資料面臨外洩風險

生成式 AI 對軟體工作流程帶來重大變化，開發人員越來越依賴 AI 寫程式工具如 GitHub Copilot、Cursor 來輔助軟體開發，這也讓「Vibe coding」成為矽谷最新流行語──這是一種新的程式撰寫狀態，意指透過幾個提示詞，不需要親手撰寫程式碼，就能做出整個應用程式。

然而，資安平台 GitGuardian 調查，在啟用 AI 寫程式工具的程式庫中，敏感資訊洩漏的比例比一般公開程式庫高出 40%。GitGuardian 執行長 Eric Fourrier 指出，AI 雖然加速開發流程，也讓安全風險升高，特別是非人類身分（如機器帳號、API 金鑰）相關的漏洞。

Fourrier 表示，有經驗的開發者可能會立刻察覺 AI 生成程式碼涉及的風險並進行修改，但對於資歷較淺或有時間壓力的開發者來說，可能會直接複製貼上 AI 生成結果。然而，一旦敏感資訊被提交至程式庫，就可能被惡意人士擷取利用。

情境 4：AI 代理時代來臨，留意「過度代理授權」

OWASP 也揭露 AI「過度代理授權（Excessive Agency）」的資安風險。這項風險指的是，AI 模型被賦予超出預期操作所需的功能、權限或自主性，如果沒有積極控管，可能在模型幻覺、不良提示工程、直接或間接惡意提示注入等原因而產生錯誤輸出的情況下，仍然觸發具有損害性的行為。

造成過度代理問題的根本原因是，AI 模型可能經常需要與其他系統和服務互動以完成任務。OWASP 指出，考量到 AI 代理（Agentic AI）技術日益普及，目前至少已識別出 14 種不同的代理式系統威脅向量，強調未經檢查的權限可能導致意外或危險的行為。

情境 5：員工愛用但企業完全不知情的「影子 AI」

對企業來說，員工用 AI 提升工作效率是好事，但如果用的是「影子 AI」，可能危害自家資訊安全。科技媒體《VentureBeat》指出，「影子 AI」是未經授權、缺乏資安防護與治理規範的 AI 工具與應用，可能用於內部產出報表、行銷自動化、視覺化處理，甚至是進階數據分析，而且時常以企業內部資料為基礎，形成資料外洩風險。

根據 SoftwareAG 今年調查 6 千名知識工作者，有 50% 受訪工作者都在用「影子 AI」。然而，多數員工並非沒有風險意識，但使用的主要原因，53% 是基於自主性，另有 33% 表示企業尚未提供符合需求的工具。這顯示，企業如果希望員工使用經內部授權的 AI 工具，就必須重新檢視採用流程，確保能真正符合實際工作需求。

無論是選擇、部署或授權 AI 模型，以及管理員工自發使用的影子 AI，每個決策都可能成為資安破口。然而，當企業導入 AI 成為趨勢，「如何安全導入」將是企業在 AI 開發生命週期初始就須重新思考、評估的關鍵議題。

文章來源

The post 企業導入 AI 為何須重新思考資安？「5 大情境」解析最常忽略的風險 first appeared on 捕夢網 Blog.

The post DDoS攻擊持續升溫 中華電信監測：台灣每日被攻擊35次 first appeared on 捕夢網 Blog.

The post 資安專家：瀏覽器永遠不要存信用卡資料 first appeared on 捕夢網 Blog.

要求使用者依照特定指示操作的網釣攻擊手法ClickFix，近半年接二連三出現，如今出現專門針對特定行業的攻擊行動，引起研究人員關注並提出警告。

微軟威脅情報團隊從去年12月的旅遊旺季，察覺專門針對旅館業者的ClickFix網釣攻擊行動，駭客組織Storm-1865假借訂房網站Booking.com的名義發送釣魚郵件，意圖散布能竊取多種帳密資料的惡意程式。值得留意的是，這波攻擊行動仍在持續進行當中。

駭客攻擊的範圍相當廣泛，涵蓋北美、大洋洲、南亞及東南亞，歐洲北部、南部、東部、西部都有災情。遭到攻擊的目標存在共通點，那就是大部分都與Booking.com有合作關係。

在這波攻擊當中，駭客先鎖定可能與Booking.com合作的旅館及相關人士，假借該訂房網站名義寄送惡意郵件，信件內容相當多元，包括旅客的負面評論、潛在客戶需求、網路促銷機會，以及帳號驗證等。然而，這些郵件存在共通之處，不是內文包含URL連結，就是挾帶的PDF附件存在URL，駭客引誘收信人點選，對Booking.com進行回覆。

然而收信人一旦點選，就會被帶往冒牌的Booking.com網站進行CAPTCHA圖靈驗證，要求依照指示操作，先透遇快速鍵開啟執行視窗，然後貼上駭客的命令並執行，從而在受害電腦植入各式惡意軟體。

這些惡意程式包含XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT，此外，研究人員也看到下載PowerShell、JavaScript程式碼的情況。

而對於上述的惡意程式及程式碼，微軟指出都具備竊取財務資料及帳密資斗的能力，攻擊者再將其用於詐欺活動。不過，Storm-1865假冒Booking.com從事攻擊的情況已有前例，2023年這些駭客使用類似的社交工程手法，打著該訂房網站的名號，鎖定旅館房客散布惡意程式。

文章來源

The post 駭客佯裝Booking.com從事ClickFix網釣，對旅館業者的人際網路散布惡意程式 first appeared on 捕夢網 Blog.

提供網站防護功能的外掛程式一旦出現漏洞，不僅可能讓其防護能力失效，還有可能讓攻擊者對網站上下其手，而最近專精網站安全的資安業者Patchstack揭露的漏洞，就是這種例子。

3月20日Patchstack警告WordPress資安外掛WP Ghost存在重大層級的本機檔案包含（Local File Inclusion，LFI）漏洞，若不處理攻擊者有機會遠端利用漏洞，從而執行任意程式碼（RCE），這項漏洞被登記為CVE-2025-26909，CVSS風險評為9.6（滿分10分），相當危險，研究人員呼籲網站管理者應儘速套用5.4.02版外掛程式因應。

WP Ghost是相當受到歡迎的免費資安及防火牆外掛程式，有超過20萬個WordPress網站採用，號稱每個月成功封鎖9百萬次暴力破解嘗試，以及阻斷14萬次入侵。而對於如何強化網站的安全，開發者表示此外掛程式能變更或隱藏常見的漏洞，使得駭客或網站機器人難以利用WordPress、外掛程式、佈景主題的弱點。

這項漏洞之所以形成，Patchstack指出，由於使用者透過URL路徑輸入的數值驗證方式不夠完備，導致有心人士可趁機讀取或執行本機電腦的檔案（LFI）。研究人員特別提及在大部分的環境組態下，這項漏洞的存在，都有可能讓攻擊者有機會發動RCE攻擊，而且，攻擊者不需通過身分驗證就能利用這項弱點。

不過，攻擊者想利用這項漏洞利用還是有門檻要克服，那就是：必須設法將WP Ghost的變更路徑功能設置為Lite模式或Ghost模式，而在系統預設狀態之下，這些模式會是停用的。

文章來源

The post WordPress外掛WP Ghost有重大漏洞，高達20萬個網站暴露在這個風險之下 first appeared on 捕夢網 Blog.

[周刊王CTWANT] 美國聯邦調查局（FBI）與美國網路安全與基礎設施安全局（CISA）近日對一款名為Medusa的勒索軟體發出警告，這款「勒索軟體即服務」（RaaS）自2021年起便持續攻擊各大機構，近期受害者人數更大幅上升。根據CISA報告，Medusa主要透過網路釣魚手法竊取受害者憑證，並利用漏洞滲透企業與政府機構系統，攻擊對象涵蓋醫療、教育、法律、保險、科技與製造業等產業。 先前也曾害一間學校因此洩漏數十萬份學生敏感個資。

綜合外媒報導指出，Medusa採用雙重勒索模式（double extortion model），在加密受害者數據後，威脅若不支付贖金，將公開洩漏這些資料。該組織設有資料洩漏網站，會列出被攻擊的受害機構，並附上倒數計時器，顯示何時將公開資料。受害者可以支付1萬美元的加密貨幣來延長倒數計時一天，若未支付贖金，數據則可能被販售給第三方。

CISA指出，自今年2月以來，Medusa已攻擊超過300家關鍵基礎設施機構，其中包括政府機構、金融企業與教育機構等。該組織的附屬駭客利用CVE-2024-1709（影響遠端存取工具ScreenConnect的漏洞）與CVE-2023-48788（影響Fortinet安全產品漏洞）來發動攻擊，滲透系統後再展開勒索行動。

與部分單獨運作的駭客組織不同，Medusa採用附屬模式（affiliate model），也就是開發者負責管理勒索談判，而實際執行入侵的則是透過網路犯罪市場招募來的駭客，這些駭客可以獲得100至100萬美元不等的報酬，甚至有機會成為Medusa的獨家合作夥伴。

當受害者的系統被感染後，Medusa會要求受害者在48小時內回應，若無回應，駭客將直接透過電話或電子郵件聯繫對方，並進一步威脅公開資料。

FBI的調查顯示，一些支付贖金的受害者甚至會再次遭到Medusa成員勒索，對方聲稱「原先的談判代表竊取了贖金」，並要求受害者再支付一半的款項才能取得真正的解密工具，這代表著該組織可能正在實施「三重勒索模式（triple extortion）」。

Medusa最廣為人知的攻擊案例發生於2023年，當時該組織入侵明尼阿波利斯公立學校（Minneapolis Public Schools），導致數十萬份學生資料外洩，影響超過10萬人。

此外，該組織的攻擊對象遍及全球，包括太平洋島國東加（Tonga）、法國市政府機構、菲律賓政府機構，甚至一家由加拿大兩大銀行聯合創立的科技公司也在其中。過去美國伊利諾州（Illinois）與德州（Texas）的政府機構也曾遭受攻擊，而最近 Medusa宣稱入侵了科羅拉多州奧羅拉市（Aurora, Colorado）政府單位，但當地官員否認了這一說法。

FBI強調，Medusa與MedusaLocker及Medusa移動惡意軟體變種無關，這是一個獨立的勒索軟體組織。Medusa最初是一個由駭客與開發者組成的封閉團隊，但隨著其運營規模擴大，開始以附屬模式招募更多駭客，透過網路犯罪論壇與黑市尋找有能力的駭客來幫助入侵系統，然後再由核心成員進行勒索談判與資金管理。

CISA表示，Medusa目前仍在持續擴展攻擊範圍，各機構應提高警覺，並採取有效的資安防禦策略，包括定期更新系統、採用強密碼、啟用多重身份驗證，並加強員工對網路釣魚攻擊的防範意識。此外，政府機構與企業應定期備份重要數據，確保即使遭受攻擊，仍能透過備份還原系統，避免支付贖金。

文章來源

The post FBI嚴正示警！300家關鍵基礎設施機構遭駭 這款勒索病毒曾害學校洩漏數十萬份個資 first appeared on 捕夢網 Blog.