現今新興科技及 AI 當道的時代下，步調加劇的數位轉型競爭突顯出了一個現象，也就是越來越多的企業開始走向專業分工，逐步將有限的資源專注在核心業務的發展，並傾向把資訊科技、業務流程或服務等非核心業務外包給專業第三方去執行，而企業如何有效掌握外包出去的風險控制有效性？以及委外服務供應商要如何證明及滿足企業對於風險控制的期望？這個屬於企業間的「零信任」議題，在資安風險不斷提升的情況下，大幅增加了企業及委外服務供應商對於信任溝通的需求，以及進一步對於風險控制透明化詳細資訊揭露的期望。

安永諮詢服務股份有限公司總經理張騰龍提醒，隨著供應鏈環境日益複雜，監管的期望也逐步提高，服務組織控制(SOC, Service Organization  Control)報告成為企業向客戶及合作夥伴展示內部控制能力的關鍵證明。近一年「上市上櫃公司資通安全管控指引」及「金融機構使用電子簽名機制安全控管作業規範」也於修訂後建議採用SOC報告的認證框架，來搭建企業之間的信任橋梁，掌握並管理委外服務供應商的內控和資安風險。

主動式的委外科技風險管理

張騰龍分享，企業要能有效的駕馭數位轉型和合規性，並在創新與潛在風險之間取得平衡，建議在科技導入的早期階段就主動將科技風險納入策略考量，尤其是當科技的應用涉及委外服務供應商的服務時，應採取三項行動：

1. 評估科技風險：在科技導入的早期階段就進行風險評估，從業務及科技層面識別出潛在的複合性風險，找出差距並採取降低風險的措施，可以在實施之前增強對新科技的信心，而且在早期階段解決潛在的合規性或控制問題要容易得多。
2. 以透明度建立信任：企業應要求委外服務供應商提供SOC報告，以期能取得客觀且攸關的控制流程細節，透過閱讀SOC報告，企業能判斷委外的業務範圍是否包含於SOC報告的範圍內、掌握委外服務供應商的控制程序是否符合企業自身的安全要求，以及獲得專業審計人員出具的客觀意見。
3. 建立委外韌性：在委外合作的過程對供應鏈傳達企業的資安風險管理策略，建立強化資安防禦的持續性結構方法，簡化企業和委外服務供應商在資安事件發生當下以及之後的內外部溝通方式，從而使企業和委外服務供應商能夠快速採取行動，保持營運連續性並提供協調一致的回應來維護利害關係人的信任。

專家觀點：在臺灣SOC報告的重要性正顯著提升

張騰龍分析，國際企業使用SOC報告的認證體系處理委外風險議題已有十多年的歷史，隨著臺灣企業逐步在國際商業環境中扮演重要的角色，對資安和流程風險控制的要求和揭露資訊的透明度需求也跟著提高。未來，更多國際企業將要求採用SOC報告作為其信任管理策略的一部分，臺灣企業同時也將以此更加地融入全球化的業務生態，可預見SOC報告的重要性將持續攀升。

對於那些希望在市場上占據優勢的企業而言，SOC報告不僅是一份合規文件，更是一份展現企業誠信、專業與資安管理能力的名片。隨著信任經濟時代的到來，SOC報告無疑是每個希望保持競爭力的企業不可忽視的重要工具。

微軟最新調查發現，一個疑似與俄羅斯有關的駭客組織正在針對 Microsoft 365 帳戶發動裝置驗證碼網路釣魚攻擊。受害目標遍及歐洲、北美、非洲和中東地區的政府機構、非政府組織、資訊科技服務業、國防、電信、醫療衛生以及能源與石油天然氣等重要產業。

微軟威脅情報中心將此駭客組織命名為「Storm-237」。根據該組織的攻擊目標、受害者特徵和作案手法，研究人員認為這很可能是一個與俄羅斯國家利益相關的行動。

裝置驗證碼釣魚攻擊手法

攻擊者利用了原本設計用於智慧電視和物聯網等缺乏鍵盤或瀏覽器支援的裝置的認證機制。這類裝置通常需要使用者在另一台設備（如智慧型手機或電腦）上輸入授權碼來完成登入。

自去年八月以來，Storm-237 開始濫用這種認證流程。研究人員發現，攻擊者會先透過 WhatsApp、Signal 和 Microsoft Teams 等通訊平台與目標建立聯繫，假冒與目標相關的重要人物進行社交工程。

攻擊者會在建立初步關係後，透過電子郵件或即時通訊發送假冒的線上會議邀請。受害者收到的 Teams 會議邀請中會包含攻擊者生成的裝置驗證碼。當使用者依照提示完成驗證碼認證後，攻擊者就能取得受害者帳戶的存取權限，並透過 Graph API 收集資料，主要是竊取電子郵件內容。

進階持續性威脅: 新的存取權杖

微軟指出，攻擊者現在開始使用 Microsoft Authentication Broker 的特定客戶端 ID 來進行裝置驗證碼登入，這使他們能夠生成新的存取權杖。更嚴重的是，攻擊者可以利用這個客戶端 ID 在 Microsoft Entra ID（微軟的雲端身份與存取管理解決方案）中註冊裝置。

透過相同的重新整理權杖和新的裝置身份，Storm-237 能夠取得主要重新整理權杖（Primary Refresh Token, PRT），進而存取組織的各項資源。目前觀察到的主要行為是收集電子郵件內容。

防禦建議

微軟針對 Storm-237 的攻擊提出以下防禦建議。首要之務是盡可能封鎖裝置驗證碼流程，並在 Microsoft Entra ID 中實施條件式存取原則，限制只有受信任的裝置或網路才能使用此功能。

如果懷疑遭受裝置驗證碼釣魚攻擊，應立即使用 ‘revokeSignInSessions’ 撤銷使用者的重新整理權杖，並設定條件式存取原則，強制受影響的使用者重新進行身份驗證。

最後，組織應善用 Microsoft Entra ID 的登入記錄功能，監控並快速識別可疑的認證行為，包括短時間內大量的認證嘗試、來自未知 IP 位址的裝置驗證碼登入，以及向多個使用者發送的異常裝置驗證碼認證提示。

企業資安人員應特別注意這種新興的釣魚攻擊手法，並確實執行相關防護措施，以確保組織資產的安全。

Sophos X-Ops 發現，網路犯罪分子越來越常利用SVG圖像檔案格式來規避反網路釣魚與垃圾郵件防護機制。SVG 檔案內含類似 XML 的文字指令，可用於繪製圖形。Sophos X-Ops 的研究顯示，從去年年底開始，釣魚集團開始採用這項技術，透過電子郵件傳送附帶惡意 SVG 圖形檔案的附件。

攻擊手法如下：

• 網路犯罪分子向目標發送一封帶有 SVG 檔案附件的電子郵件。
• 當收件者點開附件時，預設會在瀏覽器中開啟。
• 該 SVG 檔案內含連結或 JavaScript 程式碼，會將瀏覽器重新導向至託管釣魚工具包的網站。

大多數受害者會看到一個偽造的畫面，誘使他們按下按鈕以開啟或閱讀存放於 DocuSign、Dropbox 或 SharePoint 上的文件，或者收聽透過 Google Voice 接收的語音留言。

Sophos X-Ops 進一步指出，本次研究分析的 SVG 檔案中，近半數僅發送給單一目標，且目標的電子郵件地址或姓名被嵌入在 SVG 檔案內。這種高度客製化的攻擊模式顯示，這些 SVG 檔案正被用於鎖定企業的目標式攻擊。

資安研究機構Morphisec最新研究報告指出，駭客組織正透過偽裝成Google Chrome下載頁面的假網站，散布名為ValleyRAT的遠端存取木馬程式（RAT）。該惡意程式利用DLL劫持（DLL Hijacking）技術來規避偵測。

該惡意程式於2023年首次被發現，據信是由代號「Silver Fox」的駭客組織所開發。研究顯示，此組織主要鎖定台、中、港等華語地區，特別針對企業中具有敏感資料存取權限的財務、會計和銷售部門人員進行攻擊。

根據Morphisec資安研究員技術分析，此攻擊鏈具有高度的技術性和隱蔽性。ValleyRAT最近的攻擊手法是透過名為PNGPlug的DLL載入器進行分發，攻擊者利用DLL搜尋順序劫持（DLL Search Order Hijacking）的技術漏洞，濫用合法已簽署的執行檔進行惡意負載注入。

攻擊流程的技術細節如下：當使用者從假冒網站下載並執行Setup.exe後，該程式會進行權限提升檢查，並從攻擊者控制的伺服器下載四個關鍵組件：一個合法的抖音執行檔（Douyin.exe）、用於DLL側載的惡意程式庫（tier0.dll）、用於進程控制的輔助DLL（sscronet.dll），以及ValleyRAT主程式。攻擊者特別選用抖音這類常見的中文應用程式作為載體，以降低使用者的戒心。

相關文章：惡意程式 ValleyRAT 多階段攻擊手法鎖定中文用戶

ValleyRAT是一個以C++開發的複雜木馬程式，具備多層保護機制。其核心功能模組包含：

• 螢幕內容監控引擎，用於捕獲使用者螢幕活動
• 高級鍵盤側錄，可記錄使用者的輸入行為
• 持久性機制，通過修改系統登錄檔確保重啟後仍能運行
• 命令控制（C2）通訊模組，負責與遠端伺服器的加密通信
• 進程管理系統，可動態注入和執行其他惡意模組

Morphisec指出，攻擊者使用了複雜的驅動式下載（drive-by download）技術，當使用者搜尋引擎尋找Chrome瀏覽器時，會被重定向到精心偽造的下載頁面。這些頁面不僅在視覺上與Google官方網站極為相似，還具備反檢測機制，可避開常見的安全掃描。

研究人員發現，Silver Fox的攻擊基礎設施具有高度的靈活性，能夠根據目標的地理位置和語言偏好動態調整攻擊內容。這種針對性攻擊不僅體現在社交工程層面，更反映在技術實現的多個環節，包括惡意程式的中文編譯、針對性的DLL劫持，以及鎖定中文應用程式。

資安專家建議企業和使用者採取多層次的防護措施：實施應用程式白名單管理、部署EDR解決方案、定期進行系統和應用程式更新，並特別注意來自非官方來源的軟體下載。專家建議企業IT管理者實施嚴格的DLL載入政策，並監控異常的DLL載入行為。

隨著行動支付日益普及，手機已成為金融詐騙的首要目標。駭客透過攔截簡訊驗證碼（OTP）來盜用身分，使行動裝置面臨更高的資安風險。根據 Zimperium zLabs 資安研究團隊調查，印度銀行用戶近期遭受一波行動惡意程式攻擊，導致大量敏感的財務和個人資料外洩。

該研究團隊指出，這些銀行木馬程式主要攻擊印度的銀行和政府機構，駭客透過真實電話號碼攔截並轉發簡訊，造成敏感資料外洩。這起攻擊事件是由一個專門針對 Android 系統行動裝置的駭客組織所發動，研究人員將其命名為「FatBoyPanel」。

研究人員指出，此次「協同行動」利用超過一千個惡意 Android 應用程式，專門竊取財務和個人資料。這些惡意程式偽裝成正當的銀行和政府工具，並主要透過 WhatsApp 散布。受害者被誘騙提供身分證明文件、ATM 密碼和行動銀行帳號等敏感資訊。

有別於傳統惡意程式，此次攻擊採用了一種創新的OTP驗證碼竊取手法。Zimperium 研究人員觀察到，駭客除了使用指揮控制伺服器（C&C Server）外，還利用真實手機門號即時攔截和轉發簡訊。然而，這種手法會留下可追蹤的數位足跡，可能協助執法單位追查犯罪者。

根據研究團隊的分析，這次攻擊行動規模龐大。從惡意程式的共同程式碼、使用者介面和應用程式圖示可見，這是一起精心策劃的組織性攻擊。研究人員發現超過 222 個未受保護的 Firebase 雲端儲存空間，內含 2.5GB 的外洩資料，包括銀行帳戶資訊、信用卡資料、身分證明文件和簡訊內容，估計影響約 5 萬名受害者。

此惡意程式分為三種變種：簡訊轉發型、Firebase 資料外洩型，以及混合型。所有變種都能攔截和竊取簡訊內容（含驗證碼），以進行未經授權的交易。為了躲避偵測，惡意程式會隱藏圖示、防止解除安裝，並運用程式碼混淆和封裝技術。

駭客將固定電話號碼和 Firebase 端點寫入惡意程式中作為資料外洩管道。該平台的管理儀表板更設有「WhatsApp管理員」按鈕，顯示這是個多人協作環境，便於駭客集團成員間的溝通。

為了防範手機惡意程式攻擊，用戶可遵循以下安全原則，有效提升行動裝置安全性：

• 僅從官方應用程式商店下載App
• 不要從網站、通訊軟體或不明來源下載APK檔案
• 下載前仔細檢查App資訊
• 謹慎評估App要求的權限是否合理

文章來源

根據TWCERT網站資料，台灣地區近日出現大規模搜尋引擎最佳化中毒（SEO Poisoning）攻擊事件，駭客透過入侵合法網站並操控搜尋排名，誘導使用者連至惡意網站。調查顯示，這波攻擊主要鎖定投資理財和博弈相關關鍵字，企圖藉由搜尋引擎導向詐騙網站。

TWCERT指出，此類 SEO 中毒攻擊具有高度隱蔽性，一般使用者難以察覺。攻擊者首先入侵合法網站並植入惡意程式碼，再透過精心設計的演算法判斷訪客來源。若使用者是經由搜尋引擎進入，系統便會自動將其導向至詐騙網站；反之，若為直接訪問，則顯示正常網頁內容，藉此規避檢測。

據技術分析，這類攻擊主要透過三個階段進行：首先是入侵合法網站並植入惡意程式碼；其次是根據使用者的瀏覽器特徵和來源進行動態轉址；最後則在受害網站中預留後門，以便持續更新惡意內容。值得注意的是，部分攻擊者會特別檢測 User-Agent 或 URI 中的特定特徵，針對性地進行導向。

TWCERT建議企業網站管理者應採取以下防護措施：

• 定期掃描網站內容，及時發現可疑的程式碼或異常轉址
• 謹慎選用可信賴的網站套件，並保持及時更新
• 部署進階的網站安全防護設備，限制特定頁面的存取權限

對一般使用者而言，建議在進行線上搜尋時提高警覺，特別是與投資理財相關的資訊。如發現搜尋結果中出現不自然的廣告內容或可疑連結，應立即通報相關單位，避免造成個人資料外洩或財務損失。

近期發生的瀏覽器擴充功能大規模攻擊事件，凸顯了惡意擴充功能已成為身分盜竊攻擊的新戰場。

去年底，一場針對瀏覽器擴充功能的攻擊導致全球數千個組織中超過 260 萬名用戶的 Cookie 和身分驗證資料遭到外洩。這起資安事件最初由資安公司 Cyberhaven 揭露。駭客在入侵該公司的瀏覽器擴充功能後，植入惡意程式碼以竊取用戶的 Facebook Cookie 和身分驗證憑證。

在 Cyberhaven 揭露資安漏洞事件後，更多遭到入侵的擴充功能陸續被發現。目前已知至少 35 個瀏覽器擴充功能遭到入侵，而且這個數字仍在增加中。大多數受影響的擴充功能已經發布更新版本以移除惡意程式碼，或是直接從 Chrome 線上應用程式商店下架。

雖然目前大多數擴充功能的即時威脅已受到控制，但此事件突顯了瀏覽器擴充功能對身分安全的潛在風險，以及許多組織對此缺乏警覺性。

延伸閱讀：Chrome 擴充程式遭駭事件突顯軟體供應鏈安全的重要性

內部身分威脅

瀏覽器擴充功能已成為現今組織不可或缺的工具。根據 LayerX 的數據顯示，約 60% 的企業用戶在其瀏覽器上安裝了擴充功能。這些擴充功能雖有其正當用途，例如拼字檢查、尋找折扣優惠券和記事等，但它們往往被授予過多存取權限，可讀取敏感的用戶資料，包括 Cookie、身分驗證令牌、密碼和瀏覽紀錄等。

這些權限是透過 Google、Microsoft 或 Mozilla 等瀏覽器供應商的 API 進行管理。使用者首次安裝擴充功能時，系統會列出所需權限並要求同意，但某些預設權限則無需明確許可就能使用。

擴充功能可透過這些 API 存取的關鍵資訊包括：

• Cookie：可讀取、寫入和修改用戶的Cookie，這些資訊用於網站身分驗證。在近期事件中，Cookie是遭入侵擴充功能的主要目標
• 身分資料：可存取用戶的身分和個人資料
• 瀏覽紀錄：可查看用戶的瀏覽歷史記錄
• 瀏覽資料：可查看用戶正在瀏覽的URL和所有瀏覽元數據
• 密碼：許多擴充功能具有權限可在網頁加密前查看明文密碼
• 網頁內容：可檢視所有分頁的網頁資料，甚至可能存取原本無法從網路取得的內部系統資料
• 文字輸入：可如同鍵盤側錄程式般追蹤網頁上的每個按鍵
• 音訊/視訊擷取：可存取電腦的麥克風和攝影機

儘管大多數擴充功能沒有取得所有權限，但許多擴充功能仍擁有部分或多項關鍵權限。根據 LayerX 的數據顯示，高達 66% 的瀏覽器擴充功能具有「高」或「極高」等級的權限，而 40% 的用戶已安裝這類高權限擴充功能。

當這些擁有廣泛權限的擴充功能遭到入侵或惡意利用時，可能導致多種資安漏洞和攻擊：

• 憑證竊取：竊取擴充功能記錄的身分資料和密碼
• 帳號盜用：利用竊取的Cookie或憑證，以合法用戶身分登入
• 連線劫持：使用竊取的Cookie或存取令牌進行身分驗證
• 資料竊取：擷取網頁提交的資料，或直接透過用戶的鍵盤、麥克風或攝影機收集資訊

當員工在企業裝置上任意安裝擴充功能而缺乏適當監督時，組織將面臨更嚴重的風險。攻擊者可透過遭入侵的擴充功能竊取企業憑證，不僅危及個人帳號，還可能入侵組織系統並存取敏感資料，導致大規模資料外洩。

隨著更多員工安裝未經審查的擴充功能，這些程式可能成為憑證竊取和系統入侵的跳板，使整個組織的資安風險不斷擴大。

CISO 的瀏覽器擴充功能風險管理架構

鑑於近期針對瀏覽器擴充功能的攻擊事件，資安主管必須建立完整策略來因應這個易被忽視的威脅。以下是組織可採用的系統性方法來管理瀏覽器擴充功能的資安風險：

1. 全面盤點擴充功能：
   建立瀏覽器擴充功能資安計畫的首要步驟是完整掌握現況。資安團隊必須徹底盤點企業環境中所有已安裝的擴充功能。這對允許自由安裝瀏覽器和擴充功能的組織來說特別具挑戰性，但對評估潛在風險範圍至關重要。
2. 識別高風險類別：
   擴充功能分類是關鍵步驟，尤其考慮到近期攻擊模式鎖定特定類型擴充功能。最新攻擊主要針對生產力工具、VPN 解決方案和 AI 相關擴充功能。這並非隨機選擇—攻擊者策略性地鎖定擁有龐大用戶群（如生產力工具）或具備廣泛系統權限（如需要網路存取的 VPN 擴充功能）的類別。
3. 列舉權限範圍：
   掌握每個擴充功能的確切權限，為資安團隊提供關鍵評估基礎。這種詳細的權限盤點可揭示各擴充功能可能存取的企業資料和系統範圍。例如，表面無害的生產力擴充功能可能具有存取敏感企業資料或瀏覽活動的權限。
4. 風險評估：
   完成擴充功能盤點和權限對應後，即可進行風險評估。有效的評估框架應考量兩大面向：技術風險（基於權限範圍和潛在存取權限）和信任因素（包含發布者聲譽、用戶群規模和發布管道）。這些要素經加權後，可得出每個擴充功能的風險分數。
5. 實施管控：
   此框架的最終目標是實施情境式資安管控。組織可依據風險承受度和營運需求制定精準政策。例如，資安團隊可能選擇封鎖要求 Cookie 存取權限的擴充功能，或實施更細緻的規則—如限制高風險的 AI 和 VPN 擴充功能，同時允許可信任的擴充功能。

儘管瀏覽器擴充功能能提升工作效率，但近期攻擊事件凸顯了實施嚴格資安措施的迫切性。資安主管必須認知到，未受管理的瀏覽器擴充功能代表重大且持續擴大的攻擊面。

因應不斷翻新的詐騙犯罪型態與手法，台灣政府今年推動「打詐新四法」，加強對數位詐騙犯罪的打擊力道，但詐騙集團仍不斷鑽取漏洞，衍生新的詐騙模式。Gogolook 旗下商譽保護服務 Watchmen 指出，假贈書詐騙瞄準愛書人士行騙，已成為今年新崛起的詐騙模式，尤其在 Facebook、Instagram 等社群平台上廣泛流竄，目的在於竊取民眾個人資料。Watchmen 特別公布了詐騙集團最常假冒的十大贈書名單，提醒大眾在參與網路贈品活動時務必保持警覺，謹防落入詐騙陷阱。

詐騙集團通常冒名名人、假借出版商或教育機構名義，發起所謂的「免費贈書活動」。受害者點選社群廣告後，將跳往製作逼真的釣魚網站，引導填寫個人資料表單，如姓名、電話、地址，甚至信用卡號，以領取「免費贈書」。這些個資隨後被用於冒充身分甚至販賣至黑市，讓受害者損失慘重。根據 Watchmen 的觀察，詐騙集團選書可謂做足功課、精挑暢銷著作，最常被盜用於詐騙的書籍名單前十名依序為小狗錢錢、思考致富、晶片戰爭、蒙格之道、執行長日記、賺錢也賺幸福、時勢、逆思維、隱性潛能、富爸爸窮爸爸。從詐騙集團盯上的書單來看，投資理財佔大多數，其次則為成長性思維叢書。

刑事局預防科科長林書立也分享，詐騙集團透過網路廣告平臺大量投放詐騙廣告，內容涵蓋投資、冒名名人贈書等，不僅使國內民眾混淆誤認，更讓政商、財經各界遭冒名之人士不堪其擾。而免費贈品更是吸引長者與學生族群上當受騙，呼籲民眾在網路上提交個資時務必三思。網路廣告平臺業者應加嚴審查廣告，配合政府機關共同合作打擊詐騙，杜絕違法廣告氾濫的問題，否則將面臨巨額罰款。

Watchmen 呼籲雖書中自有黃金屋，但網路世界中的「假黃金」往往暗藏風險。提高防詐意識、拒絕貪小便宜心態，將是最好的自我保護方式。Watchmen 也提供三大建議：

• 查驗來源真實性：收到贈書或贈品活動訊息時，請透過品牌官網或官方認證帳號查證。
• 避免提供敏感資料：若需填寫個資，請確認是否為必要，切勿提交信用卡或身份證等敏感資訊。
• 善用 Whoscall 免費防詐新功能：透過 Whoscall 的 AI 功能詐騙訊息檢查，上傳可疑贈書資訊的截圖，就能透過比對詐騙資料庫或類似詐騙模式，快速檢查可疑的簡訊、網址或電話，避免落入陷阱。此外，用戶也能 Whoscall 自動網站檢查功能，將會在用戶誤入可疑網站時，即時跳出警示。

文章來源