根據TWCERT網站資料，台灣地區近日出現大規模搜尋引擎最佳化中毒（SEO Poisoning）攻擊事件，駭客透過入侵合法網站並操控搜尋排名，誘導使用者連至惡意網站。調查顯示，這波攻擊主要鎖定投資理財和博弈相關關鍵字，企圖藉由搜尋引擎導向詐騙網站。

TWCERT指出，此類 SEO 中毒攻擊具有高度隱蔽性，一般使用者難以察覺。攻擊者首先入侵合法網站並植入惡意程式碼，再透過精心設計的演算法判斷訪客來源。若使用者是經由搜尋引擎進入，系統便會自動將其導向至詐騙網站；反之，若為直接訪問，則顯示正常網頁內容，藉此規避檢測。

據技術分析，這類攻擊主要透過三個階段進行：首先是入侵合法網站並植入惡意程式碼；其次是根據使用者的瀏覽器特徵和來源進行動態轉址；最後則在受害網站中預留後門，以便持續更新惡意內容。值得注意的是，部分攻擊者會特別檢測 User-Agent 或 URI 中的特定特徵，針對性地進行導向。

TWCERT建議企業網站管理者應採取以下防護措施：

• 定期掃描網站內容，及時發現可疑的程式碼或異常轉址
• 謹慎選用可信賴的網站套件，並保持及時更新
• 部署進階的網站安全防護設備，限制特定頁面的存取權限

對一般使用者而言，建議在進行線上搜尋時提高警覺，特別是與投資理財相關的資訊。如發現搜尋結果中出現不自然的廣告內容或可疑連結，應立即通報相關單位，避免造成個人資料外洩或財務損失。

近期發生的瀏覽器擴充功能大規模攻擊事件，凸顯了惡意擴充功能已成為身分盜竊攻擊的新戰場。

去年底，一場針對瀏覽器擴充功能的攻擊導致全球數千個組織中超過 260 萬名用戶的 Cookie 和身分驗證資料遭到外洩。這起資安事件最初由資安公司 Cyberhaven 揭露。駭客在入侵該公司的瀏覽器擴充功能後，植入惡意程式碼以竊取用戶的 Facebook Cookie 和身分驗證憑證。

在 Cyberhaven 揭露資安漏洞事件後，更多遭到入侵的擴充功能陸續被發現。目前已知至少 35 個瀏覽器擴充功能遭到入侵，而且這個數字仍在增加中。大多數受影響的擴充功能已經發布更新版本以移除惡意程式碼，或是直接從 Chrome 線上應用程式商店下架。

雖然目前大多數擴充功能的即時威脅已受到控制，但此事件突顯了瀏覽器擴充功能對身分安全的潛在風險，以及許多組織對此缺乏警覺性。

延伸閱讀：Chrome 擴充程式遭駭事件突顯軟體供應鏈安全的重要性

內部身分威脅

瀏覽器擴充功能已成為現今組織不可或缺的工具。根據 LayerX 的數據顯示，約 60% 的企業用戶在其瀏覽器上安裝了擴充功能。這些擴充功能雖有其正當用途，例如拼字檢查、尋找折扣優惠券和記事等，但它們往往被授予過多存取權限，可讀取敏感的用戶資料，包括 Cookie、身分驗證令牌、密碼和瀏覽紀錄等。

這些權限是透過 Google、Microsoft 或 Mozilla 等瀏覽器供應商的 API 進行管理。使用者首次安裝擴充功能時，系統會列出所需權限並要求同意，但某些預設權限則無需明確許可就能使用。

擴充功能可透過這些 API 存取的關鍵資訊包括：

• Cookie：可讀取、寫入和修改用戶的Cookie，這些資訊用於網站身分驗證。在近期事件中，Cookie是遭入侵擴充功能的主要目標
• 身分資料：可存取用戶的身分和個人資料
• 瀏覽紀錄：可查看用戶的瀏覽歷史記錄
• 瀏覽資料：可查看用戶正在瀏覽的URL和所有瀏覽元數據
• 密碼：許多擴充功能具有權限可在網頁加密前查看明文密碼
• 網頁內容：可檢視所有分頁的網頁資料，甚至可能存取原本無法從網路取得的內部系統資料
• 文字輸入：可如同鍵盤側錄程式般追蹤網頁上的每個按鍵
• 音訊/視訊擷取：可存取電腦的麥克風和攝影機

儘管大多數擴充功能沒有取得所有權限，但許多擴充功能仍擁有部分或多項關鍵權限。根據 LayerX 的數據顯示，高達 66% 的瀏覽器擴充功能具有「高」或「極高」等級的權限，而 40% 的用戶已安裝這類高權限擴充功能。

當這些擁有廣泛權限的擴充功能遭到入侵或惡意利用時，可能導致多種資安漏洞和攻擊：

• 憑證竊取：竊取擴充功能記錄的身分資料和密碼
• 帳號盜用：利用竊取的Cookie或憑證，以合法用戶身分登入
• 連線劫持：使用竊取的Cookie或存取令牌進行身分驗證
• 資料竊取：擷取網頁提交的資料，或直接透過用戶的鍵盤、麥克風或攝影機收集資訊

當員工在企業裝置上任意安裝擴充功能而缺乏適當監督時，組織將面臨更嚴重的風險。攻擊者可透過遭入侵的擴充功能竊取企業憑證，不僅危及個人帳號，還可能入侵組織系統並存取敏感資料，導致大規模資料外洩。

隨著更多員工安裝未經審查的擴充功能，這些程式可能成為憑證竊取和系統入侵的跳板，使整個組織的資安風險不斷擴大。

CISO 的瀏覽器擴充功能風險管理架構

鑑於近期針對瀏覽器擴充功能的攻擊事件，資安主管必須建立完整策略來因應這個易被忽視的威脅。以下是組織可採用的系統性方法來管理瀏覽器擴充功能的資安風險：

1. 全面盤點擴充功能：
   建立瀏覽器擴充功能資安計畫的首要步驟是完整掌握現況。資安團隊必須徹底盤點企業環境中所有已安裝的擴充功能。這對允許自由安裝瀏覽器和擴充功能的組織來說特別具挑戰性，但對評估潛在風險範圍至關重要。
2. 識別高風險類別：
   擴充功能分類是關鍵步驟，尤其考慮到近期攻擊模式鎖定特定類型擴充功能。最新攻擊主要針對生產力工具、VPN 解決方案和 AI 相關擴充功能。這並非隨機選擇—攻擊者策略性地鎖定擁有龐大用戶群（如生產力工具）或具備廣泛系統權限（如需要網路存取的 VPN 擴充功能）的類別。
3. 列舉權限範圍：
   掌握每個擴充功能的確切權限，為資安團隊提供關鍵評估基礎。這種詳細的權限盤點可揭示各擴充功能可能存取的企業資料和系統範圍。例如，表面無害的生產力擴充功能可能具有存取敏感企業資料或瀏覽活動的權限。
4. 風險評估：
   完成擴充功能盤點和權限對應後，即可進行風險評估。有效的評估框架應考量兩大面向：技術風險（基於權限範圍和潛在存取權限）和信任因素（包含發布者聲譽、用戶群規模和發布管道）。這些要素經加權後，可得出每個擴充功能的風險分數。
5. 實施管控：
   此框架的最終目標是實施情境式資安管控。組織可依據風險承受度和營運需求制定精準政策。例如，資安團隊可能選擇封鎖要求 Cookie 存取權限的擴充功能，或實施更細緻的規則—如限制高風險的 AI 和 VPN 擴充功能，同時允許可信任的擴充功能。

儘管瀏覽器擴充功能能提升工作效率，但近期攻擊事件凸顯了實施嚴格資安措施的迫切性。資安主管必須認知到，未受管理的瀏覽器擴充功能代表重大且持續擴大的攻擊面。

因應不斷翻新的詐騙犯罪型態與手法，台灣政府今年推動「打詐新四法」，加強對數位詐騙犯罪的打擊力道，但詐騙集團仍不斷鑽取漏洞，衍生新的詐騙模式。Gogolook 旗下商譽保護服務 Watchmen 指出，假贈書詐騙瞄準愛書人士行騙，已成為今年新崛起的詐騙模式，尤其在 Facebook、Instagram 等社群平台上廣泛流竄，目的在於竊取民眾個人資料。Watchmen 特別公布了詐騙集團最常假冒的十大贈書名單，提醒大眾在參與網路贈品活動時務必保持警覺，謹防落入詐騙陷阱。

詐騙集團通常冒名名人、假借出版商或教育機構名義，發起所謂的「免費贈書活動」。受害者點選社群廣告後，將跳往製作逼真的釣魚網站，引導填寫個人資料表單，如姓名、電話、地址，甚至信用卡號，以領取「免費贈書」。這些個資隨後被用於冒充身分甚至販賣至黑市，讓受害者損失慘重。根據 Watchmen 的觀察，詐騙集團選書可謂做足功課、精挑暢銷著作，最常被盜用於詐騙的書籍名單前十名依序為小狗錢錢、思考致富、晶片戰爭、蒙格之道、執行長日記、賺錢也賺幸福、時勢、逆思維、隱性潛能、富爸爸窮爸爸。從詐騙集團盯上的書單來看，投資理財佔大多數，其次則為成長性思維叢書。

刑事局預防科科長林書立也分享，詐騙集團透過網路廣告平臺大量投放詐騙廣告，內容涵蓋投資、冒名名人贈書等，不僅使國內民眾混淆誤認，更讓政商、財經各界遭冒名之人士不堪其擾。而免費贈品更是吸引長者與學生族群上當受騙，呼籲民眾在網路上提交個資時務必三思。網路廣告平臺業者應加嚴審查廣告，配合政府機關共同合作打擊詐騙，杜絕違法廣告氾濫的問題，否則將面臨巨額罰款。

Watchmen 呼籲雖書中自有黃金屋，但網路世界中的「假黃金」往往暗藏風險。提高防詐意識、拒絕貪小便宜心態，將是最好的自我保護方式。Watchmen 也提供三大建議：

• 查驗來源真實性：收到贈書或贈品活動訊息時，請透過品牌官網或官方認證帳號查證。
• 避免提供敏感資料：若需填寫個資，請確認是否為必要，切勿提交信用卡或身份證等敏感資訊。
• 善用 Whoscall 免費防詐新功能：透過 Whoscall 的 AI 功能詐騙訊息檢查，上傳可疑贈書資訊的截圖，就能透過比對詐騙資料庫或類似詐騙模式，快速檢查可疑的簡訊、網址或電話，避免落入陷阱。此外，用戶也能 Whoscall 自動網站檢查功能，將會在用戶誤入可疑網站時，即時跳出警示。

文章來源

手機鑑識軟體 Cellebrite 的最新調查發現，智慧型手機的資安防護極為脆弱，容易遭到破解及資料外洩。總部位於新加坡的資安公司 Group-IB 警告，無論是 Apple iOS 或 Google Android 的智慧型手機用戶，都面臨資安威脅。

執法單位用來解鎖智慧型手機並擷取資料的工具 Cellebrite Premium，自 2024 年 2 月以來備受關注。FBI 曾使用該工具，在短短 40 分鐘內就成功破解川普槍擊案嫌犯的手機。

根據國際特赦組織的報告，塞爾維亞當局非法使用這款以色列開發的產品，入侵記者和社運人士的裝置。這些案例清楚顯示智慧型手機的資安防護極易被突破。對此，資安業者 Group-IB 提出了資安透明度和使用者安全的迫切疑慮。

鑑識工具分析，幾乎所有現代智慧型手機一旦解鎖後，就容易遭到資料擷取。雖然舊款裝置特別容易遭受攻擊，但新型號的資安防護同樣存在漏洞。Group-IB 的報告指出，無論使用 iOS 或 Android 系統的手機用戶，都難以避免資料外洩的風險。

手機解鎖與資料鑑識工具的實際影響力有多大？

根據 Cellebrite 的更新紀錄，該工具能夠暴力破解執行 iOS 12.5 至 17.2.1 版本的 iPhone，同時也支援三星 Galaxy S24 系列（包括高通與 Exynos 晶片版本）。

先前外洩的支援列表更涵蓋了 Pixel 8 系列和 iPhone 15 系列等最新智慧型手機。廠商強調，這些新機型一旦首次解鎖後就會變得容易受攻擊。對此，蘋果已採取應對措施，推出新的 iOS 資安功能，使 iPhone 在閒置 72 小時後自動重新開機。

另一款解鎖與鑑識工具 GrayKey 宣稱可以部分存取所有執行 iOS 18 或較舊版本的 iPhone。然而，Group-IB 指出，該工具在處理最新 iOS 更新時仍有限制。該工具也表明所有 Google Pixel 裝置在首次解鎖後都會變得脆弱。

Group-IB 的研究人員表示，iPhone X 及更早期的機型幾乎毫無防護，極易遭到入侵。即使配備先進的加密技術，現代裝置也非絕對安全——特別是當處於首次解鎖（AFU）模式時，這些裝置仍然容易受到攻擊。

駭客越來越常使用越獄和檔案交換工具來入侵遺失或遭竊的智慧型手機。透過這些工具，攻擊者能夠存取系統檔案，並植入經過竄改的資料。

另一種繞過啟動鎖定的手法是駭客偽造蘋果伺服器回應，或透過交換備份檔案來突破「尋找我的 iPhone」和「啟動鎖定」等安全機制。即使是最安全的智慧型手機，一旦遺失或遭竊也可能被入侵。攻擊者主要會利用開機程式（bootloader）或 USB 連接埠的漏洞進行攻擊。

Group-IB 揭露了地下市場上各種蘋果裝置解鎖服務的價目表。這些繞過防護的方法雖然只能持續到韌體重設或更新為止，但已足夠讓攻擊者將被竊裝置當作正常手機轉售。

研究人員也提出一個重要隱憂：若智慧型手機如此容易遭到入侵，且資料可輕易被植入或竄改，這些裝置作為證據的可信度就值得質疑。

如何保護自己的手機資安？

Cellebrite 等鑑識工具的存在，使智慧型手機用戶面臨資料外洩、身分盜用、證據竄改及企業間諜等重大風險。

資安公司 Group-IB 提供以下建議：

• iOS 用戶應啟用「鎖定模式」（Lockdown Mode）來強化安全防護，並確實進行定期更新。
• Android 用戶則建議選擇具備較高安全性的機型，如支援「記憶體標記擴充」（MTE）功能的 Google Pixel 8 系列等新型智慧型手機。
• 進階用戶可考慮使用自訂作業系統，將手機從「首次解鎖後」（AFU）模式切換至「首次解鎖前」（BFU）模式，並確實鎖定開機程式。

對於手機製造商，Group-IB 建議強化硬體安全性，特別是在手機鎖定時停用資料傳輸功能（僅保留充電），以防止透過連接埠進行資料外洩。該公司也呼籲各廠商效法蘋果的做法，縮短手機閒置時間，使裝置能更快進入「首次解鎖前」（BFU）模式。在開機程式安全性方面，廠商應主動發掘並修補漏洞，並確保漏洞能確實回報。由於舊款智慧型手機特別容易遭到暴力破解，強烈建議使用者設定較長的密碼。

此外，目前的生物辨識功能和防盜系統也需要進一步改善，因為這些安全機制都存在被暫時突破的風險。

Juniper Networks近期發布安全警告，指出其Session Smart路由器遭受Mirai惡意程式攻擊，駭客利用預設密碼入侵設備，並將受感染設備納入殭屍網路進行分散式阻斷服務（DDoS）攻擊。

攻擊細節

根據Juniper的安全公告，自2024年12月11日起，多名客戶回報他們的Session Smart Network（SSN）平台出現可疑行為。調查發現，這些遭受攻擊的設備都有一個共同特點：仍在使用原廠預設密碼。

Mirai變種惡意程式會主動掃描使用預設密碼的路由器，一旦成功入侵，這些設備就會被用來發動DDoS攻擊，向目標網站發送大量垃圾流量。除此之外，根據過往案例，Mirai還可能傳播加密貨幣挖礦程式，或進行點擊詐欺等惡意活動。

可疑活動指標

面對此威脅，網路管理員應密切關注幾個關鍵的可疑活動指標。這包括對23、2323、80、8080等常見Layer 4端口的掃描行為，以及SSH服務出現的疑似暴力破解登入失敗紀錄。此外，若發現設備對外流量突然激增，可能表示設備已被納入DDoS攻擊網路。設備異常重啟或運作不穩定，以及出現來自已知惡意IP位址的SSH連線，也都是重要的警訊。

強化防護措施

針對這波攻擊，Juniper強調預防勝於治療的重要性。首要之務是立即檢視並變更所有網路設備的預設密碼，確保使用高強度的獨特密碼。同時，應建立定期韌體更新機制，確保設備始終運行最新版本，以修補已知的安全漏洞。

在網路監控方面，組織應建立完整的日誌檢查機制，定期審視存取紀錄中的異常活動。配合自動警報系統的部署，可在第一時間發現並處理可疑活動。同時，透過入侵偵測系統的持續監控，搭配防火牆阻擋未經授權的存取，可建立起多層次的防護網。

若不幸發現設備已遭感染，Juniper建議採取最謹慎的處理方式：重新安裝系統映像檔。這是因為無法確定設備已遭到哪些更改或資料外洩，重新安裝是確保系統安全的最可靠方法。

適當的密碼管理對網路安全至關重要。尤其是物聯網設備如路由器、攝影機等，經常因使用預設密碼而成為Mirai等惡意程式的目標。組織在部署網路設備時，應將更改預設密碼列為首要任務，並建立完整的安全管理機制，方能有效降低遭受攻擊的風險。