資安大廠觀察指出，台灣遭受資安攻擊居全球之冠！企業若遭受攻擊所產生的營運中斷損失，甚至潛在的法律賠償責任，都會產生財務層面的衝擊，甚至影響與重要客戶的關係。根據美商達信保險經紀人與微軟共同發布的資安韌性調查報告，1/3的亞洲企業未具備資安事故應變計畫，缺乏充分應變計劃與測試的企業，承受的損失與成本比具備高度規劃與測試的企業平均高出41%。

去年發生一件匪夷所思的詐騙，總部設於英國的知名工程顧問公司奧雅納（Arup)一位香港財務人員，在視訊電話會議聽從Deepfake 技術冒充的財務長與高階主管指示，匯款2600萬美元(約8.45億台幣)，讓公司遭受鉅額損失。

在快速變化的聯網、AI、雲端時代下，AI強大的分析與歸納功能使企業更易曝弱點，而生成式AI以假亂真的發展，更讓資安威脅樣貌難以捉摸。不同態樣的駭客攻擊屢屢攻佔媒體版面，上市櫃公司的資安重大事故也引起投資人關切。

零壹科技身觀察一般公司受限於資源及經驗，處理分秒必爭的資安事故時，往往捉襟見肘不知從何著手。零壹科技總經理陳鍵忠表示，為解決客戶面臨資安攻擊威脅的痛點，整合集團資安專業技術人力資源，推出【零壹資安保母服務】，發生資安事件時即時以最有效率方式，應用相關資安產品工具，協助抵禦不同類型資安威脅，縮短服務中斷時間，確保持續營運。

當資安事故獲得初步控制必要引進其他服務支援時，如網路勒索調查、法令遵循、公共關係管理，甚至資料採證、法律責任防禦等，則需要更具備深度及廣度的服務網絡加入。

美商達信保險經紀人提供專業資安保險服務，有別於傳統保險，更具有提前部署資源整合的特色，除了保單條款所訂理賠標準時理賠第一線事故應變費用，並可協助客戶引進相關專家資源，降低財務衝擊並快速恢復正常營運。

和泰產險協助企業在資訊安全事件發生時，迅速獲得保障與專業支援，涵蓋事故應變費用與責任保障，並積極參與資訊安全事件應變計畫的建構，確保企業面對資訊安全威脅時能迅速啟動應變機制，減少損失。企業資安險的保障內容依保戶需求不同而異，會提供專業的保險方案讓保戶獲得適切的保障及保費

在政府資安即國安的宣示下，企業應重視資安風險管理，適時評估投保資安保險。零壹科技、美商達信保險經紀人台灣分公司、和泰產險提供企業資安環境健檢、資安風險評估報告及保險方案規劃，全方位滿足企業風險管理需求，當遭遇資安攻擊時，第一時間支援前線的資訊人員止損，同時提供後方管理階層策略建議，事後獲得適當的保險理賠。

文章來源

The post AI以假亂真資安風險高　沒應變損失高4成 first appeared on 捕夢網 Blog.

當企業將 AI 用於提升效率、降低成本，資安卻常被忽視。世界經濟論壇最新報告《2025 年全球網路安全展望》，揭示了一項令產業不安的數據──多數（66%）受訪組織認為 AI 將在未來一年內衝擊網路安全，卻只有少數（37%）組織表示已制定安全部署 AI 工具的流程，這種落差被稱為「AI 與資安困境（AI–cyber paradox）」，已成為企業不得不面對的新挑戰。

事實上，AI 大型語言模型（LLM）不只是工具，也是全新的攻擊面。根據世界經濟論壇，在 AI 採用和部署流程中，如果沒有充分考慮資安風險和因應措施，可能不知不覺在 IT 基礎設施引入漏洞。那麼，究竟什麼樣的情境，可能讓 AI 變得不安全？

情境 1：閉源、開源 AI 和第三方組件本身就有資安風險

企業在導入 AI 過程中，可能使用多種閉源和開源 AI 模型，然而市面上不同模型的品質和安全態勢可能存在巨大差異。軟體供應鏈公司 JFrog 觀察，2024 年，全球最大公開機器學習模型平台 Hugging Face 上新增的模型與資料集超過 100 萬個，與此同時，惡意模型的數量也成長了 6.5 倍。也就是說，AI 模型成為駭客釣魚攻擊的工具，增加企業選用 AI 模型的安全風險。

思科在《2025 AI 資安現況》指出，AI 生態系仰賴共享的模型、資料集與函式庫，這使得攻擊面擴大至整個 AI 供應鏈。無論是預訓練模型、開源函式庫，或是用於訓練 AI 系統的資料集，AI 供應鏈攻擊利用了企業對第三方工具的信任──當某環節遭入侵，問題往往在造成重大損害之後才會被發現，並可能對多個下游應用與系統造成影響。

情境 2：針對 LLM 微調？產生有害輸出可能性高出 22 倍

根據致力於 Web 應用程式安全性的國際非營利組織 OWASP 發布的 LLM 十大風險清單，駭客可以進行資料與模型投毒（Data and Model Poisoning），針對 LLM 生命週期的不同階段進行操弄，例如預訓練、微調和嵌入。

其中，「微調（Fine-tuning）」階段特別值得關注。思科研究發現，經微調的 LLM 產出有害內容的可能性是基礎模型的 22 倍。根據 OWASO，有害內容指的是 LLM 產生不安全、不當、具有潛在威脅或負面影響的輸出，例如違反安全規範、被惡意利用的程式碼、釣魚或詐騙、誤導性內容、敏感資訊洩露等。

雖然微調有助於提升模型在特定情境下的準確性，但也會削弱 AI 模型原有的安全機制，暴露在越獄、提示注入等攻擊手法之下。思科研究測試多個經過微調、被應用於醫療、金融與法律領域的模型，包括 Llama-2-7B 等，指出服務特定專業應用導向的微調模型，也難以擺脫被攻擊的風險。

情境 3：當企業吹起 Vibe coding 風潮，敏感資料面臨外洩風險

生成式 AI 對軟體工作流程帶來重大變化，開發人員越來越依賴 AI 寫程式工具如 GitHub Copilot、Cursor 來輔助軟體開發，這也讓「Vibe coding」成為矽谷最新流行語──這是一種新的程式撰寫狀態，意指透過幾個提示詞，不需要親手撰寫程式碼，就能做出整個應用程式。

然而，資安平台 GitGuardian 調查，在啟用 AI 寫程式工具的程式庫中，敏感資訊洩漏的比例比一般公開程式庫高出 40%。GitGuardian 執行長 Eric Fourrier 指出，AI 雖然加速開發流程，也讓安全風險升高，特別是非人類身分（如機器帳號、API 金鑰）相關的漏洞。

Fourrier 表示，有經驗的開發者可能會立刻察覺 AI 生成程式碼涉及的風險並進行修改，但對於資歷較淺或有時間壓力的開發者來說，可能會直接複製貼上 AI 生成結果。然而，一旦敏感資訊被提交至程式庫，就可能被惡意人士擷取利用。

情境 4：AI 代理時代來臨，留意「過度代理授權」

OWASP 也揭露 AI「過度代理授權（Excessive Agency）」的資安風險。這項風險指的是，AI 模型被賦予超出預期操作所需的功能、權限或自主性，如果沒有積極控管，可能在模型幻覺、不良提示工程、直接或間接惡意提示注入等原因而產生錯誤輸出的情況下，仍然觸發具有損害性的行為。

造成過度代理問題的根本原因是，AI 模型可能經常需要與其他系統和服務互動以完成任務。OWASP 指出，考量到 AI 代理（Agentic AI）技術日益普及，目前至少已識別出 14 種不同的代理式系統威脅向量，強調未經檢查的權限可能導致意外或危險的行為。

情境 5：員工愛用但企業完全不知情的「影子 AI」

對企業來說，員工用 AI 提升工作效率是好事，但如果用的是「影子 AI」，可能危害自家資訊安全。科技媒體《VentureBeat》指出，「影子 AI」是未經授權、缺乏資安防護與治理規範的 AI 工具與應用，可能用於內部產出報表、行銷自動化、視覺化處理，甚至是進階數據分析，而且時常以企業內部資料為基礎，形成資料外洩風險。

根據 SoftwareAG 今年調查 6 千名知識工作者，有 50% 受訪工作者都在用「影子 AI」。然而，多數員工並非沒有風險意識，但使用的主要原因，53% 是基於自主性，另有 33% 表示企業尚未提供符合需求的工具。這顯示，企業如果希望員工使用經內部授權的 AI 工具，就必須重新檢視採用流程，確保能真正符合實際工作需求。

無論是選擇、部署或授權 AI 模型，以及管理員工自發使用的影子 AI，每個決策都可能成為資安破口。然而，當企業導入 AI 成為趨勢，「如何安全導入」將是企業在 AI 開發生命週期初始就須重新思考、評估的關鍵議題。

文章來源

The post 企業導入 AI 為何須重新思考資安？「5 大情境」解析最常忽略的風險 first appeared on 捕夢網 Blog.

The post DDoS攻擊持續升溫 中華電信監測：台灣每日被攻擊35次 first appeared on 捕夢網 Blog.

The post 資安專家：瀏覽器永遠不要存信用卡資料 first appeared on 捕夢網 Blog.

要求使用者依照特定指示操作的網釣攻擊手法ClickFix，近半年接二連三出現，如今出現專門針對特定行業的攻擊行動，引起研究人員關注並提出警告。

微軟威脅情報團隊從去年12月的旅遊旺季，察覺專門針對旅館業者的ClickFix網釣攻擊行動，駭客組織Storm-1865假借訂房網站Booking.com的名義發送釣魚郵件，意圖散布能竊取多種帳密資料的惡意程式。值得留意的是，這波攻擊行動仍在持續進行當中。

駭客攻擊的範圍相當廣泛，涵蓋北美、大洋洲、南亞及東南亞，歐洲北部、南部、東部、西部都有災情。遭到攻擊的目標存在共通點，那就是大部分都與Booking.com有合作關係。

在這波攻擊當中，駭客先鎖定可能與Booking.com合作的旅館及相關人士，假借該訂房網站名義寄送惡意郵件，信件內容相當多元，包括旅客的負面評論、潛在客戶需求、網路促銷機會，以及帳號驗證等。然而，這些郵件存在共通之處，不是內文包含URL連結，就是挾帶的PDF附件存在URL，駭客引誘收信人點選，對Booking.com進行回覆。

然而收信人一旦點選，就會被帶往冒牌的Booking.com網站進行CAPTCHA圖靈驗證，要求依照指示操作，先透遇快速鍵開啟執行視窗，然後貼上駭客的命令並執行，從而在受害電腦植入各式惡意軟體。

這些惡意程式包含XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT，此外，研究人員也看到下載PowerShell、JavaScript程式碼的情況。

而對於上述的惡意程式及程式碼，微軟指出都具備竊取財務資料及帳密資斗的能力，攻擊者再將其用於詐欺活動。不過，Storm-1865假冒Booking.com從事攻擊的情況已有前例，2023年這些駭客使用類似的社交工程手法，打著該訂房網站的名號，鎖定旅館房客散布惡意程式。

文章來源

The post 駭客佯裝Booking.com從事ClickFix網釣，對旅館業者的人際網路散布惡意程式 first appeared on 捕夢網 Blog.

提供網站防護功能的外掛程式一旦出現漏洞，不僅可能讓其防護能力失效，還有可能讓攻擊者對網站上下其手，而最近專精網站安全的資安業者Patchstack揭露的漏洞，就是這種例子。

3月20日Patchstack警告WordPress資安外掛WP Ghost存在重大層級的本機檔案包含（Local File Inclusion，LFI）漏洞，若不處理攻擊者有機會遠端利用漏洞，從而執行任意程式碼（RCE），這項漏洞被登記為CVE-2025-26909，CVSS風險評為9.6（滿分10分），相當危險，研究人員呼籲網站管理者應儘速套用5.4.02版外掛程式因應。

WP Ghost是相當受到歡迎的免費資安及防火牆外掛程式，有超過20萬個WordPress網站採用，號稱每個月成功封鎖9百萬次暴力破解嘗試，以及阻斷14萬次入侵。而對於如何強化網站的安全，開發者表示此外掛程式能變更或隱藏常見的漏洞，使得駭客或網站機器人難以利用WordPress、外掛程式、佈景主題的弱點。

這項漏洞之所以形成，Patchstack指出，由於使用者透過URL路徑輸入的數值驗證方式不夠完備，導致有心人士可趁機讀取或執行本機電腦的檔案（LFI）。研究人員特別提及在大部分的環境組態下，這項漏洞的存在，都有可能讓攻擊者有機會發動RCE攻擊，而且，攻擊者不需通過身分驗證就能利用這項弱點。

不過，攻擊者想利用這項漏洞利用還是有門檻要克服，那就是：必須設法將WP Ghost的變更路徑功能設置為Lite模式或Ghost模式，而在系統預設狀態之下，這些模式會是停用的。

文章來源

The post WordPress外掛WP Ghost有重大漏洞，高達20萬個網站暴露在這個風險之下 first appeared on 捕夢網 Blog.

[周刊王CTWANT] 美國聯邦調查局（FBI）與美國網路安全與基礎設施安全局（CISA）近日對一款名為Medusa的勒索軟體發出警告，這款「勒索軟體即服務」（RaaS）自2021年起便持續攻擊各大機構，近期受害者人數更大幅上升。根據CISA報告，Medusa主要透過網路釣魚手法竊取受害者憑證，並利用漏洞滲透企業與政府機構系統，攻擊對象涵蓋醫療、教育、法律、保險、科技與製造業等產業。 先前也曾害一間學校因此洩漏數十萬份學生敏感個資。

綜合外媒報導指出，Medusa採用雙重勒索模式（double extortion model），在加密受害者數據後，威脅若不支付贖金，將公開洩漏這些資料。該組織設有資料洩漏網站，會列出被攻擊的受害機構，並附上倒數計時器，顯示何時將公開資料。受害者可以支付1萬美元的加密貨幣來延長倒數計時一天，若未支付贖金，數據則可能被販售給第三方。

CISA指出，自今年2月以來，Medusa已攻擊超過300家關鍵基礎設施機構，其中包括政府機構、金融企業與教育機構等。該組織的附屬駭客利用CVE-2024-1709（影響遠端存取工具ScreenConnect的漏洞）與CVE-2023-48788（影響Fortinet安全產品漏洞）來發動攻擊，滲透系統後再展開勒索行動。

與部分單獨運作的駭客組織不同，Medusa採用附屬模式（affiliate model），也就是開發者負責管理勒索談判，而實際執行入侵的則是透過網路犯罪市場招募來的駭客，這些駭客可以獲得100至100萬美元不等的報酬，甚至有機會成為Medusa的獨家合作夥伴。

當受害者的系統被感染後，Medusa會要求受害者在48小時內回應，若無回應，駭客將直接透過電話或電子郵件聯繫對方，並進一步威脅公開資料。

FBI的調查顯示，一些支付贖金的受害者甚至會再次遭到Medusa成員勒索，對方聲稱「原先的談判代表竊取了贖金」，並要求受害者再支付一半的款項才能取得真正的解密工具，這代表著該組織可能正在實施「三重勒索模式（triple extortion）」。

Medusa最廣為人知的攻擊案例發生於2023年，當時該組織入侵明尼阿波利斯公立學校（Minneapolis Public Schools），導致數十萬份學生資料外洩，影響超過10萬人。

此外，該組織的攻擊對象遍及全球，包括太平洋島國東加（Tonga）、法國市政府機構、菲律賓政府機構，甚至一家由加拿大兩大銀行聯合創立的科技公司也在其中。過去美國伊利諾州（Illinois）與德州（Texas）的政府機構也曾遭受攻擊，而最近 Medusa宣稱入侵了科羅拉多州奧羅拉市（Aurora, Colorado）政府單位，但當地官員否認了這一說法。

FBI強調，Medusa與MedusaLocker及Medusa移動惡意軟體變種無關，這是一個獨立的勒索軟體組織。Medusa最初是一個由駭客與開發者組成的封閉團隊，但隨著其運營規模擴大，開始以附屬模式招募更多駭客，透過網路犯罪論壇與黑市尋找有能力的駭客來幫助入侵系統，然後再由核心成員進行勒索談判與資金管理。

CISA表示，Medusa目前仍在持續擴展攻擊範圍，各機構應提高警覺，並採取有效的資安防禦策略，包括定期更新系統、採用強密碼、啟用多重身份驗證，並加強員工對網路釣魚攻擊的防範意識。此外，政府機構與企業應定期備份重要數據，確保即使遭受攻擊，仍能透過備份還原系統，避免支付贖金。

文章來源

The post FBI嚴正示警！300家關鍵基礎設施機構遭駭 這款勒索病毒曾害學校洩漏數十萬份個資 first appeared on 捕夢網 Blog.

兩年前公布的已知漏洞近期再傳新的攻擊行動！資安業者Cato Networks揭露發生在今年1月上旬的攻擊行動，駭客鎖定的標的，就是尚未修補CVE-2023-1389的TP-Link無線基地臺Archer AX21。

這波攻擊行動駭客綁架了超過6千臺無線基地臺組成殭屍網路，範圍涵蓋美國、澳洲、中國、墨西哥，這樣的情況突顯該漏洞在TP-Link發布相關更新之後，迄今仍有不少設備尚未修補，而讓駭客有機可乘。

【攻擊與威脅】

殭屍網路Ballista綁架尚未修補的TP-Link設備，逾6千臺遭感染

TP-Link於2023年3月修補旗下Archer AX21無線基地臺漏洞CVE-2023-1389，隔月就開始出現針對未修補用戶的相關攻擊行動，去年更出現同時有6個殭屍網路試圖綁架該型號無線基地臺的情況。事隔兩年，最近再度傳出利用此漏洞攻擊所造成的新資安事故。

資安業者Cato Networks指出，他們在今年1月上旬發現新一波的漏洞利用活動，殭屍網路Ballista鎖定美國、澳洲、中國、墨西哥而來，針對醫療保健、服務業、科技組織發動攻擊，試圖透過有效酬載注入來利用CVE-2023-1389，從而得到初始入侵管道，得逞後下載載入惡意程式的bash指令碼並執行，將Ballista植入受害裝置，目前有超過6千臺裝置受害。

為隱匿行蹤，此殭屍網路病毒使用82埠建立經加密處理的C2通道並進行通訊，自動嘗試利用CVE-2023-1389感染網際網路上的其他設備。一旦接收到C2的命令，該病毒能在受害設備執行Shell命令，或是進行DDoS攻擊。

針對微軟修補的Win32核心子系統零時差漏洞，傳出在2年前就遭到利用

本週微軟發布3月份例行更新，其中修補一項已被用於實際攻擊行動的Win32核心子系統權限提升漏洞CVE-2025-24983，通報此事資安業者ESET透露，這項漏洞被利用的情況，最早可追溯到2年前。

究竟這項漏洞引發什麼樣的災情？ESET指出，有人從2023年3月開始，將其用於攻擊執行Windows 8.1及Server 2012R2作業系統的工作站電腦及伺服器，得逞後植入名為PipeMagic的後門程式。

ESET也對於這項漏洞發生的原因提出說明：在Win32k驅動程式使用名為WaitForInputIdle的API的特定場景當中，會發生W32PROCESS解除引用（dereference）的次數與應有次數不一致的現象，而造成記憶體釋放後再存取使用的現象。

文章來源

The post 殭屍網路Ballista綁架6千臺尚未修補的TP-Link無線基地臺 first appeared on 捕夢網 Blog.

網傳「節電獎勵活動登錄」的訊息，近期有民眾收到台電寄來的電郵，聲稱為了推動節電獎勵登錄，要民眾點選郵件中的網址，登錄自家電號以參加相關活動，除了個人基本資料外，還要填寫信用卡帳號。當心！這是近期又在網路上死灰復燃的詐騙手段，詐騙集團架設以假亂真的活動頁面，讓人誤以為是真的網站，台電的官網是「.com.tw」結尾，民眾需特別留意網址是否正確。此外，參加節電獎勵登錄的民眾，只需填寫姓名、聯絡電話及 Email，不需要填寫信用卡資料，假如不慎將個人資料外洩，信用卡可能會被盜刷，造成財損，民眾應特別注意。

台電節電獎勵登錄要求信用卡資料？

原始謠傳版本：

節電獎勵活動登錄 省電，也省電費！ https://www.rzvqplm.cc/#/

主要會收到類似電子郵件：

查證解釋：

台電寄出節電獎勵申請郵件？

MyGoPen 近期在 Facebook、LINE 等社群平台，發現有不少民眾發文討論，表示自己收到疑似台電寄發的電費獎勵通知，記者檢視電郵內所附連結，可以看到寄件者皆署名「台灣電力公司」，但活動頁面卻出現「http://tipower.cc/」、「http://xrlmvpq.cc/」等不同網址，並非常見的「.tw」結尾。

以「台電、省電獎勵」進行搜索，可以找到「節電獎勵活動登錄」，即使起到 2 月 17 日，也就是本次查核報告上架日，民眾可以活動網站登錄電號或是地址，參加台電的省電活動，當期用電每節省 1 度，可獲得0.6元獎勵金。檢視正式活動網址，應為「https://service.taipower.com.tw/tpcuip/savepower/」。

由於上述提到的兩個可疑網址，皆因違反《詐欺犯罪危害防制條例》遭到封鎖，記者在 Facebook 上搜尋「節電、詐騙」，可以看到有用戶分享實際操作詐騙網站的經驗，整個網頁做的和正版活動網站非常像，也是要民眾以電號或是地址登錄，但在填完基本資料後，還要求填寫信用卡帳戶，如果未察覺是詐騙，填寫後信用卡就有可能遭到盜刷。

高雄市燕巢區公所 Facebook 粉專於 2024 年 3 月 27 日發文，教民眾如何使用該網站登錄節電獎勵，0：23 處可以看到在登錄電號後，會要民眾提供姓名、聯絡電話及聯絡 Email（選填），之後點選「確認登錄」即完成登記，正式網站不會要民眾填寫信用卡資料。

台電也在 2025 年 1 月 17 日發布新聞稿，提醒民眾當心可疑電子郵件，並強調參加節電活動獎勵的民眾，獎勵金是直接於各期電費中折抵，不須輸入信用卡卡號或銀行帳戶資訊。

此外，透過財團法人台灣網路資訊中心「Whois 查詢」，會發現圖片中的網址分別於 2025 年 2 月 11 日及 1 月 21 日才架設，明顯不是台電的網頁；若是以同樣方式查詢正式活動頁面（service.taipower.com.tw），可以看到該網址的網域顯示為「taipower.com.tw」，註冊人為「台灣電力股份有限公司」，且至少 1997 年以來即有網站記錄。

事實上，類似這種台電獎勵詐騙的手法已行之有年，如果在 Google 上搜尋「節電、詐騙」，可以找到新北市政府警察局土城分局於 2017 年 7 月發布的新聞稿《「台電節電獎勵活動」網頁是釣魚網站？》，顯示網傳詐騙手法至少超過 8 年。

總結來說，民眾近期如果收到聲稱是台電寄來的節電獎勵電郵，須特別留意不要點擊郵件內的可疑連結，以免個資、信用卡帳號外洩，造成錢財損失。

文章來源

The post 【詐騙】網傳台電寄節電獎勵電郵？填資料領取？釣魚網站騙取信用卡個資 first appeared on 捕夢網 Blog.

The post 有些訊息「看似正常」卻是詐騙？Google 發表兩大 AI 偵測功能破解 first appeared on 捕夢網 Blog.