網釣攻擊

在這一星期的漏洞新聞中，HTTP非同步傳輸框架Aiohttp於1月修補的漏洞遭利用的消息，需要特別留意；在重大資安新聞方面，以國際貨幣基金組織與富士通的遭駭最受關注，還有最新攻擊手法揭露，包括新型DoS攻擊手法Loop DoS、GoFetch微架構旁路攻擊

網釣駭客利用美國報稅季議題，鎖定會計師及報稅公司展開攻擊，企圖植入可遠端取得Windows系統管理權限的Remcos惡意程式

Proofpoint發現一個新的同意網路釣魚（Consent Phishing）攻擊行動，惡意攻擊者濫用微軟已驗證發布者（Verified Publisher）狀態，誘使受害者授予惡意雲端應用程式權限

駭客去年9~10月間以釣魚簡訊攻擊手法，取得雲端客服軟體業者Zendesk員工帳號存取憑證，Zendesk直到今年1月中旬，才私下通知客戶資料可能因此外洩

南韓警察廳證實北韓駭客對南韓外交政策學者發動釣魚信件攻擊，並首度發現北韓駭客以勒索軟體攻擊當地電商網站

本月有兩大漏洞方面議題值得關注，包括要掌握近期駭客組織在實際攻擊行動所針對的已知漏洞的清單，還有為了改善記憶體漏洞的問題，最近越來越多從層式語言層級來探討。另外，近期一則駭客投放Google廣告，散布假冒家樂福網站的事件，再次讓這種多年來持續發生的威脅狀況受到關注

本月國內傳出2300萬國民資料被兜售於資料外洩地下論壇，值得關注的是，現在我們面對新舊資料外洩複雜狀況，還有外洩資料可能被重複利用兜售情形

駭客假冒持續整合與交付平臺CircleCI的名義發送網釣信件，誘騙Dropbox員工在釣魚網頁輸入登入憑證，存取Dropbox存放在GitHub上的儲存庫