網路釣魚攻擊活動橫行,也成為不少駭客取得受害企業組織初始入侵管道的主要手法,而今天恰巧我們整理到多篇網釣事故相關的資安新聞,其中與臺灣民眾最為相關的,莫過於尚未公布如何發放的普發現金議題,駭客自立法院通過相關條例之後,就將其用於誘餌,想要藉此竊取臺灣民眾的個資。
鎖定開發人員的網釣攻擊也相當值得留意,我們才在上週報導PyPI警告有人針對套件開發者發動攻擊,本週Mozilla基金會也對Firefox附加元件開發者提出警告,且有開發人員留言表示他們已經上當。另一方面,攻擊手法也出現變化,例如:資安業者Cloudflare揭露濫用資安業者惡意網址檢測服務的攻擊行動,雖然這兩個廠牌的服務用戶並不多,臺灣資安界僅需了解問題、保持警戒即可,但這代表網釣攻擊的手法也變得越來越複雜。
【攻擊與威脅】
為了減少駭客透過電子郵件挾帶連結,導致使用者上當不慎點選,被帶往釣魚網站的情況,有些企業會導入資安業者提供的連結防護服務(Link Wrapping)來因應,例如:Proofpoint提供的URL Defense、Intermedia推出的LinkSafe,這些服務會重新包裝郵件連結的網址,在用戶點選連結的過程當中,進行掃描及封鎖威脅,但有駭客看上使用者對於這類保護機制的信任,濫用這些機制來降低用戶警覺。
資安業者Cloudflare的旗下郵件安全團隊於今年6月至7月,發現有人積極利用Proofpoint與Intermedia的郵件網址連結防護服務,來掩蓋將使用者帶往網路釣魚有效酬載的意圖,若是使用者點選,就會被帶往各種Microsoft 365網釣頁面。
Cloudflare舉出濫用Proofpoint服務的攻擊行動為例,駭客疑似入侵受到保護的用戶電子郵件帳號,透過URL Defense「洗白」惡意網址,然後產生看似合法的連結用於網路釣魚。對於駭客寄信的管道,除了透過上述的用戶帳號,也有透過其他駭客控制的電子郵件信箱來進行的情況。
Mozilla基金會上周警告,它們發現一起鎖定Mozilla附加元件(addons.mozilla.org,AMO)帳號的網路約魚攻擊行動,駭客假借Mozilla名義傳遞郵件,要求開發者更新AMO帳號,但或許只是要騙取開發者的登入憑證。
該基金會提醒開發者在收到宣稱來自Mozilla的郵件要特別小心,不要點擊電子郵件中的任何連結;驗證該郵件是來自Mozilla所擁有的網域,例如firefox.com、mozilla.org或mozilla.com;確保所收到的電子郵件通過寄件者政策框架(SPF)、網域金鑰識別郵件(DKIM),以及基於網域的郵件檢查(DMARC)等驗證。
Mozilla並未說明有多少開發者受到波及,但有開發人員於該篇文章的下方留言,表示自己已經上當,並主動刪除了擴充程式。
中國駭客挾持全球逾1.1萬臺安卓裝置,惡意軟體租用模式威脅持續擴大
義大利資安業者Cleafy日前揭露,一個講中文的駭客組織開發名為PlayPraetor的遠端存取木馬,在不到三個月內感染全球超過1.1萬臺Android裝置。該組織採用「惡意軟體即服務」(Malware-as-a-Service,MaaS)模式,除了竊取受害者的銀行與加密貨幣帳戶資訊外,還開放控制權限給多個加盟駭客,形成可擴展的詐騙平臺。
此次攻擊主要集中在歐洲(占58%感染)、非洲(22%)、美洲(12%)和亞洲(8%),其中葡萄牙、西班牙、法國為重災區,摩洛哥、秘魯、香港也有大量受害者。值得注意的是,駭客正從傳統的葡萄牙語目標轉向西班牙語和法語使用者,顯示攻擊策略的重大轉變。
根據調查,駭客先是假冒Google Play商店,並提供含有惡意程式的偽造程式供使用者下載,例如Chrome或銀行程式;當不察的使用者下載並安裝程式之後,PlayPraetor便會開始執行,同時要求啟用Android的無障礙服務(Accessibility Services)以獲取完整控制權;再與駭客所設置C2伺服器建立連線。
歹徒以普發現金為由、冒名中央存保發動網釣攻擊,意圖騙取信用卡資料
7月11日立法院通過「因應國際情勢強化經濟社會及民生國安韌性特別條例」,編列總預算為5,450億元,其中明定全民普發現金新臺幣1萬元,經行政院宣布不提覆議、總統發布總統令後,公告此案正式生效,根據此特別條例,政府必須在今年10月底前向全民完成現金發放。然而在全民關注政府何時發放、如何領到這筆錢的同時,歹徒也伺機利用時事來從事詐騙。
8月2日中央存款保險公司提出警告,有人假借他們的名義,佯稱民眾必須提供信用卡資料,才能領取政府普發的1萬元現金。他們也提供詐騙網頁的截圖,從圖中可以看到歹徒使用正體中文,並未夾雜簡體中文,但文句敘述不太完整,且出現臺灣不常使用的「銀行卡」一詞。
值得留意的是,這並非他們首度針對歹徒以普發現金為誘餌行騙提出警告,該公司曾在7月10日、7月15日兩度發布新聞稿,他們接獲民眾通報,歹徒以寄送簡訊通知民眾,假借申請普發現金為由,引導到冒牌的中央存保網站填寫個資。
其他攻擊與威脅
◆時尚精品業者香奈兒發生資料外洩事故,傳出是Salesforce遭駭所致
◆越南駭客透過竊資軟體PXA,攻擊4,000個IP位址、竊得20萬組帳密
【漏洞與修補】
Google Project Zero測試新漏洞揭露政策,將提早公布部分細節
Google專門揭露漏洞的Project Zero小組宣布測試一項新作法,將在通知原廠大約1星期後公告漏洞的部分細節,藉此加速用戶端的漏洞修補速度。
Project Zero在2021年將漏洞揭露政策調整為現行的「90+30」,即給廠商90天修補釋出更新,以及30天用戶端安裝。然而Google發現這種做法存在重大問題,上游廠商如期釋出修補程式之後,有待負責將修補程式提供給使用者的下游廠商,將其整合到產品,這段時間產生的空窗期他們稱之為「上游修補空窗期(Upstream Patch Gap)」。
為了縮短空窗期,Project Zero發布新的「通報透明度(Reporting Transparency)」政策並進行測試,未來在通報原廠漏洞約1星期後,Project Zero就會公布部分漏洞資料,包括接獲漏洞報告的廠商或開源專案、影響的產品、報告成立的日期,以及90天揭露期的大限日期。
近期資安日報
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
