社交工程

未啟用存取驗證的MongoDB資料庫暴露近43億筆職涯資料，含大量LinkedIn個人資料，雖通報後兩天內關閉，但來源不明，恐助釣魚與冒名詐騙攻擊

根據《資通安全署資安月報》統計，有三成的威脅來自於社交工程或資料收集，許多駭客從傳統的釣魚郵件到利用AI的深偽技術，創造更擬真的詐欺情境，並利用民眾的信任、恐懼和好奇心，進而做到竊取資料、騙取金錢以及控制電腦

回顧2025年7月資安新聞，以聲音作為社交攻擊誘餌的Vishing網釣攻擊最受矚目，國際間多家知名精品業及航空業資安事故皆與此相關，還有中國駭客組織鎖定SharePoint Server零時差漏洞攻擊的事件，也屢屢登上本月新聞版面。在此同時，臺灣也有多起重大資安事件揭露，持續引發國人關注

在2025年6月資安新聞，中華電信憑證失去Chrome信任的議題受全臺關注，同時還有其他重要資安威脅新聞不能因此忽視，涵蓋超大規模資料外洩，以及伊朗國有銀行與加密貨幣交易所遭嚴重網路攻擊

涉及語音網釣（Vishing）與AI語音偽冒的網路社交工程攻擊大幅增加，網路釣魚的媒介已不再局限於傳統的電子郵件，這也讓我們聯想到，過去企業的社交工程演練，只聚焦電子郵件場景足夠嗎？

今年5月美國聯邦調查局（FBI）警告，有駭客從4月開始假冒美國高層官員，發動詐騙簡訊與語音釣魚的攻擊行動，提醒外界要特別注意相關事件。5月底有後續消息是：白宮幕僚長遭偽冒，且其私人手機的通訊錄名單遭竊

在2025年3月，新加坡警察部隊、金融管理局與網路安全局示警，說明發現AI深偽（Deepfake）冒充企業高階主管的事件。可以想見的是，繼香港警方去年初揭露Deepfake視訊會議詐騙後，我們發現有更多國家的企業都遭遇此類攻擊

山形鐵道在2025年3月，傳出遭假冒山形銀行的語音網釣（Vishing）詐騙，損失約1億日元。不過，普遍臺灣企業尚未關注到此項消息，我們認為，此威脅態勢的出現，值得大家重視