分類: 資安新聞

本週資安事件頻傳，主要聚焦於三大面向：首先，勒索軟體與大規模攻擊事件頻傳。例如，具備國家級駭客技術的新型勒索軟體「卡隆」及成功竊取日產汽車旗下公司4TB資料的「Ollin」。此外，全球超過3萬個IP地址正大規模掃描微軟服務，顯示新一波攻擊可能正在醞釀。其次，AI技術帶來的風險不容忽視，駭客已利用AI進行變聲詐騙，並將攻擊指令隱藏於圖片中，而趨勢科技警告，ChatGPT等AI程式本身也可能成為新的資安漏洞。最後，個資外洩與詐騙手法持續演變，多個企業如日本服飾品牌和臺灣匯兌業者皆發生大規模個資外洩，加上虛擬貨幣成為洗錢新管道，詐騙集團甚至能僅憑一項個資便盜取帳戶。這些事件凸顯了當前數位環境的脆弱性，提醒我們必須對各種資安威脅保持高度警覺。

---

勒索軟體與大規模攻擊

新型勒索軟體「卡隆」具備國家級駭客技術，而「Ollin」成功竊取了日產汽車旗下公司4TB資料。此外，全球有超過3萬個IP地址正大規模掃描微軟服務，可能預示著更大的攻擊。

---

AI技術帶來的風險

駭客開始利用AI進行變聲詐騙，甚至將攻擊指令隱藏在圖片中。趨勢科技警告，ChatGPT等AI程式也可能成為新漏洞。

---

個資外洩與詐騙

多個企業如日本服飾品牌和臺灣匯兌業者都發生大規模個資外洩。同時，虛擬貨幣已成為洗錢新管道，而詐騙集團手法也推陳出新，僅憑一項個資就能掏空帳戶。

---

繼續閱讀

生成式 AI 帶來新契機，但也衍生新的攻擊面向——ChatGPT 傳出「零點擊漏洞」，僅憑使用者信箱就能竊取資料；以太坊開發者安裝惡意外掛後，三日內錢包清空，凸顯 AI 外掛與供應鏈安全的挑戰。同時，Perplexity 推出的 AI 瀏覽器 Comet 被發現可遭誘騙，研究人員成功引導其自動跳轉至冒牌電商網站並下單，再度凸顯 AI 工具在使用場景中的安全風險。

在台灣，更爆出首例 非法 NFC 程式盜刷，短短三週內造成 2000 萬損失，顯示行動支付與刷卡交易仍有防護缺口。除此之外，Zoom Windows 版 CVSS 9.6 漏洞一旦遭利用，可能讓用戶僅點擊連結就中標；而醫美診所的患者影像外洩事件，更暴露醫療單位資安韌性的不足。

⭕️ 資安趨勢部落格精選

• 解鎖 Amazon Security Lake 的強大威力，打造主動式防護
• 新勒索軟體 Charon 採用 Earth Baxia APT 技術鎖定企業
• 同學請注意！趨勢科技揭5大常見學生詐騙陷阱題
• 解鎖 Amazon Security Lake 的強大威力，打造主動式防護
• 【上週打詐週報】存款低於千元恐被關戶，銀行新制防詐/公路局不再用E-mail通知罰單，收到催繳信件就有詐
• 【上週資安新聞週報】這兩張照片「Father.jpg」暗藏惡意攻擊/LINE 詐騙案件一週暴增 362%/全面重塑資安思維，AI 代理打造資安大腦

⭕️ 本週資安新聞精選

① AI 與資安風險

• AI瀏覽器可被誘騙，引導至冒牌電商網站自動下單 IT Home
• 微軟Copilot被控釀成資安「盲區」 恐讓機敏檔案外流卻查無紀錄 TechNice 科技島
• GPT-5 上線惹社群不滿、4o 回歸救火，但在企業市場卻一片叫好     T客邦
• GPT-5 達極限？當資料耗盡、晶片受限「AI 競賽的性質已改變」          科技報橘
• ChatGPT 被爆「零點擊」漏洞！只要知道你的信箱，就能偷偷取走資料          T客邦
• 以太坊開發者安裝「惡意 AI 插件」遭駭，加密錢包三天清空，十年資安經驗也沒用     BLOCKTEMPO
• 俄用中國AI「客製化木馬」駭烏國防部　學北京建「網路長城」          tvbs新聞網
• 製造業資安壓力上升，61% 專業人員計畫導入 AI 應對威脅          三嘻行動哇
• AI輕鬆做出App，軟體大公司敲喪鐘了嗎？     天下雜誌網
• Google 出招：用 AI 打擊「無效流量」廣告欺詐率降 40%           INSIDE
• 刺「詐」之戰5／詐騙升級！政府轉守為攻 祭AI、金管壓制          NOWnews今日新聞

---

② 駭客攻擊與惡意程式

繼續閱讀

本週資安事從 Windows 用戶必防的「Father.jpg」藏毒攻擊、LINE 詐騙案件一週暴增 362%，到最新詐騙手法讓人一週被騙 10 次還渾然不覺，駭客與詐團的手法再度升級！同時，跨國聯手破獲 700 個假投資網站，以及 WinRAR 零時差漏洞被俄羅斯駭客濫用，也提醒我們：資安威脅已無國界。別等事情發生才後悔，現在就檢查你的裝置、帳號與資安防護，才是對自己最好的投資。

⭕️ 本週五大資安新聞搶先看

① Windows 用戶注意！這兩張照片「Father.jpg」暗藏惡意攻擊

看似普通的照片，卻可能是駭客的陷阱！
最近出現名為 「Father.jpg」 的惡意檔案，一點就可能中毒、被植入木馬！
提醒：不明來源圖片、連結，千萬別好奇亂點！

◎延伸閱讀：圖像隱碼術(Steganography)與惡意程式：原理和方法

---

② LINE 詐騙案件一週暴增 362%

詐騙集團火力全開！LINE 詐騙案件一週暴增 362%，手法從假登入到假客服全都來。
年輕人和長輩都成為目標，一不小心就掉入圈套。
提醒：收到可疑訊息，先停一下，確認官方來源再回應！
◎延伸閱讀：LINE帳號被盜怎麼辦？警方揭露3句話就是詐騙！學會「再次登入」秒救帳號

---

③ 一週被騙 10 次還沒發覺！

想像一下…一週被騙 10 次，戶頭卻早已清空！
這是最新詐騙手法——利用小額連續扣款讓你「麻痺」，等你發現時，存款早蒸發！
提醒：定期檢查交易紀錄，小額異動也要查清楚！
◎延伸閱讀：機車族也中招！「ETC扣款失敗」詐騙手法大公開，別讓43元害你損失5萬！

---

④ 台美聯手破 700 假投資網站詐團

高科技詐騙不再只是電影劇情！
台美警方聯手破獲設有 700 個假投資網站 的跨國詐團，背後竟是工程師操盤。
提醒：投資請認證合法平台，陌生連結點下去可能是陷阱！

---

⑤ WinRAR 零時差漏洞已被駭

你更新 WinRAR 了嗎？
駭客已利用零時差漏洞發動攻擊，散佈俄羅斯木馬程式，專挑還沒更新的用戶下手！
提醒：趕快到官方網站下載最新版本，封堵漏洞！

⭕️ 資安趨勢部落格精選

• LINE帳號被盜怎麼辦？警方揭露3句話就是詐騙！學會「再次登入」秒救帳號
• 小心！行李吊牌別亂丟，小心個資被盜用！
• 趨勢科技警告：數以千計的AI伺服器正暴露在網路上
• 懶人節別再懶！當心成為詐騙集團最愛的四種懶人
• 【上週資安新聞週報】語音釣魚攻擊香奈兒、LV、愛迪達等知名品牌客戶資料全面告急/Perplexity被控資料小偷/北韓駭客假面試吸金500億/逾1.5萬個惡意TikTok Shop網站，誘下載App竊資
• 連行李條都能變詐騙工具/LINE帳號被盜後傳3句話就是詐騙/ClickTok 鎖定 TikTok 用戶竊加密錢包

繼續閱讀

本週 Google、微軟、蘋果接連爆出高風險漏洞;香奈兒客資外洩遭語音釣魚攻擊;勒索軟體 Akira、Anubis 針對防火牆與行動設備發動攻擊;北韓、中國、俄羅斯等國家級駭客行動更讓全球網路安全危機升溫;AI語音模仿相似度已達85%，網紅也成被害人，Joeman 拍片呼籲：「我的影片竟然被詐騙集團拿去騙錢！」。

我們整理了本週資安新聞重點，一起掌握最新資安威脅趨勢。

⭕️ 資安趨勢部落格精選

• 88也是國際貓咪日，小心「進化版萌寵投票」釣走你爸的LINE 帳號！
• Anubis：深入剖析內建檔案清除功能的新興勒索病毒
• 假 CAPTCHA 攻擊行動藉由多重階段程序在系統植入資訊竊取程式與遠端存取工具 (RAT)
• 【上週資安新聞週報】勒索與竊資雙重來襲！BERT 擴散至 Linux、Lumma Stealer 捲土重來/台灣再度躍居亞洲網路攻擊重災區/SonicWall、CrushFTP、AWS VPN 爆資安漏洞　數千系統仍未修補
• 【上週打詐週報】AI詐騙技術躍進，傳統驗證瀕臨失效/財損最嚴重的不是假投資詐騙/女大生買450元毛巾遭詐27萬！
• Microsoft SharePoint 重大資安漏洞：CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

⭕️ 本週資安重點新聞

1.【語音釣魚攻擊】香奈兒、LV、愛迪達等知名品牌客戶資料全面告急

• 事件概述：

語音釣魚攻擊系統性地攻擊多個產業的Salesforce系統,受害者不僅包含香奈兒，還涉及澳洲航空、安聯人壽，以及 LVMH 集團旗下的路易威登、迪奧、蒂芙尼等知名品牌，連愛迪達也未能倖免。

• 相關新聞：
  • 香奈兒個資外洩遭語音釣魚攻擊
    

2. 【AI詐騙升級】假聲音、假人開會　變聲技術突破逼真極限

• 事件概述：AI語音模仿相似度已達85%，Joeman驚呼差點上當
• 相關新聞：
  • AI模仿聲音相似度達85%
  • Joeman開箱片遭變聲詐騙

3. 【AI生成工具成新威脅】ChatGPT突破驗證、Perplexity遭批偷資料

• 事件概述：ChatGPT自動點選「我不是機器人」驗證引資安爭議；Perplexity遭控偽裝成Chrome爬蟲竊取內容。
• 相關新聞：
  • ChatGPT突破驗證引發爭議
  • Perplexity被控資料小偷

4. 【國際駭客行動】北韓、中國、俄羅斯駭客持續攻擊

• 事件概述：北韓假扮面試官竊幣500億、中國挾持1萬Android裝置、俄羅斯透過ISP攻擊大使館。
• 相關新聞：
  • 北韓駭客假面試吸金500億
  • 中國MaaS攻擊行動擴大
  • 俄羅斯情報局被揭濫用ISP

5. 【釣魚詐騙橫行】普發現金詐騙、假LINE訊息再起

• 事件概述：假冒中央存保發釣魚網址騙取卡號；LINE釣魚訊息「3句話」造成帳號盜用。
• 相關新聞：
  • 假普發簡訊攻擊升溫
  • LINE帳號釣魚新手法

6. 【重大系統漏洞】Google、微軟、蘋果接連爆資安洞

• 事件概述：Pixel手機、macOS Spotlight、Chrome多項高危漏洞需緊急修補。
• 相關新聞：
  • Pixel漏洞恐遠端入侵
  • 微軟揭macOS Spotlight漏洞
  • Google修補高風險Chrome漏洞

7. 【新型詐騙手法】TikTok Shop、行李標籤、假App針對消費者

• 事件概述：ClickTok針對TikTok Shop釣魚、航空業警告行李標籤詐騙、假購物App上線誘導加密錢包盜取。
• 相關新聞：
  • TikTok Shop遭ClickTok詐騙
  • 航空警告行李標籤風險

8. 【企業資安危機】Salesforce、SharePoint成攻擊目標

• 事件概述：駭客攻陷Salesforce實體，SharePoint四大零時差漏洞被濫用。
• 相關新聞：
  • Salesforce遭攻擊資料外洩
  • SharePoint漏洞被勒索軟體利用

9. 【勒索軟體活躍】Akira、Anubis、Chaos等勒索病毒大舉入侵

• 事件概述：多種勒索軟體鎖定防火牆、行動裝置與開發環境，搭配語音詐騙攻擊。
• 相關新聞：
  • SonicWall遭Akira勒索
  • Anubis攻擊Windows與Android
  • Chaos勒索服務搭配語音釣魚

10. 【生成式AI安全疑慮】AI程式碼編輯器、ChatGPT外洩風險曝光

• 事件概述：Cursor程式碼工具爆出提示注入漏洞，OpenAI對話傳外洩。
• 相關新聞：
  • Cursor資安漏洞CurXecute
  • ChatGPT對話內容外洩

繼續閱讀

近期資安情勢嚴峻，AI 技術的快速發展正成為一把雙面刃，不僅大幅提升駭客攻擊效率，導致 OpenAI 執行長奧特曼警告「大詐騙時代」來臨，更有針對 Microsoft 365 Copilot 的「EchoLeak」零點擊 AI 漏洞，預示著新型 AI 攻擊的威脅。這些都使得傳統驗證方式失效，一年內 AI 詐騙案件暴增四倍多。

AI詐騙與資安危機正席捲全球，從金融業到公部門無一倖免。生成式 AI 被濫用、勒索軟體跨平台擴散、企業資料庫接連失守，不僅資安漏洞層出不窮，連日常使用的 LINE、第三方支付也成為詐騙溫床。
本週資安新聞中，我們看到：

－ 駭客工具「Lumma Stealer」、「BERT 勒索軟體」再度活躍，竊資與加密攻擊同步升溫
－ OpenAI 執行長示警 AI 詐騙大爆發，傳統驗證機制已無法阻擋攻擊
－ 微軟 SharePoint 被中國駭客鎖定，國防級機構接連中招
－ 台灣成為亞洲資安攻擊最嚴重地區，社交工程與假簡訊詐騙層出不窮

⭕️ 資安趨勢部落格精選

• Microsoft SharePoint 重大資安漏洞：CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦 
• 捲土重來：Lumma Stealer 帶來更強大的隱匿技巧
• 深入分析Microsoft 365 Copilot零點擊 AI 漏洞：EchoLeak
• 中獎簡訊太老派？現在詐騙連「看A片要驗證財力」都來了/AI變聲與偽冒LINE暱稱，假親友詐騙再升級
• 【上週資安新聞週報】Microsoft SharePoint 重大資安漏洞/Meta隱私破口，AI對話全被內部看光光/Google起訴BadBox 2.0揭中國背景殭屍網路

⭕️ 本週資安重點新聞

AI 恐助長資安危機與詐騙狂潮

AI 技術的快速發展，也同步提升了網路攻擊的威脅層級。OpenAI 執行長奧特曼（Sam Altman）警告，AI 將開啟一個「大詐騙時代」，駭客利用 AI 可以在短時間內突破資安防線，導致大規模詐騙事件暴增。有報導指出，AI 詐騙在一年內暴增四倍多，傳統的驗證方式已經失效。

---

SharePoint 零時差漏洞成中國駭客目標

微軟 SharePoint 伺服器爆發多個零時差漏洞，包括美國核武機構在內的數百家企業受害，其中包含超過 400 家。多組中國國家級駭客組織，如 Storm-2603，被點名利用這些漏洞進行攻擊，甚至意圖散佈勒索軟體 Warlock。這也引發美國國會議員對微軟與中國工程師合作的疑慮。

• Microsoft SharePoint 重大資安漏洞：CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦 
• 微軟SharePoint軟體漏洞　美國家實驗室也受害 中央社
• 【資安日報】7月23日，3組中國駭客使用SharePoint零時差漏洞從事攻擊          iThome
• 美國核武機構傳出遭遇SharePoint漏洞攻擊    iThome
• 微軟再爆資安危機！400家企業遭駭　中國國家級駭客被點名          ETtoday新聞雲

---

勒索軟體與新型詐騙手法層出不窮

勒索軟體肆虐

勒索軟體攻擊依然猖獗，除了前述利用 SharePoint 漏洞散佈的 Warlock 外，針對 Windows 和 Linux 的勒索軟體 BERT 也浮現，竊資軟體 Lumma Stealer 也傳出捲土重來。英國政府正考慮立法打擊勒索軟體，禁止公部門支付贖金。

• 中國駭客Storm-2603從事SharePoint零時差漏洞攻擊，意圖散佈勒索軟體Warlock      iThome

詐騙手法推陳出新

詐騙集團不斷演變手法，除了利用網路電話交換機、代發簡訊業者進行詐騙外，常見的詐騙手法如假檢警詐騙、遊戲點數詐騙、演唱會詐騙及第三方支付詐騙仍是熱區。此外，熱門女性交友 App 資料外洩、國泰航空亞洲萬里通里數被盜，以及機場 USB 充電恐遭駭等事件，都顯示個資外洩風險無處不在。更有駭客組織鎖定中文用戶散佈 Windows 惡意程式。
◎延伸閱讀：「旅遊小幫手」?「存款大扒手」! FBI 警告：出國旅遊不要做的四件事

繼續閱讀