本週資安重點整理:
一、詐騙與釣魚攻擊警訊
- 不小心點到詐騙網址 / 釣魚網站怎麼辦?
立即停止輸入個資、密碼與 OTP,清除瀏覽記錄並掃描裝置,並撥打 165 查證。 - 收到「iCloud 儲存空間已滿」通知,該不該點?
小心詐騙釣魚頁!勿直接點擊,建議從手機設定內進行確認。 - 未來社交工程怎麼騙?AI 寫劇本、A/B 測試選目標
AI 強化社交工程手法
二、AI 防護與企業韌性
- 代理式 AI + 數位分身(Digital Twins)提升資安韌性
模擬真實環境、提前演練攻擊情境,是未來資安部署重點趨勢。 - 趨勢科技與 NVIDIA 推出 Agentic AI 安全藍圖
強化企業 AI 工廠防護力,防止 AI 系統被入侵或誤用。
三、APT 攻擊與國安威脅
- Earth Ammit 對台發動聯合攻擊
矛頭直指台灣無人機供應鏈,企圖破壞國安關鍵產業。 - Earth Kasha 攻擊升級,鎖定台日目標
鎖定政府與研究機構,攻擊更隱密、手法更多元。
四、資安新聞焦點精選
- OpenPGP.js 高風險漏洞曝光
可繞過訊息簽章驗證,恐導致資料完整性失守。 - 假 DeepSeek-R1 廣告內藏 BrowserVenom 木馬
假冒熱門 AI 模型廣告,引誘下載惡意程式。 - Myth Stealer 鎖定 Chrome 與 Firefox
假冒遊戲網站散布,竊取瀏覽器憑證與帳密。 - Microsoft Copilot 驚現零點擊漏洞
用戶無操作仍可能被植入惡意指令,風險高。
五、勒索攻擊與漏洞警訊
- Anubis 勒索軟體加入「資料抹除」功能
受害者若不付贖金,資料直接刪除,無法救回。 - Qilin 勒索團體利用 Fortinet 漏洞攻擊
已影響全球 310 家機構,包含多家大型企業。 - HPE StoreOnce、Insyde UEFI 發現重大漏洞
可繞過認證或安全開機機制,急需更新修補。 - Microsoft Office、Outlook、DHCP 多項漏洞
6 月 Patch Tuesday 更新中,出現重大不相容與安全風險,建議儘速檢查與升級。
六、詐騙熱點與防護建議
- OTP 盜刷再進化:AiTM 中間人攻擊大增
攻擊手法更擬真,需提高警覺性。 - Meta 吃罰單後高層即將訪台,展現反詐重視
數發部也表示歡迎企業共同防詐。
資安趨勢部落格精選
- 不小心點到詐騙網址 / 釣魚網站怎麼辦?
- 收到「iCloud 儲存空間已滿」通知,該不該點?
- 未來社交工程怎麼騙?AI 寫劇本、A/B 測試選目標
- 使用代理式 AI 與數位分身 (Digital Twins) 來提升資安韌性
- Earth Ammit 發動數波聯合攻擊試圖切斷台灣無人機供應鏈
- Earth Kasha 攻擊手法再進化 最新行動鎖定台灣與日本
- 使用代理式 AI 與數位分身 (Digital Twins) 來提升資安韌性
媒體資安新聞精選:
Google AI 漸取代傳統搜尋 ,新聞網站流量幾乎腰斬、衝擊媒體營運 科技新報網
OpenPGP.js存在高風險漏洞,攻擊者有機會繞過訊息簽章驗證機制 iThome
4千億合作現裂痕,OpenAI為何對金主微軟出手? 商業周刊
假DeepSeek-R1廣告暗藏BrowserVenom木馬,劫持瀏覽器流量 iThome
惡意軟體Myth Stealer同時鎖定Chrome、Firefox用戶而來,藉由冒牌遊戲網站散佈 iThome
Google憑證事件 簡志誠:無關資安 工商時報電子報
資安專家開發假冒防毒程式以關閉 Microsoft Defender,曝光讓Windows處於不設防狀態風險 T客邦
研究人員揭露Microsoft 365 Copilot的零點擊AI漏洞 iThome
微軟Office爆CVSS平均8.4分資安漏洞 跨平台版本皆有重大風險 TechNice 科技島
Microsoft 365 MFA中斷 跨國企業用戶面臨資安部署挑戰 科技島
小心詐騙!FBI警告iPhone用戶 收到這類簡訊立刻刪除 CTWant
你早就被盯上!台灣個資也難逃毒手 資安崩壞怎麼救? 三立新聞網
【資安日報】6月12日,大型電子商務平臺Yes24遭勒索軟體攻擊引起韓國當地高度關注 iThome
HPE修補備份平臺StoreOnce重大層級的身分驗證繞過漏洞 iThome
Insyde H2O UEFI韌體存在資安弱點,攻擊者可用於繞過安全開機 iThome
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構 資安人
【資安日報】6月17日,新興勒索軟體脅迫受害組織付錢出現新手法,藉由抹除檔案內容進行施壓 iThome
【資安週報】0609~0613,中國驚傳40億筆民眾個資在網際網路裸奔一天 iThome
勒索軟體Anubis加入檔案抹除的破壞功能,受害組織恐無法購買金鑰換回資料 iThome
立院三讀《電信管理法》修正!黃健豪:盼有效阻隔「創意私房」 今日新聞網
趨勢科技攜手NVIDIA 強化企業AI工廠安全防護、導入Agentic AI藍圖提升韌性 聯合新聞網
9 招保你免於駭客入侵與詐騙 科技新報網
【OTP盜刷網釣現況大公開1】即時網釣手法已經氾濫,AiTM中間人攻擊技術助長此類威脅 iThome
Meta 吃罰單 高層將訪台 數發部:樂見企業重視打詐議題 經濟日報網
注意了!微軟Outlook收緊安全網:預設攔截更多附件 Xfastest Media
微軟6月安全更新引發Windows Server DHCP運作問題 iThome
致伸集團加入微軟 MDEP 生態系 強化智慧會議解決方案 經濟日報網
Patch Tuesday不相容部分Windows 11 24H2 PC,微軟撤回再送 iThome
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包 資安人
Google再推自願離職方案,搜尋與廣告團隊首當其衝、為AI大投資鋪路 T客邦
ChatGPT更新o3-pro!跟其他模型差異?怎麼用? 遠見雜誌網
數發部去年9月底建置《網路詐騙通報查詢網》至今已確認12萬詐騙訊息 新頭殼
台大系統被駭?準碩士生「錄取資格沒了」報警追凶 校方改口:暫准入學 鏡傳媒
涉欺騙廣告 Temu遭韓重罰777萬元 聯合新聞網
Google AI 漸取代傳統搜尋 ,新聞網站流量幾乎腰斬、衝擊媒體營運 科技新報網
AI 工具正在取代傳統搜尋引擎,它彙整出人們想要的資訊,於是人們不再點擊搜尋結果中的連結網址、前往網站查看更多資訊,導致新聞網站的推薦流量暴跌,新聞業多年來仰賴的流量驟減,勢必衝擊營收數字和公司營運。
OpenPGP.js存在高風險漏洞,攻擊者有機會繞過訊息簽章驗證機制 iThome
JavaScript加密程式庫OpenPGP.js上個月修補一項能偽造數位簽章的資安漏洞CVE-2025-47934,通報此事的資安業者Codean Labs指出,有鑑於OpenPGP.js受到廣泛利用,這項漏洞的影響範圍,有可能會相當嚴重,值得相關單位重視並儘速處理。
4千億合作現裂痕,OpenAI為何對金主微軟出手? 商業周刊
《華爾街日報》報導,OpenAI正考慮一個足以震撼矽谷的「核彈選項」——指控合作夥伴微軟(Microsoft)涉及壟斷行為。
假DeepSeek-R1廣告暗藏BrowserVenom木馬,劫持瀏覽器流量 iThome
卡巴斯基GReAT團隊發現駭客鎖定熱門生成式人工智慧應用熱潮,透過假冒DeepSeek-R1語言模型安裝程式的Google廣告,散布名為BrowserVenom的新型惡意木馬,專門劫持受害者瀏覽器流量,並竊取個人資料。
惡意軟體Myth Stealer同時鎖定Chrome、Firefox用戶而來,藉由冒牌遊戲網站散佈 iThome
資安業者Trellix揭露名為Myth Stealer的竊資軟體,駭客同時針對Chrome與Firefox兩大陣營的瀏覽器用戶而來,假借提供遊戲或作弊工具散布。
Google憑證事件 簡志誠:無關資安 工商時報電子報
Google Chrome瀏覽器8月1日起不再預設信任中華電簽發的網站憑證,引發社會關注。中華電信董事長簡志誠17日首度公開說明,強調憑證可視為網際網路上的「身份證」,跟資安沒有關係,無資安當然就沒有國安議題。但內部團隊確實在行為上出錯,需向社會表示抱歉。
資安專家開發假冒防毒程式以關閉 Microsoft Defender,曝光讓Windows處於不設防狀態風險 T客邦
根據安全研究人員警告,Windows 10 與 Windows 11 的 Microsoft Defender 防毒軟體存在設計機制上的潛在漏洞,駭客可藉由註冊偽造的第三方防毒軟體來讓 Defender 自動停用,藉此達到規避偵測、執行惡意程式的目的。
研究人員揭露Microsoft 365 Copilot的零點擊AI漏洞 iThome
資安業者Aim Security旗下的Aim Labs揭露零點擊AI漏洞CVE‑2025‑32711,允許駭客在無需使用者互動的情況下,竊取M365 Copilot脈絡中的機密資訊。
微軟Office爆CVSS平均8.4分資安漏洞 跨平台版本皆有重大風險 TechNice 科技島
據外媒報導,這些資安漏洞是由資安研究員0x140ce所揭露,主要源於Office在核心記憶體管理上的記憶體管理弱點,包括堆疊緩衝區溢位(heap-based buffer overflow)、釋放後使用(Use After Free)以及類型混淆(Type confusion)錯誤等。
Microsoft 365 MFA中斷 跨國企業用戶面臨資安部署挑戰 科技島
台灣時間上週五(6月13日),微軟Microsoft 365服務因系統管理員無法為使用者新增多重要素驗證(MFA),導致亞太、歐洲、中東和非洲等地區出現嚴重的驗證中斷問題,嚴重影響數百萬全球使用者的服務存取與安全性設定。
小心詐騙!FBI警告iPhone用戶 收到這類簡訊立刻刪除 CTWant
美國聯邦調查局(FBI)近日向1.5億的iPhone用戶發出警告,直指數百萬名美國民眾可能會收到一則看似無害的詐騙簡訊,因此特別提醒民眾,近期有詐騙集團以不明號碼傳送簡訊,內容大多是通知某款項尚未繳納,民眾務必提高警覺,不要貿然點擊連結,以免個人資料或付款帳密被盜用。
你早就被盯上!台灣個資也難逃毒手 資安崩壞怎麼救? 三立新聞網
近期國際資安團隊在網路上驚見一座未加保護、容量高達631GB的龐大資料庫,內容竟涉及近40億筆中國民眾個人資料,其中包含超過8億筆WeChat用戶ID、逾6億筆銀行與住址等高敏感資訊,外洩規模堪稱史上最大,更令人憂心的是,資料庫中竟出現「tw」標註的子目錄,台灣民眾個資疑似亦遭牽連。
【資安日報】6月12日,大型電子商務平臺Yes24遭勒索軟體攻擊引起韓國當地高度關注 iThome
這幾天有一起韓國追星族可能會首當其衝的資安事故,那就是在韓國經營大型書店,以及演唱會售票平臺的Yes24,驚傳遭到勒索軟體攻擊而導致服務停擺,但受害情況、影響範圍有待後續追蹤。
HPE修補備份平臺StoreOnce重大層級的身分驗證繞過漏洞 iThome
HPE針對備份儲存系統StoreOnce發布資安公告,修補8項由趨勢科技旗下漏洞懸賞專案Zero Day Initiative(ZDI)通報的弱點,這些漏洞可被用於繞過身分驗證、遠端程式碼執行(RCE)、伺服器請求偽造(SSRF)、路徑穿越、任意檔案刪除,以及資訊洩露,影響HPE StoreOnce G4/4+,該公司發布4.3.11版予以修補。
Insyde H2O UEFI韌體存在資安弱點,攻擊者可用於繞過安全開機 iThome
卡內基美隆大學電腦緊急回應團隊協調中心(CERT/CC)、資安業者Binarly不約而同揭露系微(Insyde)UEFI韌體的資安弱點CVE-2025-4275、CVE-2025-3052,並指出若不處理,攻擊者能用來繞過安全開機(Secure Boot)防護機制。
Qilin 勒索軟體集團利用 Fortinet 漏洞發動攻擊 已影響全球 310 家機構 資安人
Qilin 勒索軟體集團近期活動激增,已引起資安業界高度關注。這個以勒索軟體即服務(RaaS)模式運作的犯罪組織,同時使用 Phantom Mantis 和 Agenda 等別名,目前正積極利用 Fortinet 兩項關鍵漏洞發動攻擊。該集團能夠透過這些安全弱點獲得未經授權的網路存取權限,並在目標網路中執行惡意程式碼,有時甚至能避開偵測。
【資安日報】6月17日,新興勒索軟體脅迫受害組織付錢出現新手法,藉由抹除檔案內容進行施壓 iThome
趨勢科技揭露勒索軟體攻擊態勢出現重大改變,他們看到名為Anubis的新興勒索軟體結合了資料抹除(Wiper)功能,向受害組織施加更大的壓力,脅迫支付贖金。
【資安週報】0609~0613,中國驚傳40億筆民眾個資在網際網路裸奔一天 iThome
本週中國政府監控民眾的大型資料庫曝露在網際網路、韓國書店及購票平臺Yes24遭受勒索軟體攻擊相當受到關注;而在國內,聯鈞光電針對1月發生的勒索軟體攻擊事故透露後續發展。此外,本週有許多IT業者發布6月份資安更新,用戶應留意並及時套用修補程式。
勒索軟體Anubis加入檔案抹除的破壞功能,受害組織恐無法購買金鑰換回資料 iThome
資安業者趨勢科技提出警告,新興勒索軟體Anubis自2月進行新的分工,尋找挖掘初始入侵管道與向駭客勒索的打手,如今他們在勒索軟體加入新的施壓工具,能徹底抹除檔案的內容。
對企業來說,「信任」不是一張政府發出的數位憑證,而是一整套風險可控、責任清晰、驗證可靠的資安制度。近期自然人憑證遭超過 13 家金融機構集體封鎖,不只讓使用者震驚,更讓企業冷靜地重新審視:我們所依賴的信任機制,是否正變成資安的風險來源?
立院三讀《電信管理法》修正!黃健豪:盼有效阻隔「創意私房」 今日新聞網
立法院院會今(17)日上午通過電信管理法部分條文修法三讀,國民黨立委黃健豪表示,透過這次修法納管二類電信,將能有效打擊詐騙業者透過二類電信詐騙數量;同時透過納管IASP,將更有效的阻隔「創意私房」這類情色網站,阻絕兒少性剝削事件再發生。
趨勢科技攜手NVIDIA 強化企業AI工廠安全防護、導入Agentic AI藍圖提升韌性 聯合新聞網
在生成式AI 應用快速擴張的當下,企業對AI系統的安全性與穩定性要求也同步提高。趨勢科技 (Trend Micro)宣布導入NVIDIA 的Agentic AI Safety藍圖,並且透過旗下Trend Secure AI Factory解決方案,全面支援從AI模型開發、部署到實際營運階段的全生命週期安全防護。
9 招保你免於駭客入侵與詐騙 科技新報網
隨著 AI 蓬勃發展,現在詐騙集團正利用 AI 工具,設計出越來越逼真的手法來誘騙受害者匯款,並竊取個資進行身分盜用。透過深偽技術(Deepfake),他們可以模仿你的朋友或家人聲音,甚至偽造與他們的視訊通話。
【OTP盜刷網釣現況大公開1】即時網釣手法已經氾濫,AiTM中間人攻擊技術助長此類威脅 iThome
信用卡盜刷的網釣攻擊手法不斷演進,今年上半一場資安攻擊型研討會,有企業藍隊專家特別剖析這類威脅背後的生態,指出攻擊早已轉變為能即時竊取OTP的「同步魚」手法,是支付與電商業者必需掌握的威脅態勢。
Meta 吃罰單 高層將訪台 數發部:樂見企業重視打詐議題 經濟日報網
打詐專法上路後,Meta因違反數位平台廣告實名制,上月才剛有兩案被數位發展部開罰100萬元,隨後又有23案調查中,市場傳出Meta美方高層7月將來台訪問政府官員。數發部昨(17)日表示,樂見Meta美國總部重視打詐議題。
注意了!微軟Outlook收緊安全網:預設攔截更多附件 Xfastest Media
微軟宣布將從7月起,擴大Outlook Web和新Outlook中預設阻止的附件類型清單,以此進一步強化Outlook的安全性,防止惡意檔案透過郵件附件傳播。
微軟6月安全更新引發Windows Server DHCP運作問題 iThome
微軟上周發布的6月份Patch Tuesday安全更新,引發部份Windows Server的動態主機設定協定(Dynamic Host Configuration Protocol,DHCP)服務出現運作不穩或無法運作問題,影響Server 2016到2025。
致伸集團加入微軟 MDEP 生態系 強化智慧會議解決方案 經濟日報網
致伸(4915)集團宣布正式加入 Microsoft 裝置生態系統平台(Microsoft Device Ecosystem Platform, MDEP),進一步深化在多元整合辦公環境與智慧協作領域的布局。此舉不僅展現集團持續投入創新研發的決心,更為其產品導入更多安全性、彈性、管理效能,全面提升使用者體驗。
Patch Tuesday不相容部分Windows 11 24H2 PC,微軟撤回再送 iThome
微軟說明,2025年6月安全更新以漸次方式部署到24H2(KB5060842)過程中,發現在部分執行24H2的裝置上有不相容問題,已經暫停對這些裝置部署更新,並改以例外(out-of-band,OOB)更新(KB5063060)方式安裝。
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包 資安人
微軟發布 2025 年 6 月安全性更新,修補了其軟體產品中共 66 個漏洞,其中包含 1 個已遭惡意利用的零時差漏洞。此次更新修補了 10 個「重大(Critical)」等級漏洞、56 個重要(Important)等級漏洞。
Google再推自願離職方案,搜尋與廣告團隊首當其衝、為AI大投資鋪路 T客邦
Google 本週宣布啟動新一輪「自願離職方案」(Voluntary Exit Program, VEP),針對搜尋、廣告、商務、行銷、研究、公關等核心部門員工,提供優渥的買斷條件,鼓勵不再適任或對未來方向有疑慮的員工離開。這次行動,被視為 Google 繼 2023 年大裁員後,採取的更溫和人力調整策略,反映出 AI 發展壓力下的組織再造趨勢。
ChatGPT更新o3-pro!跟其他模型差異?怎麼用? 遠見雜誌網
OpenAI昨日(6/10)在社群上宣布正式推出最新版本的推理模型o3-pro,這是繼上個月更新ChatGPT系列模型GPT-4.1、GPT-4.5以後的最新動作,也是Google推出Gemini 2.5 Pro新版本和Claude 4以後的重大更新。o3-pro相比o3厲害在哪裡?推理模型和一般模型哪裡不一樣?各個模型有何特色?怎麼選與使用?《遠見》一文帶你看。
數發部去年9月底建置《網路詐騙通報查詢網》至今已確認12萬詐騙訊息 新頭殼
數位發展部於113年建置《網路詐騙通報查詢網》作為通報疑似詐騙訊息的平台。自113年9月30日起截至目前為止,已累積超過1萬7千次下載量,並接獲通報疑似詐騙訊息逾22萬則,經分案相關部會審查結果,已確認其中約12萬則詐騙訊息,並依打詐專法通報Meta、Google、LINE、TikTok等四大平台業者下架。
台大系統被駭?準碩士生「錄取資格沒了」報警追凶 校方改口:暫准入學 鏡傳媒
《聯合新聞網》報導,畢業於中部某大學的陳姓畢業生,今年3月25日依規定完成台大碩士班網路報到,4月獲某教授簽核為實驗室研究生,未料本月2日突然發現自己已經變成「錄取放棄」的狀態。
涉欺騙廣告 Temu遭韓重罰777萬元 聯合新聞網
南韓反壟斷執法機構公正交易委員會11日表示,以涉嫌違反「關於確保標記和廣告公正性的法律」為由,對大陸跨境電商平台Temu下達整改命令,並處以3.57億韓元(約合新台幣777萬元)罰款,為公正交易委員會對Temu首次實施制裁。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
社群帳號盜用警示 在災害擴大前,搶先一步做好防範
全球個資外洩追蹤 24小時為您監測守護
跨平台密碼安全管理讓 您安心儲存所有網路帳密
