從微軟與 Google 修補零時差漏洞,到 Apple 發出全球傭兵間諜軟體警告,再到台灣連環爆出的假官網與超低價詐騙案例,本週的資安新聞提醒我們:威脅既來自高強度的 DDoS 與勒索攻擊,也來自日常生活中看似無害的廣告與邀請。AI 更成為雙面刃,一方面協助企業強化防禦,一方面卻被駭客濫用來偽造身分、設計詐騙話術。整體趨勢顯示:資安、AI與防詐騙已經緊密交織,任何企業與個人都必須同時警覺、同時行動。
⭕️ 資安趨勢部落格精選
- 領先、創新與 AI 的未來:趨勢科技執行長暨共同創辦人陳怡樺帶來的啟示
- 關於資安風險管理的三項關鍵洞見
- 小心雲端發票「中獎」「載具異常」詐騙!財政部不會做這些事
- 【資安新聞週報】AI發現婚外情企圖勒索!/照片傳給 ChatGPT 安全嗎?/駭客勒索藝術家:不給贖金,就用你的作品「餵」AI
- 【打詐週報】蘋果行事曆鎖定銀行帳號/發票中獎簡訊暴增! 3招辨真偽/監理站不會寄email催繳網站用
⭕️ 本週十大資安新聞
1. 駭客利用惡意 Google 日曆邀請竊取 Gmail 與 ChatGPT
- 重點:社交工程與第三方服務結合的新攻擊手法,影響範圍廣。
- 來源:科技新報網
2. Apple 警告傭兵間諜軟體攻擊
- 重點:影響全球 150 國,Apple 推出新 MIE 技術防堵駭客滲透,並四度發出威脅通知。
- 來源:科技島、iThome
3. Windows 11 最新版爆核心位址洩漏危機
- 重點:修補一個漏洞卻意外挖出新問題,顯示微軟修補程式鏈接效應的風險。
- 來源:科技島
4. 最大 L7 DDoS 殭屍網路攻擊,動員 576 萬 IP
- 重點:針對政府機構發動大規模攻擊,顯示 IoT 機器人網路仍是重大威脅。
- 來源:iThome
5.Google修補 Chrome 140 個重大漏洞
- 重點:影響全球瀏覽器使用者,部分漏洞已遭到利用,提醒立即更新。
- 來源:iThome
6. GitHub 帳號遭入侵,波及 22 家企業
- 重點:Salesloft、Drift 等服務受影響,供應鏈資安風險再度浮現。
- 來源:資安人
7. 微軟例行更新修補多項高風險漏洞
- 重點:包含近乎滿分的權限提升與遠端程式碼執行漏洞,且有兩個零時差漏洞已被公開。
- 來源:iThome、TechNice
8. 北韓駭客強化 AI 偽造攻擊
9. 台灣詐騙案例頻傳,金流與假官網成焦點
- 重點:假冒 Agoda 網站盜刷逾 3 萬、iPhone 17「超低價預購」詐騙、民眾誤信臉書廣告集體被騙近 6,000 萬。
- 來源:新頭殼、TVBS、ETtoday
10. 巴拿馬經濟暨財政部遭 INC Ransom 勒索攻擊
- 重點:駭客聲稱竊走 1.5TB 敏感資料,顯示政府部門仍是勒索組織主要目標。
- 來源:iThome
趨勢觀察
- AI雙面刃:AI 在防禦與攻擊間拉鋸,微軟、Apple 都強調防範「AI 被濫用」的重要性。
- 詐騙手法進化:假冒官方網站、超低價商品、甚至社群驗證標誌,都成為詐團誘餌。
- 勒索與DDoS持續高強度:從政府到金融業,再到製造業,攻擊面全面延伸。
⭕️ 媒體資安新聞
微軟修補近乎滿分的權限提升、遠端程式碼執行漏洞 iThome
傳微軟計畫在Office 365 Copilot導入Anthropic Claude模型 聯合新聞網
AI 被誤認為人會出事,微軟 AI 負責人:設計者應設防護網 科技新報網
微軟 CEO 怎麼用 AI?他每天用這 5 個 prompt 做決策、盯專案、回顧會議重點 經理人網
修補一個BUG卻意外挖出新漏洞?Windows 11最新版爆核心位址洩漏危機 科技島
賣防火服務的縱火犯?美參議員要求微軟徹查資安漏洞 TechNice 科技島
【資安日報】9月10日,微軟、SAP、Adobe發布9月例行更新 iThome
微軟9月例行更新來了!當中修補兩個已公開的零時差漏洞 iThome
假招聘廣告暗藏加密駭客!惡意軟體ModStealer專竊用戶資料,瞄準加密貨幣錢包 BLOCKTEMPO
Google修補Chrome 140重大漏洞 iThome
GitHub 帳號遭入侵引發 Salesloft Drift 資安事件,波及 22 家企業 資安人
惡意 Google 日曆邀請可劫持 ChatGPT,竊取你的 Gmail 郵件 科技新報網
惡意軟體GPUGate鎖定西歐IT業者而來,透過GPU晶片系統資訊迴避沙箱及VM iThome
最大L7 DDoS殭屍網路動員,576萬IP攻擊政府機構 iThome
iPhone 17絕對防禦?蘋果發表突破性MIE技術 全面防堵傭兵駭客攻擊 TechNice 科技島
全球150個國家都可能是目標?蘋果發布「傭兵間諜軟體」警告與處理辦法 科技島
Apple今年四度發出威脅通知,法國電腦緊急應變小組籲受害者優先保全證據 iThome
卡在監管「紅線」! iPhone Air中國發售突喊卡 eSIM設計觸敏感領域 新頭殼
不是詐騙!LINE跳「帳號健檢」 多1步驟更安全:換機也順暢 ETtoday新聞雲
AI換臉、詐騙廣告怎麼防?專家教你3招,守護自己與家人的荷包 雅虎奇摩
免費送藍勾勾是詐騙!駭客藉假冒Meta Verified擴充功能竊取個資 TechNice 科技島
獨/一頁式詐騙手法猖獗!女買到破褲「錢拿不回」 警察曝解方 tvbs新聞網
演唱會「原價讓票」真假難辨、網購詐騙廣告又出新招!運用Threads三大安全工具破解詐騙 ZEEK玩家誌
詐騙猖獗!數發部納管Threads 今起生效 三立新聞網
誤信臉書廣告合計被騙5837萬!8人集體提告Meta 創全台首例 新頭殼
iPhone 17超夯被詐團盯上!「超低價預購」話術騙個資 警方:別上車 新頭殼
詐騙集團仿冒Agoda網站以假亂真!民眾慘遭盜刷逾3萬難追回 新頭殼
普發1萬最快10月領!「恐怖詐騙手法」曝 他接通電話:130萬飛了 今日新聞
壽司郎個資外洩「姓名郵件被看光」 業者歉:受害顧客補償500元 ETtoday新聞雲
數發部長林宜敬︰打詐、資安與數位憑證三路並進 自由時報網
東吳大學推動女性資安人才養成 榮獲教育部STEM補助肯定 行銷人
中央大學研究:企業生態足跡越高 資安風險越低 中央通訊社
巴拿馬經濟暨財政部遭INC Ransom勒索軟體攻擊 駭客聲稱竊走1.5TB資料 iThome
2駭客入侵高鐵、國泰金融網站! 盜用600會員帳號海撈76萬抵用券遭起訴 CTWant
【資安週報】0908~0912,再有CRM平臺遭駭客鎖定,Sitecore遭零時差漏洞攻擊 iThome
勒索軟體駭客組織集體宣佈引退,將享受數百萬美元黃金降落傘 科技新報網
北韓駭客利用多款 AI 工具偽造身分證與履歷,強化釣魚攻擊與滲透能力 科技新報網
北韓駭客用ChatGPT進行釣魚攻擊 假造軍人識別證圖片騙取信任 太報
AI淪為詐騙幫兇!路透實測 連發信時間都幫你想好 自由時報網
1.1萬臺物聯網裝置、路由器遭綁架,發動每秒15億個封包的DDoS攻擊 iThome
FBI警示UNC6040與UNC6395駭客組織鎖定Salesforce平臺竊取資料 iThome
Gucci、YSL、Balenciaga母公司證實遭駭 ShinyHunters宣稱犯案 iThome
勒索軟體組織Killsec宣稱入侵巴西醫療軟體供應商,波及多家醫療機構 iThome
JLR受到駭客攻擊 價值數十億英鎊的實體生產線停擺 汽車線上情報
【資安日報】9月15日,美國警告兩駭客組織鎖定Salesforce平臺竊取企業資料 iThome
針對曝露的Docker API,駭客透過Tor網路發動新一波行動,疑綁架用於殭屍網路 iThome
AI深偽再進化 新型網路釣魚利用假證件成功繞過傳統防毒軟體 科技島
防詐也防胖手指!金管會推轉帳顯示「受款人戶名」 32家銀行9月底上線 鉅亨網
中國駭客組織「鹽颱風」及UNC4841關聯的45個新惡意網域被揭露 資安人
Akira勒索軟體持續利用SonicWall SSL VPN漏洞發動攻擊 資安人
西門子SIMATIC PCS neo工控平臺曝高風險漏洞,恐致遠端程式碼執行與當機 iThome
強化資安韌性 SEMI E187認驗證制度正式啟動 中央通訊社
量子韌性與AI資安轉型 網管人
沒買到AI概念股還能不能上車?知名創投看好5個投資方向,林成蔭:這些ETF可留意 今周刊
AI 引爆科技業史上最大併購潮,高盛科技峰會揭露今年已達 6,450 億美元交易量 科技新報網
SEMI大師論壇》台灣AI能領先全球?吳田玉有信心:我們是唯一敢下重注的賭局玩家 風傳媒
SEMICON Taiwan 2025盛大揭幕 工商時報電子報
TXOne Networks 推出強化版 Edge 解決方案,新增資產漏洞管理功能 三嘻行動哇
對抗中國網路入侵!AIT轉發FBI懸賞 「做這件事」最高可獲逾3億獎金 自由時報電子報
與台企銀簽「可疑交易分析機制」MOU 高檢署:預警管控潛在不法帳戶 自由時報電子報
駭客團體TAG-150開發Python與C語言版CastleRAT,擴大CastleLoader惡意軟體攻擊範圍 資安人
駭客攻擊持續肆虐這家公司,Jaguar Land Rover生產銷售仍停擺中 汽車日報網
半導體四大咖SEMICON展開爐邊談話 大聊「造山者」下個篇章 鏡傳媒
資安院推資安周報!透過受眾、內容定位區隔 讓社會各方掌握資安趨勢 聯合新聞網
智能資安以硬體信任 建構半導體資安根基 經濟日報(臺灣)
【資安週報】0901~0905,已棄用的輸入法軟體更新伺服器遭挾持,駭客用於對臺發動目標式攻擊 iThome
三星為安卓裝置修補已遭積極利用的零時差漏洞 iThome
微軟修補近乎滿分的權限提升、遠端程式碼執行漏洞 iThome
微軟在9月上旬的發布的資安公告當中,修補Azure Networking漏洞CVE-2025-54914,以及Azure高效能運算(High Performance Compute,HPC)套件漏洞CVE-2025-55232,由於CVSS風險評分達到10分、9.8分,而相當引人關注。
傳微軟計畫在Office 365 Copilot導入Anthropic Claude模型 聯合新聞網
The Information網站報導指稱,微軟 準備在未來數週宣布,將於Office 365 的部分Copilot功能導入Anthropic最新Claude模型 ,逐步取代現有完全依賴OpenAI 的技術基礎,意味Word、Excel、Outlook與PowerPoint等應用服務的AI助理,未來將同時由OpenAI GPT-5與Anthropic Claude提供支持,藉此提升不同場景的使用體驗。
AI 被誤認為人會出事,微軟 AI 負責人:設計者應設防護網 科技新報網
員工寧可跟 AI 對話,也不想找主管,老婆寧可有事問 AI,也不想問老公,人際關係愈來愈疏離。微軟 AI 負責人擔心這個情況,因為他們讓 AI 語言更有人性,因此讓人誤以為這個東西是有意識的,他認為應該要設計一個防護欄,避免人掉入陷阱。
微軟 CEO 怎麼用 AI?他每天用這 5 個 prompt 做決策、盯專案、回顧會議重點 經理人網
微軟(Microsoft)執行長薩蒂亞・納德拉(Satya Nadella)透過 LinkedIn 與 X 分享他如何將 AI 融入個人日常工作流程,並利用已整合 GPT-5 的 Copilot 工具,藉此提升工作效率。
修補一個BUG卻意外挖出新漏洞?Windows 11最新版爆核心位址洩漏危機 科技島
根據資安公司Crowdfense調查,微軟在Windows 11最新版本與Windows Server 2022中,發現一個新的核心位址洩漏漏洞(CVE-2025-53136),而這個漏洞是微軟在修補另一個舊漏洞(CVE-2024-43511)時,所犯下的關鍵性錯誤所導致。
賣防火服務的縱火犯?美參議員要求微軟徹查資安漏洞 TechNice 科技島
美國民主黨參議員懷登(Ron Wyden)週三向聯邦貿易委員會(FTC)發出正式請求,要求該機構調查並追究微軟(Microsoft)的責任,因為微軟在一系列重大網路安全事件中扮演了關鍵角色。懷登在致信FTC主席Andrew Ferguson的內容嚴厲指出,微軟的資安態度持續威脅美國國家安全。
【資安日報】9月10日,微軟、SAP、Adobe發布9月例行更新 iThome
本週是許多軟體廠商及IT業者發布9月例行更新的時間,其中微軟這次修補的內容相當值得留意,其中有兩個已被公開的SMB、SQL Server零時差漏洞,後續很有可能會被用於實際攻擊行動。
微軟9月例行更新來了!當中修補兩個已公開的零時差漏洞 iThome
在這次毎月例行更新(Patch Tuesday),處理兩項已被公開的零時差漏洞,其中一項是可被用於權限提升的SMB資安漏洞CVE-2025-55234,另一項則是CVE-2024-21907,存在於SQL Server採用的Newtonsoft.Json元件。
假招聘廣告暗藏加密駭客!惡意軟體ModStealer專竊用戶資料,瞄準加密貨幣錢包 BLOCKTEMPO
資安公司 Mosyle 近日揭露了一種名為 ModStealer 的新型惡意軟體,該惡意軟體正針對 macOS、Windows 和 Linux 系統的加密貨幣用戶,嚴重威脅用戶的數位錢包和訪問憑證。
Google修補Chrome 140重大漏洞 iThome
上週Google為電腦版及安卓版用戶發布Chrome 140更新,一共修補兩個資安漏洞,並警告其中的CVE-2025-10200危險程度達到重大層級,相當危險。
GitHub 帳號遭入侵引發 Salesloft Drift 資安事件,波及 22 家企業 資安人
Google 旗下的資安調查團隊 Mandiant 發現,代號 UNC6395 的駭客集團從今年 3 月起就已滲透 Salesloft 的 GitHub 帳號,並在系統內潛伏至 6 月。這起供應鏈攻擊已確認波及 22 家企業客戶。
惡意 Google 日曆邀請可劫持 ChatGPT,竊取你的 Gmail 郵件 科技新報網
根據 Miyamura 的說法,攻擊者可以發送一個包含惡意指令的日曆邀請,當受害者與 ChatGPT 互動並請求其執行某個操作時,ChatGPT 會讀取這個被設計的事件,並根據指令搜尋 Gmail 中的敏感資訊。Miyamura 指出,進行這一攻擊所需的唯一條件是受害者的電子郵件地址。
惡意軟體GPUGate鎖定西歐IT業者而來,透過GPU晶片系統資訊迴避沙箱及VM iThome
資安業者Arctic Wolf在8月下旬發現新一波惡意軟體攻擊GPUGate,駭客鎖定西歐國家的開發者及IT專業人士下手,藉由Google廣告,佯稱提供電腦版GitHub的名義散布。
最大L7 DDoS殭屍網路動員,576萬IP攻擊政府機構 iThome
資安公司Qrator Labs在9月1日,偵測並成功緩解一場目前觀測到最大規模應用層L7 DDoS攻擊,目標為政府機構,參與來源累計達576萬個IP。這場攻擊採兩階段調度,先投入約280萬個IP,約1小時後再增加約300萬個IP,顯示其指揮與擴編能力成熟,能在短時間內提升壓力與覆蓋面。
iPhone 17絕對防禦?蘋果發表突破性MIE技術 全面防堵傭兵駭客攻擊 TechNice 科技島
蘋果宣布,即將推出的iPhone 17與iPhone Air將搭載一項具備劃時代意義的資安功能:「記憶體完整性強制執行」(Memory Integrity Enforcement,MIE),目標阻擋日益猖獗且高度複雜的傭兵間諜軟體攻擊。
全球150個國家都可能是目標?蘋果發布「傭兵間諜軟體」警告與處理辦法 科技島
蘋果(Apple)近期針對部分用戶發出警告,提醒他們正成為高度複雜的傭兵間諜軟體(Mercenary spyware)攻擊目標。傭兵間諜軟體攻擊,通常由國家級駭客或受國家資助的私人公司發動,耗資數百萬美元且目的明確,只針對特定職業或公眾人物,如記者、社運人士、政治人物或外交官等。由於其極度複雜、壽命短暫的特性,這類攻擊難以被偵測與防範。
Apple今年四度發出威脅通知,法國電腦緊急應變小組籲受害者優先保全證據 iThome
法國電腦緊急應變團隊(CERT-FR)指出,2025年已出現4波Apple威脅通知,對象多為高風險人士。專家提醒收件者先保存證據並尋求協助,再進行系統更新與安全措施。
卡在監管「紅線」! iPhone Air中國發售突喊卡 eSIM設計觸敏感領域 新頭殼
今(12)日,蘋果中國官網悄然更新資訊,將最新推出的 iPhone Air 發售狀態調整為「發售信息後續更新」。與此同時,iPhone 17、iPhone 17 Pro 和 iPhone 17 Pro Max 仍按原計劃於當日晚間 8 點開啟預購。
不是詐騙!LINE跳「帳號健檢」 多1步驟更安全:換機也順暢 ETtoday新聞雲
詐騙案頻傳,讓人對於各種訊息都有警戒心。就有網友表示,最近在LINE收到「帳號健檢」的訊息,要求用戶綁定Apple或Google帳號,附上設定連結,確保LINE帳號更健全,不少人擔心是詐騙。對此,事實查核網站MyGoPen查證,「這並非詐騙,而是 LINE 官方透過 Service Messages 綠盾官方帳號」。
AI換臉、詐騙廣告怎麼防?專家教你3招,守護自己與家人的荷包 雅虎奇摩
在這個資訊爆炸的時代,網路詐騙手法層出不窮,不僅利用普發現金等熱門話題,更善於偽裝成官方網站來竊取個資。身為一個聰明的消費者,除了學習如何辨識詐騙,更需要懂得挑選一款適合自己的防詐騙工具。
免費送藍勾勾是詐騙!駭客藉假冒Meta Verified擴充功能竊取個資 TechNice 科技島
近期,駭客發起一波針對Facebook的惡意廣告(malvertising)攻擊,誘騙使用者安裝一款冒牌的「Meta Verified」瀏覽器擴充功能。這些廣告偽裝成看似合法的影片教學,宣稱能讓用戶免費獲得藍色認證勾勾。
獨/一頁式詐騙手法猖獗!女買到破褲「錢拿不回」 警察曝解方 tvbs新聞網
近期詐騙猖獗,有許多民眾就遭到一頁式網站詐騙,林姓民眾向⟪TVBS新聞網⟫透露,當時在line上的網頁下單褲子,怎料收到貨後卻發現瑕疵,填寫退貨資訊及與客服聯絡,商家都未回覆,另外一名童小姐也遭遇類似狀況,事實上過去新北市政府警察局就曾說明,如發現貨到付款商品不符時,儘速向負責運送宅配業者反映,同時可撥打配送單上寄件人電話辦理退貨;若配送單無寄件人,先詢問送貨的宅配業者,告知要辦理退貨,請宅配業者給予上ㄧ手寄件人的電話跟E-mail,再行辦理退款。
演唱會「原價讓票」真假難辨、網購詐騙廣告又出新招!運用Threads三大安全工具破解詐騙 ZEEK玩家誌
隨著韓流天團、華語巨星及歐美藝人接力在台開唱,陸續掀起搶票熱潮,卻也讓詐騙集團在網路上有機可乘,包含在許多開放的社群或通訊平台上,假賣家以讓票內容吸引粉絲,卻私訊要求買方在特殊交貨或物流的假冒系統上以轉帳方式支付訂金,並以急迫語氣誘導粉絲緊急轉帳購票。
詐騙猖獗!數發部納管Threads 今起生效 三立新聞網
數發部7月初宣布,將社群軟體Threads納入管理,將在9/15正式生效,民眾要是在Threads上發現可疑詐騙廣告,可以點進網路詐騙通報來查詢或通報。
誤信臉書廣告合計被騙5837萬!8人集體提告Meta 創全台首例 新頭殼
因臉書(Facebook)上充斥冒用名人引誘民眾的假投資廣告,導致詐騙案件頻傳,台灣民間反詐騙協會今(15)日召開記者會,宣布已協助8名受害者,對臉書的母公司Meta提起民事訴訟,要求賠償1167萬餘元,創下台灣首例。這8名受害人總計被騙金額高達5837萬餘元,協會對臉書長期未盡廣告審查的職責表達強烈不滿。
iPhone 17超夯被詐團盯上!「超低價預購」話術騙個資 警方:別上車 新頭殼
日前蘋果全新iPhone17系列與iPhone Air首度亮相,台灣官網與全台三大電信公司都開放預購,短短數分鐘就秒殺額滿,驚人熱度遭詐騙集團盯上,以「超低價預購」、「限量名額」、「保證先拿」等話術進行詐騙,警政署提醒:別上車。
詐騙集團仿冒Agoda網站以假亂真!民眾慘遭盜刷逾3萬難追回 新頭殼
許多民眾出遊都會利用訂房網站預訂住宿,而詐騙集團透過模仿訂房網站Agoda,在民眾訂房後便寄送假冒的E-Mail告知扣款有問題,由於網站仿冒逼真,民眾點擊郵件中網址,誤信以假亂真的網頁和客服,遭盜刷多筆金額損失慘重。
普發1萬最快10月領!「恐怖詐騙手法」曝 他接通電話:130萬飛了 今日新聞
「165全民防騙」日前分享普發現金詐騙案例,有網友就接到一通自稱郵局人員的電話,對方急切聲稱「有人冒用你的身分去領普發金,現在要立刻報警處理」,隨即將電話轉接給一名假冒警察。
壽司郎個資外洩「姓名郵件被看光」 業者歉:受害顧客補償500元 ETtoday新聞雲
在台灣擁有52家分店的壽司郎,昨日傳出個資外洩事件,有網友收到其他人的點數到期通知信件,最多有人收到近60封。對此,壽司郎道歉表示,主要是委外系統在發送點數到期通知信件時發生異常,當時發現已立即停止異常的發信功能,而本次受影響的顧客,將提供500元電子折價券。
數發部長林宜敬︰打詐、資安與數位憑證三路並進 自由時報網
新任數位發展部部長林宜敬接受寶島聯播網「新聞放鞭炮」廣播節目專訪,今天上午播出。他坦言數發部長期面臨的負面形象與挑戰,並強調將借重業界經驗,推動台灣數位轉型,尤其在打擊詐騙、強化資安及發展數位憑證等面向,力求實質進展。
普發現金最快10月下旬發放。刑事局今天表示有民眾發現社群平台如抖音等出現類似詐騙廣告,已成立打擊「普發現金1萬元」詐騙專案小組因應,呼籲民眾防範類似詐騙手法。
東吳大學推動女性資安人才養成 榮獲教育部STEM補助肯定 行銷人
東吳大學人本AI中心於2025年榮獲教育部「STEM領域及女性研發人才培育計畫」補助,成功推動「資安與數據網路跨域整合之女性人才培育計畫」。該計畫由人本AI中心主任朱蕙君教授領軍,攜手巨資學院、會計系及資管系師資,整合資安、數據、管理與法律等多面向專業,展現跨域合作的實力。
中央大學研究:企業生態足跡越高 資安風險越低 中央通訊社
研究結果顯示,企業的生態足跡與資安風險間呈現顯著負向關係,兩個關鍵機制包含「創新投入」與「現金持有」;生態足跡較高的企業往往面臨更嚴格的環境規範,因而更積極投入綠色技術與數位建設等研發,有助於提升資安能力;這些企業也傾向保留更多現金,因應政策不確定性與潛在法規風險,所以有更充足資源投資資安防護。
今年第二季,多起郵件系統相關的重大安全事件被揭露。4月份,日本知名的Web郵件系統Active! Mail爆出高風險漏洞CVE-2025-42599,緊接著在6月份,郵件伺服器Roundcube也被揭露存在幾近滿分的重大漏洞CVE-2025-49113。同月,還爆出Microsoft Office Outlook存在「目錄遍歷」(Path Traversal)漏洞,除此之外,還觀察到大量濫用合法信任來源的釣魚郵件活動。
巴拿馬經濟暨財政部遭INC Ransom勒索軟體攻擊 駭客聲稱竊走1.5TB資料 iThome
MEF在一臺工作站發現疑為惡意軟體的活動,當時已依照既定的安全政策,立即啟動相關措施,並在整個資訊系統加強預防手段以遏止該次事件。巴拿馬政府強調,沒有任何核心系統與平臺受到影響,皆維持正常運作。
2駭客入侵高鐵、國泰金融網站! 盜用600會員帳號海撈76萬抵用券遭起訴 CTWant
游哲銘、鄭宇軒與境外駭客共組犯罪集團,入侵高鐵公司網站非法獲得全國電子500元抵用券723張。此外,該犯罪集團用相同手法入侵資訊集團委外管理的點數兌換網站,並兌換家樂福3000元抵用卷133張,2者市價總額高達76萬500元,並換取大量3C產品轉賣獲利。台北地檢署今(9月12日)偵結,依照加重詐欺取財等罪起訴2人,並建請法院處游4年、鄭3年。
研究人員發現攻擊者常利用合法的遠端服務,如遠端桌面協定(RDP)、PsExec 和 PowerShell 等工具。此外,AnyDesk、Atera 和 Microsoft Quick Assist 等遠端存取軟體也頻繁被攻擊者濫用。
【資安週報】0908~0912,再有CRM平臺遭駭客鎖定,Sitecore遭零時差漏洞攻擊 iThome
在2025年9月第二星期的資安新聞中,多家IT大廠發布每月例行安全更新的公告,揭露與修補近期掌握的弱點,攻擊者盯上CRM平臺Sitecore發動零時差漏洞攻擊也成焦點;國內多家上市櫃公司發布資安重訊,共有6則事件,涵蓋:夠麻吉、政伸、奈米醫材、智擎,以及兩家上市櫃公司的子公司:捷元與台灣人壽。
勒索軟體駭客組織集體宣佈引退,將享受數百萬美元黃金降落傘 科技新報網
在科技產業肆虐數年之久的勒索軟體集團,近期傳出驚人消息。包括最近針對捷豹路虎(Jaguar Land Rover)發動攻擊的駭客組織,以及十多個同類團體,已透過駭客論壇 BreachForums 發布聲明,宣布終止其公開的駭客活動。這些組織聲稱其目標已達成,將帶著多年來累積的 「數百萬美元」 贓款集體引退。
北韓駭客利用多款 AI 工具偽造身分證與履歷,強化釣魚攻擊與滲透能力 科技新報網
北韓與中國的駭客利用多款人工智慧工具進行間諜活動,最近的案例顯示,北韓駭客集團 Kimusky 使用 ChatGPT 生成假軍事身分證草稿,並將其附加在釣魚郵件中,這些郵件假冒了負責發放軍事官員證件的韓國國防機構。根據韓國網路安全公司 Genians 的報告,這一行為顯示出駭客們如何利用 AI 技術來增強其攻擊能力。
北韓駭客用ChatGPT進行釣魚攻擊 假造軍人識別證圖片騙取信任 太報
彭博新聞報導,南韓網安公司Genians週日(9/14)發布研究稱,名為Kimsuky的駭客組織利用ChatGPT生成極為逼真的南韓軍人識別證圖片,藉此發布「釣魚式」電郵攻擊。但點擊該圖片後,不會看到真正的識別證照片,而是惡意軟體的連結。這類軟體可讓攻擊者自受害者電腦中竊取資訊。
AI淪為詐騙幫兇!路透實測 連發信時間都幫你想好 自由時報網
生成式人工智慧(AI)的普及,正讓網路詐騙的威脅急遽升高。根據《路透》與哈佛大學研究員合作的一項最新調查,包括ChatGPT、Grok在內的主流AI聊天機器人,儘管設有安全防護,卻能被輕易誘導,協助犯罪份子打造出極具說服力的「釣魚」詐騙郵件,對長者等弱勢族群構成嚴重威脅。
1.1萬臺物聯網裝置、路由器遭綁架,發動每秒15億個封包的DDoS攻擊 iThome
資安業者FastNetMon揭露專門鎖定DDoS流量清洗服務業者的DDoS攻擊行動,駭客綁架1.1萬臺物聯網裝置、路由器,發動每秒發出15億個封包的UDP洪水攻擊。
FBI警示UNC6040與UNC6395駭客組織鎖定Salesforce平臺竊取資料 iThome
FBI警告UNC6040與UNC6395駭客組織大量攻擊企業Salesforce平臺,攻擊者透過語音社交工程與偷取的OAuth權杖竊走資料,部分受害者甚至還遭勒索。
Gucci、YSL、Balenciaga母公司證實遭駭 ShinyHunters宣稱犯案 iThome
Kering向媒體證實遭駭導致資料外洩。業者在6月間發現系統遭未經授權的第三方人士短暫存取,並存取了部份業務單位的客戶資料,外流的資料包含姓名、電子郵件、電話及住家地址。
勒索軟體組織Killsec宣稱入侵巴西醫療軟體供應商,波及多家醫療機構 iThome
勒索軟體組織KillSec聲稱入侵巴西醫療軟體商MedicSolution,外洩逾34 GB病歷與檢驗資料,資安公司Resecurity研判屬供應鏈攻擊,恐波及診所與實驗室,涉及病患隱私與法遵風險。
JLR受到駭客攻擊 價值數十億英鎊的實體生產線停擺 汽車線上情報
為了減輕滲透,JLR的 IT 團隊立即著手關閉其一系列線上系統,因此依賴此類技術的各種生產線也隨之停擺。自攻擊發生隔天起,JLR 便要求其工廠員工留在家中。此後,該公司位於Halewood、Solihull、Wolverhampton以及海外廠區的生產作業便一直停擺,同時JLR正與「第三方網路安全專家以及執法部門」合作,以期能安全地恢復線上運作。
【資安日報】9月15日,美國警告兩駭客組織鎖定Salesforce平臺竊取企業資料 iThome
上週末美國聯邦調查局機(FBI)提出警告,指出駭客組織UNC6040(ShinyHunters)與UNC6395皆針對企業組織使用的雲端CRM平臺Salesforce下手的情況,其中,UNC6040的活動,最早可追溯至去年底。
針對曝露的Docker API,駭客透過Tor網路發動新一波行動,疑綁架用於殭屍網路 iThome
駭客似乎打算再度透過洋蔥網路(Tor Network),對組態配置不當的Docker API發動攻擊,並企圖封鎖相關連接埠,以防他人存取受害主機資源,而他們的目的,很可能是用於建置殭屍網路的基礎設施。
AI深偽再進化 新型網路釣魚利用假證件成功繞過傳統防毒軟體 科技島
2025年7月中旬,一場結合新舊技術的網路攻擊行動悄然上演。駭客利用生成式AI大量偽造政府身分證件的「深偽(Deepfake)」圖片,並將其嵌入一場針對性極高的「魚叉式網路釣魚」(Spear phishing)攻擊中,成功繞過了傳統的防毒軟體防護。
防詐也防胖手指!金管會推轉帳顯示「受款人戶名」 32家銀行9月底上線 鉅亨網
過去民眾轉帳僅憑一組帳號,可能出現按錯數字轉給陌生人的情形,金管會今 (16) 日表示,32 家銀行 (包含中華郵政及 8 家公股銀) 將於今年 9 月底前,推出新台幣轉帳顯示「受款人戶名」功能,但會遮掩部分字元,協助民眾匯款時核對,降低轉錯或遭詐騙的風險,銀行可選擇於網銀或行動銀行二擇一上線。第二階段則會擴及 ATM,預計年底前完成。
中國駭客組織「鹽颱風」及UNC4841關聯的45個新惡意網域被揭露 資安人
威脅獵人與研究人員發現共 45 個網域,部分可追溯至 2020 年,並已確認與中國駭客組織「鹽颱風」和另一中國相關的駭客組織 UNC4841 有關。而 UNC4841 最為人所知的是利用 Barracuda 電子郵件安全閘道(ESG)設備的零時差漏洞 (CVE-2023-2868,CVSS分數:9.8)。
Akira勒索軟體持續利用SonicWall SSL VPN漏洞發動攻擊 資安人
網路資安公司Rapid7最新報告指出,過去一個月內觀察到針對SonicWall設備的入侵活動大幅增加,特別是在7月底Akira勒索軟體活動再次活躍的報告出現後。這波攻擊主要利用CVE-2024-40766漏洞(CVSS評分9.3),該漏洞於2024年8月已釋出修補程式,但仍有許多組織未完整修復。
西門子SIMATIC PCS neo工控平臺曝高風險漏洞,恐致遠端程式碼執行與當機 iThome
西門子警告SIMATIC PCS neo工控平臺UMC存在高風險漏洞,攻擊者可遠端執行程式碼或癱瘓系統,官方已釋出V2.15.1.3修補版本,並建議用戶立即更新或封鎖特定連接埠降低攻擊風險。
強化資安韌性 SEMI E187認驗證制度正式啟動 中央通訊社
數發部數產署與台積電、國際半導體產業協會(SEMI)及工研院合作,推動半導體設備資安標準SEMI E187,今天舉行啟動儀式。數產署表示,建立認驗證制度將強化資安韌性,並提升半導體設備產業競爭力。
量子韌性與AI資安轉型 網管人
當我們談論企業資安的未來,「量子運算」與「人工智慧(AI)」無疑是兩股最具顛覆性的力量。這並非遙遠未來的想像,而是已然逼近的現實。根據Gartner預測,現行主流的非對稱加密技術,可能自2029年起陸續失效,並於2034年全面遭量子運算破解。
沒買到AI概念股還能不能上車?知名創投看好5個投資方向,林成蔭:這些ETF可留意 今周刊
該公司合夥人布勒日前在一場演講中指出,當前的AI浪潮其經濟規模和社會影響可能將超越工業革命,其最大機會不在於傳統科技領域,而是在幅員更廣、人力密集的服務業,估計市場規模達到10兆美元!
捷克近期發布資安警訊,提醒某些產品及服務正將資料傳輸至中國。此公告來自該國國家網路與資訊安全局(NÚKIB),警告「系統與使用者資料被傳輸至中華人民共和國、中國特別行政區,或總部位於中國及其特別行政區的實體」以及「這些單位對技術資產進行的遠端管理」所帶來的資安風險。
AI 引爆科技業史上最大併購潮,高盛科技峰會揭露今年已達 6,450 億美元交易量 科技新報網
高盛集團 2025 年度 Communacopia 科技峰會 8 日舊金山揭幕,聚集 260 家科技巨擘共同探討關鍵議題:2025 年是否創科技業併購交易歷史新高。數據顯示今年科技業交易總額約 6,450 億美元,較去年同期激增 28%,有望超越 2021 年疫情後 9,860 億美元。
SEMI大師論壇》台灣AI能領先全球?吳田玉有信心:我們是唯一敢下重注的賭局玩家 風傳媒
2025 SEMI大師論壇今(10)日登場,十多位國際重量級半導體業界領袖齊聚場暢談「Navigating What’s Next:Global Opportunities and Taiwan’s Strategic Role」全球機遇與台灣戰略角色。壓軸的爐邊對談,由日月光董事長吳田玉博士與台灣半導體協會理事長侯永清博士共同主持,並與Infineon執行長Jochen Hanebeck、Tenstorrent執行長Jim Keller聚焦三大核心議題,進行深入交流。
SEMICON Taiwan 2025盛大揭幕 工商時報電子報
SEMICON Taiwan 2025國際半導體展今(10)日於台北南港展覽館盛大開幕,迎來創辦30週年的歷史性時刻。本屆展會規模空前,以「Leading with Collaboration. Innovating with the World 世界同行 創新啟航」為主題。行政院院長卓榮泰、SEMI全球總裁暨執行長Ajit Manocha、台灣半導體產業協會常務理事簡山傑等政企領袖親臨SEMICON Taiwan 2025開幕典禮,透過致辭共同揭開盛典序幕。隨後,由SEMI全球行銷長暨台灣區總裁曹世綸主持長期展商表彰儀式,肯定產業夥伴的長期貢獻。
TXOne Networks 推出強化版 Edge 解決方案,新增資產漏洞管理功能 三嘻行動哇
工業資安需求持續升溫,專注於營運技術(OT)防護的 TXOne Networks(睿控網安),宣布旗下 Edge 解決方案進行重大升級,加入 資產漏洞管理與多項擴充功能,進一步保障關鍵產業的營運穩定。
對抗中國網路入侵!AIT轉發FBI懸賞 「做這件事」最高可獲逾3億獎金 自由時報電子報
近年中國駭客行動越來越猖獗,美國在台協會(AIT)今傍晚轉發聯邦調查局(FBI)發布中共入侵美國電信基礎設施的公告,FBI開出懸賞,盼有人提供相關情報揪出黑手,最高可獲1000萬美元(約新台幣3億286萬)獎金!
與台企銀簽「可疑交易分析機制」MOU 高檢署:預警管控潛在不法帳戶 自由時報電子報
高檢署今與台灣中小企業銀行股份有限公司簽署「可疑交易分析機制」專案合作意向書,希望藉此預警管控潛在不法帳戶,溯源偵辦詐欺集團,守護民眾財產;法務部長鄭銘謙表示,這次合作象徵公私協力更深化,協助第一線金融從業人員精準阻詐,由執法單位擔任後盾,減輕銀行行員壓力。高檢署檢察長張斗輝則說公私協力阻詐,將有助於減少民眾財產損害。
駭客團體TAG-150開發Python與C語言版CastleRAT,擴大CastleLoader惡意軟體攻擊範圍 資安人
駭客組織 TAG-150 自 2025 年 3 月開始活躍至今,專門開發多種惡意軟體,包括惡意軟體載入器 CastleLoader(又稱CastleBot)和遠端存取木馬 CastleRAT。與大多數惡意軟體即服務(MaaS)組織不同,TAG-150 採用高度隱密的營運策略,不在暗網進行廣告宣傳,僅在可信的夥伴圈內推廣服務。
駭客攻擊持續肆虐這家公司,Jaguar Land Rover生產銷售仍停擺中 汽車日報網
上周因網路駭客入侵,可能造成資料外洩,迫使Jaguar Land Rover宣布暫停生產,現在顯然事態仍在擴大中。Jaguar Land Rover今日表示,遭受網路攻擊,導致其生產和銷售陷入混亂,部分資料已遭外洩。Jaguar Land Rover司表示,在發現部分數據受到影響後,已通知相關監管機關。任何資訊被盜,公司必須通知英國資訊專員辦公室,否則將面臨罰款。
半導體四大咖SEMICON展開爐邊談話 大聊「造山者」下個篇章 鏡傳媒
SEMICON TAIWAN 2025在10日隆重登場,當天重頭戲正是集結許多半導體重要人物的大師論壇,其中壓軸的爐邊談話更是活動高潮,台灣半導體協會理事長、台積電副共同營運長侯永清、日月光營運長吳田玉、英飛凌執行長Jochen Hanebeck、Tenstorrent執行長Jim Keller一起討論半導體的未來。
資安院推資安周報!透過受眾、內容定位區隔 讓社會各方掌握資安趨勢 聯合新聞網
數發部旗下資安院自今年7月17日起推出資安周報,數發部資安署長蔡福隆指出,目前有資安月報、資安周報,兩者定位不同,資安月報偏向政策面向、資安趨勢,資安周報則是偏向技術面向、並有時效性,希望透過受眾、內容區隔,讓社會各方掌握資安趨勢與風險。
智能資安以硬體信任 建構半導體資安根基 經濟日報(臺灣)
面對量子世代資安威脅逐步逼近,IIST智能資安科技以「硬體信任」為核心,打造新世代資安防線,該公司在今年SEMICON Taiwan 2025上攤位號碼AH04,展示多項聚焦半導體產業應用的創新資安解決方案,涵蓋PUF(物理上不可仿製功能)晶片指紋、後量子密碼學(PQC)、抗旁路攻擊(SCA)技術、零信任架構與AI威脅推斷等核心能力,成為展場中半導體資安領域備受矚目的焦點。
【資安週報】0901~0905,已棄用的輸入法軟體更新伺服器遭挾持,駭客用於對臺發動目標式攻擊 iThome
在9月第一週的資安新聞當中,專門鎖定臺灣的攻擊行動相當特別,因為駭客挾持了不再使用的輸入法軟體更新伺服器從事活動,一旦使用者不慎安裝、使用,數個小時後駭客就會派送惡意程式;另一方面,Salesloft Drift供應鏈攻擊事故有擴大的趨勢,有越來越多企業組織表示,他們的Salesforce系統受到波及,出現資料外洩的情形。
三星為安卓裝置修補已遭積極利用的零時差漏洞 iThome
8月下旬,蘋果修補已被用於實際攻擊的零時差漏洞CVE-2025-43300,後來Meta也為iOS及macOS版WhatsApp修補零時差漏洞CVE-2025-55177,並指出兩項漏洞已被串連,用於針對特定使用者發起複雜的攻擊行動,近期三星也修補Meta與WhatsApp聯手通報的零時差漏洞,並表示已有被用於攻擊的情況,而引起資安界高度關注。
◎瞭解更多 趨勢科技AI 防詐達人
☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載
⭕️ AI 防詐防毒
趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。
不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密
趨勢科技不只是網路安全守護者,還提供各種實用3C冷知識追蹤我們的IG 帳號看更多讓你數位生活更便利、更安全的貼文
⭕️獨家!每週精選最火紅的詐騙與資安新聞,讓您隨時掌握資安警訊 不想成為下一個受害者嗎?立即訂閱,搶先一步防範
