【資安新聞週報】AI 瀏覽器也會幫你亂下單!恐引導至假網站交易!/ChatGPT 爆「零點擊」漏洞/以太坊開發者遭惡意 AI 插件駭入,錢包三天清空/非法 NFC 程式首例盜刷 2000 萬


生成式 AI 帶來新契機,但也衍生新的攻擊面向——ChatGPT 傳出「零點擊漏洞」,僅憑使用者信箱就能竊取資料;以太坊開發者安裝惡意外掛後,三日內錢包清空,凸顯 AI 外掛與供應鏈安全的挑戰。同時,Perplexity 推出的 AI 瀏覽器 Comet 被發現可遭誘騙,研究人員成功引導其自動跳轉至冒牌電商網站並下單,再度凸顯 AI 工具在使用場景中的安全風險。

在台灣,更爆出首例 非法 NFC 程式盜刷,短短三週內造成 2000 萬損失,顯示行動支付與刷卡交易仍有防護缺口。除此之外,Zoom Windows 版 CVSS 9.6 漏洞一旦遭利用,可能讓用戶僅點擊連結就中標;而醫美診所的患者影像外洩事件,更暴露醫療單位資安韌性的不足。


⭕️ 資安趨勢部落格精選

⭕️ 本週資安新聞精選





繼續閱讀

【打詐週報】75歲阿公出軌對象居然是她!/ 假律師「二次收割」受害人血汗錢/買38元網購被扣款30萬!

連續被騙六次,300萬身家全蒸發」、「28元運費換走9.9萬存款」 、「買38元網購被扣款30萬!」,這些看似不可思議的標題,其實都來自真實的詐騙新聞。

詐騙集團的手法不斷進化,本週從普發金的釣魚簡訊,到利用AI技術假冒親友,甚至連追星的粉絲、網購的小額消費都成了他們的目標。這些新聞不僅是提醒我們小心,更揭示了現代詐騙如何精準地利用我們的恐懼、貪婪與好奇心。

傳統詐騙利用恐懼和貪婪,而新型態的AI詐騙則更狡猾,它們利用人類最深層的渴望:被理解、被陪伴。75歲老翁向另一半提離婚的新聞,讓人不免擔心,當你以為在和一個沒有惡意的程式互動時,也要提防詐騙集團正利用AI伴侶建立深層的情感連結,將你一步步帶入精心設計的陷阱。比如引導你點擊惡意連結或下載惡意檔案。

我們整理了近期詐騙新聞,每一個都像是一則驚心動魄的故事,也都是一堂寶貴的防詐課程。讓我們一起深入了解這些手法,學會如何保護自己,遠離詐騙。

她是誰?⟫看答案

防詐達人精選

300萬身家全蒸發!最新詐騙掏光帳戶「連續被騙6次都不知道」,很多人存款歸零才發覺      風傳媒

「索取免費海報」慘被騙!誆付28元運費…害他9.9萬存款不翼而飛     三立新聞網

買38元網購被扣款30萬!警政署揭1恐怖詐騙手法,在網路上買東西千萬要注意        風傳媒

「普發1萬」釣魚簡訊 假基地台12人落網    聯合報
◎延伸閱讀:gov 網址也可能是假的?收到「普發萬元」簡訊別急著點!一眼看破真偽關鍵就在「這一點」

Google 出招:用 AI 打擊「無效流量」廣告欺詐率降 40%           INSIDE

18億Gmail用戶小心遭AI詐騙鎖定!Google、FBI示警:個資恐遭洗劫        MSN

拓元售票詐騙太真!詐團套路「音源曝光」…姓名、信用卡號、購票場次都知道…官方聲明:電話簡訊都假的        中時新聞網

女星遭騙走「上空裸照」再發聲!誤信假閨密胸部黑中計   中時新聞網 

被騙數十萬!他急找律師追贓款慘遭「二次收割」超多人上當           TVBS新聞網

AI離婚潮來了?75歲中國老翁出軌「虛擬女友」 竟向老伴提離婚        三立

打詐不求人!Meta攜手數發部及電腦公會推出互動遊戲 強化識詐力        TechNice 科技島

假冒員工以電話或Line索個資 台水:詐騙行為勿上當        中央社

【TNL圖表】台灣是詐騙王國?假名人、假專家詐騙激增,12大關鍵字一覽,哪些話術最常出現?        LINE TODAY

繼續閱讀

同學請注意!趨勢科技揭5大常見學生詐騙陷阱題

PC-cillin六折開學季優惠 用防詐先修課安心迎接新學期

【2025年8月18日,台北訊】暑假邁入尾聲、新學期將至,學生們開始整理課業用品、準備迎接新生活,不論添購新用品、找租屋處、找資訊、學習、娛樂等,網路與學生生活形影不離。全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704)在開學前夕統整5大「詐騙陷阱題」,不肖份子經常透過假交易、假補助、假投資等手法鎖定學生族群,一旦遭遇駭客攻擊、勒索病毒或點進詐騙連結,將可能造成數位與財務資產「人財兩失」的窘境,學生尤須謹慎小心。趨勢科技於即日起至8月22日推出開學季優惠方案,凡新購PC-cillin兩年一台版即可享有六折優惠(優惠價$1,190,原價$1,980),為新學期打造安全無憂的網路環境,不讓學生成為駭客的待宰羔羊!

【圖說一】趨勢科技即日起至8月22日推出學生優惠方案,新購PC-cillin兩年一台版即享六折優惠價

陷阱題一:開學前3C周邊需求增!小心「無卡分期」陷阱與假賣家手法

工欲善其事,必先利其器!開學前夕是汰舊換新3C產品的高峰期,過去曾有詐騙份子以「簽約立刻拿5千佣金」為誘餌,誆稱協助代辦無卡分期,實則藉由不平等合約誘騙購買高價3C產品,導致學生背負龐大債務。若簽約後無法證明其為詐欺共犯,即使未拿到商品也須付款,甚至可能被提告詐欺罪。此外,詐騙集團也經常透過二手交易平台假冒為賣家,並以「付款錯誤」、「系統驗證」等話術發送惡意連結誘使消費者點擊,導致洩露個資或財損。

趨勢科技提醒,若欲購買電子產品、線上進修課程,都應透過合理正當管道。無論進行付款或提供個人資料時,也務必確認交易網站真偽,並核實交易方的身份。在選擇店家時也應特別注意其合約價格是否透明、條款是否清楚,以及對方是否具備實體營業據點,避免誤入詐騙陷阱。除了提高警覺外,學生也可透過專業資安工具PC-cillin內建的「安心Pay」功能,在付款與轉帳過程中啟動交易保護模式,防止個資外洩與詐騙入侵,提升資安防護力!

繼續閱讀

解鎖 Amazon Security Lake 的強大威力,打造主動式防護

解鎖 Amazon Security Lake 的強大威力,打造主動式防護

資安是應用程式開發及現代化的主要挑戰之一,這一點已經不是祕密。資安不僅在我們建構應用程式的方法上扮演著重要角色,同樣也左右著我們如何維護應用程式。

保護應用程式的方法有很多,從程式碼的撰寫方式到部署方式都是其中之一。但這所有的不同方法都是為了解決同樣的挑戰:如何利用資料來發掘真正的資安事件,還有,如果事件已經發生,未來該如何防止它們再次發生?

在現代化應用程式當中,想要達成這項目標,通常得跳脫傳統的資安框架。資安人員不僅要了解資安的基本原理,還要了解應用程式如何建構、如何運作,以及應用程式內的資料如何流動。

此外,還有一些豐富資料可以運用,包括:應用程式記錄檔、使用監測資料,以及資源之間的關係。但真正的挑戰不在於資料的蒐集,而是將不同的資料格式轉換成共通語言,並從應用程式看似雜亂的日常行為當中萃取出可化為行動的洞見。

本文探討如何利用這些洞見來偵測真正的資安事件,並防止事件再次發生。

⟫ 完整文章

新勒索軟體 Charon 採用 Earth Baxia APT 技術鎖定企業
趨勢科技發現了一個新的攻擊,利用名為 Charon 的新型勒索軟體家族,並結合進階的 APT 式技術,針對不同組織發動攻擊,並提出客製化的勒索要求

⭕️ 重點摘要:

  • Trend™ Research 發現了一起攻擊行動正在使用 Charon 這個新的勒索病毒家族以及進階持續性滲透攻擊 (APT) 技巧 (包括 DLL 側載、處理程序注入以及 EDR 反制功能) 來攻擊企業,並且使用了客製化的勒索訊息。
  • 這起近期發現的勒索病毒攻擊行動將對企業帶來嚴重的業務風險,包括營運中斷、資料外洩,以及停機所帶來的財務成本。此外,勒索病毒集團的手法還會破壞本機和網路上的資料,並且阻礙復原工作。
  • Trend Vision One™ 已可偵測並攔截本文提到的 Charon 勒索病毒相關入侵指標 (IoC)。此外,客戶還可透過量身訂製的追蹤查詢、Threat Insights 及 Intelligence Reports 來深入了解 Charon 並主動加以防範。

⟫ 完整文章

專攻Linux系統!勒索軟體Gunra高效變種現身

本文說明 Gunra 勒索病毒最新的 Linux 變種如何提高加密速度以及提供客製化功能,並藉由進階的跨平台手法來擴大集團版圖。

⭕️ 重點摘要:

  • Gunra 勒索病毒的 Linux 變種擴大了該集團的攻擊面,顯示出該集團希望進一步擴張原有版圖的野心。
  • 這個 Linux 變種具備了一些值得注意功能,包括:可同時執行 100 個加密執行緒,並支援局部加密。此外,駭客還可控制每個檔案要加密的內容多寡,並可選擇將 RSA 加密後的金鑰保存在另外的金鑰儲存區 (keystore) 檔案。
  • 自 2025 年 4 月被首次發現以來,Gunra 勒索病毒已攻擊了巴西、日本、加拿大、土耳其、南韓、台灣及美國等地的企業,受害機構遍及製造、醫療、IT 及農業等產業,還有法律和顧問機構。
  • Trend Vision One™ 已可偵測並攔截 Gunra 勒索病毒相關的入侵指標 (IoC)。此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 Gunra (包括其 Linux 變種) 的豐富資訊和最新消息。

    ⟫ 完整文章

Microsoft SharePoint 重大資安漏洞:CVE-2025-53770、CVE-2025-53771 深度分析與主動防禦

企業內 Microsoft SharePoint 伺服器的 CVE-2025-53770 和 CVE-2025-53771 漏洞是從先前已修補的漏洞演化而來,可讓駭客不須經過驗證就能利用進階反序列化技巧與濫用 ViewState 物件從遠端執行程式碼。

⭕️ 重點摘要

  • CVE-2025-53770 和 CVE-2025-53771 是企業內 Microsoft SharePoint 伺服器的漏洞,可讓駭客上傳惡意檔案並擷取加密金鑰。
  • 這些漏洞是從先前修補過的 CVE-2025-49704 和 CVE-2025-49706 漏洞進一步演化而來,廠商當初的矯正並不完全,所以讓駭客能透過進階的反序列化技巧並濫用 ViewState 物件來繞過認證機制,從遠端執行程式碼 (RCE)。
  • 我們已看到駭客在各種產業試圖發動相關的漏洞攻擊,包括:金融、教育、能源及醫療。
  • Microsoft 已針對 SharePoint Subscription Edition 和 SharePoint Sever 2019 發布了安全更新,至於 SharePoint Sever 2016 則尚未發布修補更新。Trend Micro™ TippingPoint™ 的客戶自 2025 年 5 月起便已獲得防護來防範相關攻擊。


⟫ 完整文章

捲土重來:Lumma Stealer 帶來更強大的隱匿技巧

Lumma Stealer 帶來更強大的隱匿技巧 這一次,惡意程式背後的駭客集團似乎採取了更隱匿的技巧,並持續穩定地擴大地盤。本文說明這項威脅最新的散播方法。

重點摘要

  • Lumma Stealer 在 5 月份遭到破獲之後沒過多久便再次重生,且受害帳號數量從 6 月至 7 月開始暴增。現在,惡意程式會經由更多隱匿的管道散布,並採用更隱密的躲避技巧。
  • 具備資訊竊取功能的 Lumma Stealer 會搜刮登入憑證和私人檔案等各種敏感資料。此外,由於它是以惡意程式服務 (Malware as a Service,簡稱 MaaS) 的方式來銷售,因此就算是完全沒有技術背景的不肖之徒也駕馭這套惡意程式。
  • 使用者有可能經由假的破解版軟體、假冒的網站,以及社群媒體貼文而被騙下載到 Lumma Stealer。對企業而言,缺乏網路資安意識的員工很容易成為這類攻擊的受害者。
  • Trend Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 Lumma Stealer 的豐富資訊和最新消息。

⟫ 完整文章

深入分析Microsoft 365 Copilot零點擊 AI 漏洞:EchoLeak

一種名為「EchoLeak」的零點擊 (zero-click) 漏洞攻擊手法,揭露了駭客如何操弄像 Microsoft 365 Copilot 這樣的 AI 助理,在不須使用者互動的情況下洩露機敏資料。本文詳細介紹這類攻擊手法的運作方式、為何危險,以及有哪些防禦機制可主動防範這類新興的 AI 原生威脅。

重點摘要

  • EchoLeak 是一個零點擊 (zero-click) AI 漏洞,利用 Copilot 的歷史資料作為情境,暗中執行隱藏的提示而無須與使用者互動。
  • 此攻擊方式是使用內嵌隱形提示注入技巧 (例如將提示嵌入 HTML 註解當中,或使用白底白色文字),以便在後續階段誤導 GenAI 的解讀。
  • 它示範了某些 GenAI 功能隱含的廣泛性風險,例如:摘要、RAG (檢索增強生成) 以及情境繼承。
  • 這起事件突顯出,不僅 AI 模型本身的保護相當重要,保護它與企業資料互動的環境 (如電子郵件和 SaaS 平台) 也很重要。這些周邊系統如果沒有受到保護,AI 工具就可能成為重大資料外洩和違規事件的發生途徑。
  • Trend Vision One™ 採用 AI 驅動的 Email and Collaboration Security (電子郵件及協同作業防護) 來防範這類威脅,藉由交叉關聯情報偵測來轉化人類情報、檢查電子郵件意圖、分析使用者行為,以及交叉關聯可疑徵兆。
  • 在 GenAI 存取控管方面,Trend Vision One ™ 可藉由 Zero Trust Secure Access (ZTSA) 零信任安全存取來保護使用者的安全。其 AI Service Access 功能可檢查 GenAI 的提示和回應來防止潛在的資料外洩,並確保 GenAI 提示和回應的使用安全以防止潛在的資料外洩。

⟫ 完整文章

隨著 AI 重塑現代軟體架構,企業必須重新思考其安全策略,從被動防禦轉向主動預測和即時反應,以確保在利用 AI 創造價值的同時,能有效管理風險。
聽聽趨勢科技執行長暨共同創辦人陳怡樺(Eva Chen)怎麼說?
請參閱完整的白皮書:《The Intelligent Stack: Industry Briefing》
繼續閱讀