事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息
本週總計接獲15件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,詳⾒圖2。本週發現有機關資訊設備下載惡意腳本,經查該連線設備為臉型指紋機,後續將其汰換下架。
臉型指紋機或門禁打卡機常被直覺認為「非電腦設備、不具資安風險」,惟實際上多數臉型指紋機具備作業系統、網路連線及程式執行能力,仍可能遭惡意程式入侵或被利用進行對外連線。建議將此類具網路功能之設備納入資訊資產盤點與監控,限制非必要對外連線並定期檢視韌體設定,同時於管理面納入資安規範與維運檢核,強化相關人員與委外廠商之風險認知與責任。
除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:
針對潛在風險執行相應改善,如:
本週3家民間企業發布重大訊息,產業類別分為農業科技業、化學工業及汽車工業。
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
本週資安聯防監控顯示,詳如圖3,整體攻擊態勢呈現持續活躍狀態,其中「防禦迴避」階段最為顯著,佔比從上週的15.55%上升至本週的16.84%,成為最主要的攻擊手法。攻擊者慣用的技術包括關閉或清除指令紀錄、利用合法系統工具執行惡意命令,以及濫用信任的應用程式來規避偵測機制。
其次為「偵測刺探」階段,佔比從12.64%提升至15.54%,顯示攻擊者正積極進行目標環境的資訊蒐集與弱點掃描。第三高的「惡意執行」階段維持在11.65%左右,反映攻擊者在取得初步立足點後,持續嘗試執行惡意程式碼。
值得注意的是,「初始入侵」階段從10.88%下降至8.92%,而「權限提升」也從7.46%降至5.87%,顯示部分攻擊可能已進入更深層的滲透階段。聯防監控的目的在於提醒各單位留意攻擊趨勢是否由初期的偵測刺探逐步演進至更具破壞性的階段,如資料滲出或衝擊影響,以便及早採取對應措施。
建議機關採取下列防護措施:
強化防禦迴避偵測能力
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比71.46%、「遠端控制」服務攻擊占比24.97%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達75.16%。「遠端控制」服務亦有21.41% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。
本週Web服務系統比例下降原因為JetBrains TeamCity 驗證繞過漏洞的CVE-2023-42793,遭攻擊次數下降導致。而網通設備管理介面比例上升主因為Juniper Junos OS EX系列與SRX系列PHP外部變數修改漏洞的CVE-2023-36845,遭攻擊次數上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、程式碼注入、特權提升、遠端程式碼執行漏洞及PHP 外部變數修改漏洞,攻擊目標涵蓋Citrix NetScaler ADC、 GeoServer開放源碼伺服器、Cisco IOS XE網通設備作業系統、PHP及Juniper Junos OS EX 系列與 SRX 系列,顯示此類系統已成為高風險熱點。
防護建議:
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。
|
排名 |
漏洞編號 |
受影響產品 |
CVSS 3.x Base Score |
|---|---|---|---|
|
1 - |
Citrix NetScaler ADC |
7.5 |
|
|
2 - |
GeoServer開放源碼伺服器 |
9.8 |
|
|
3 - |
Cisco IOS XE網通設備作業系統 |
10 |
|
|
4 ↑1 |
PHP |
9.8 |
|
|
5 ↑New |
Juniper Junos OS EX 系列與 SRX 系列 |
9.8 |
近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:
微軟釋出1月份安全性更新,共修補包含Windows Routing and Remote Access Service (RRAS)、Microsoft Office SharePoint、Microsoft Office Word及Microsoft Office等共115個漏洞,其中包含3個高風險漏洞與1個已遭利用之漏洞。
Elastic近期發布安全性更新,共修補7個安全性漏洞(CVE-2025-66566、CVE-2026-0528 、CVE-2026-0529、CVE-2026-0530、CVE-2026-0531、CVE-2026-0532及CVE-2026-0543)。
經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險
本期針對46個關鍵基礎設施(CI)單位執行EASM資安曝險檢測,共計發現1,203項重大與高風險弱點,其中包含115項重大風險與1,088項高風險弱點。此數據顯示整體外部曝險情勢呈現持平狀態,風險總數較上期(1,205項)微幅減少2項。從風險分布觀察,本期仍以「元件高風險漏洞(332項)」、「TLS憑證不受信任(299項)」、「過時或弱加密協定(292項)」及「CSP設定不當(156項)」為主要類別,四項合計占比約90%,這突顯出多數單位在網站加密傳輸設定、憑證有效性管理及網頁安全標頭部署上仍有優化空間,詳見圖5。
進一步比較兩期差異,「元件高風險漏洞」由358項降至332項,雖仍居榜首,但數量有所下降,顯示部分機關已針對已知軟體漏洞進行修補;然而,「TLS憑證不受信任」由288項增加至299項,「未部署WAF」亦由60項攀升至70項,「CSP設定不當」則由152項微增至156項,反映出基礎防護配置與憑證管理仍需持續關注與加強。
防護建議:
建議機關或關鍵基礎設施採取下列防護措施:
建議機關或關鍵基礎設施採取下列管理措施:
追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標
年初交易與促銷題材更迭 高風險詐騙偵測量回升 請民眾持續提高警覺
整體觀察「全部高風險」總量趨勢,本期監測數據在前兩週走低後出現回升:前一週下降後,最新一週再度上揚。顯示跨年檔期帶動的高峰雖已退去,但在年初交易與金流活動恢復、促銷題材更迭的情境下,高風險詐騙仍可能以不同包裝持續出現。另就整體變化而言,最新一週雖較前一週增加,但尚未回到 12 月下旬較高區間,較接近回到常態波動範圍;後續仍需持續觀察是否延續增加,詳見圖6。
從詐騙類型來看,「產品服務」仍為主要風險來源,本期自前一週低點回升。此類詐騙常搭配年初促銷、福袋、限量商品、二手交易與票券轉售等情境,透過假賣家、偽造付款或物流通知、催促付款,或引導點擊不明連結等手法快速擴散。由於量體與觸及面仍大,請民眾與平台務必持續留意並加強防範。
「身分冒充」本期亦呈上行,顯示「假冒親友」、「假冒公部門」、「假冒企業客服或金流客服」等手法仍在運作。常見話術多結合「退款、取消交易」、「帳戶異常」、「需立即驗證」等情境,利用民眾急於處理交易、客服繁忙與資訊不對稱,營造緊迫感並誘導配合操作。提醒民眾遇疑似情形,務必先查證再處理。
「金融投資」本期增幅相對較明顯,為帶動整體回升的重要來源之一。此類詐騙常以「投資理財」、「虛擬貨幣」、「老師帶單」、「高報酬穩賺」等話術包裝,並搭配獲利截圖、名人背書、社群群組與私訊邀請,易在年初投資話題與資金調度需求下擴散。雖不一定為最大宗,但一旦受害往往損失金額較高,請民眾特別留意。
綜整而言,本期高風險偵測量自低點回升,三大類型同步增加;其中「產品服務」仍為最大宗風險來源;「身分冒充」增加,需防範假客服與假公部門話術;「金融投資」增幅較明顯且具高損失特性,請持續提高警戒並加強宣導。
提升多平台風險警覺
強化身分驗證與求證習慣
善用官方資訊與檢舉機制
本週代表性詐騙關鍵字Top 10 以「點擊」、「領取」、「免費」為主要特徵,並常與「優惠」、「加入」等行動導向字眼併用,顯示詐騙話術仍以「低門檻誘因」結合「引導立即行動」作為核心手法,詳見圖7。常見模式為先以「限時免費、登記領取、優惠活動」降低戒心,再要求民眾點擊短連結、加入指定帳號,或導向外部頁面(私訊、群組、網站)進行後續操作,例如蒐集個人資料、誘導購買下單、要求匯款或綁定付款方式。
提醒民眾注意,本週尤需防範「點擊」與「領取」相互搭配之導流情境。詐騙流程常以「先點連結、再要求登記或加入」方式推進:先以看似正常之活動資訊、福利贈品或限量名額吸引點閱,引導點擊連結;其後再以「登記領取」、「加入後提供名額/方式」等理由,要求轉往特定通訊軟體或外部頁面。一旦互動離開公開平台,資訊來源與對話內容不易查證,民眾亦可能在連續指令與話術引導下降低警覺。凡遇「必須點擊連結方可查看內容」或「加入/登記後才提供領取方式」等情形,請務必提高警覺並停止操作
另請留意,本週亦可見以「市場」、「策略」、「推薦」等措辭包裝之投資型高風險情境,例如以「量化分析」、「提供策略」、「推薦標的」建立專業形象,並以「把握機會」催促加入社群或前往指定網站。此類內容常以「不收費、不分成」等說法降低戒心,後續逐步引導下載或登入不明平台、加入付費方案,甚至出現代操、匯款或要求提供交易/帳戶資料等行為。凡涉及「保證獲利、帶領操作、指定平台、要求匯款或提供驗證資訊」者,均屬高風險態樣,請切勿輕信,並立即退出相關群組或頁面。
此外,生活型情境之詐騙風險亦仍存在,常見如以「免費贈送」、「限時發放」、「分享/留言即可領取」等互動任務吸引參與,或以「招募、工作機會、簡單流程、福利完善」包裝成兼職合作。此類作法多於初期提供看似完整之流程說明,後續卻以「手續費、保證金、驗證費用、帳戶設定」等名目要求先付款,或引導至不明連結填寫資料與操作。若對方要求提供身分證件、銀行帳戶、付款資訊,或要求協助代收代付、帳戶認證等,請立即停止配合,並避免提供任何敏感資料。
綜合本週觀察,常見手法可概括為:先以「免費/優惠」或「登記領取」作為入口,繼以「點擊連結、加入社群、外部登記」將互動帶離公開平台,再逐步提出付款、匯款或帳戶操作等要求,並搭配「市場策略、推薦背書、設計感福利、機會招募」等包裝提高可信度。呼籲民眾:凡要求先點不明連結、以加入/登記作為取得細節之必要條件,或以投資、兼職、合作、贈品領取等名義要求先付款、提供帳戶/身分資料者,應一律停止操作並先行查證;建議優先透過官方網站與公開客服管道確認真偽,避免落入「先操作才給資格、先付款才可領取/成交」之詐騙陷阱。
看似正常,實則危險:圖片密碼+捷徑檔的社交工程攻擊
資安院近期發現,駭客以「陳情」或「投訴」為由,透過常見的意見信箱與公開聯絡管道進行社交工程攻擊,誘使收件者開啟惡意附檔,進而執行惡意程式。
本次攻擊手法中,駭客刻意採用較不常見的方式,將開啟壓縮檔所需的密碼製作成圖片檔,並以附件形式隨信寄送,而非直接寫在郵件內容中。此舉可避開部分資安設備對文字內容的掃描與偵測,降低郵件遭攔阻的機率,進而提升攻擊成功的可能性,詳見圖8。
當收件者依照郵件指示解壓縮附件後,會看到一個看似一般檔案的捷徑檔(.lnk)。然而,一旦點擊該檔案,系統便會在背景中執行隱藏的惡意程式,同時開啟誘餌文件掩人耳目,讓使用者誤以為僅是正常開啟檔案,實際上電腦已可能遭到入侵,甚至與駭客的遠端控制主機建立連線。
整體而言,這類攻擊結合「密碼圖片化」與「捷徑檔執行惡意程式」等手法,再搭配看似合理且常見的「陳情/投訴」情境作為包裝,有效降低收件者戒心。一旦誤信郵件內容並開啟附件,即可能成為攻擊鏈的一環,衍生後續資安風險。
防護建議
關鍵字:社交工程攻擊、圖片密碼、捷徑檔(LNK)