根據資安院在2025年8月份發布的各週《資安週報》資料顯示駭客開始濫用合法雲端服務、關鍵基礎設施外部曝險風險激增,以及AI技術被廣泛應用於詐騙活動等。
雲端服務成為新型攻擊媒介
8月最引人注目的資安事件是駭客開始濫用Google試算表、Google日曆等合法雲端服務作為攻擊中繼站。攻擊者利用「業務主題」為誘因,引導使用者開啟受密碼保護的壓縮檔,其中包含惡意捷徑檔(.lnk),一旦點擊即會觸發惡意腳本,將電腦資訊回傳至Google試算表。
資安院在報告中指出,這種攻擊手法模糊了合法與惡意的界線,對現有資安防護邏輯構成重大挑戰。
由於這些雲端服務原本就被廣泛信任,且流量多為正常操作,傳統以黑名單和特徵比對為主的防護機制往往難以即時察覺異常。
事件通報量波動,供應鏈攻擊成焦點
8月各週通報數量呈現明顯波動,分別為29、52、25、31、26件,其中第2週通報量激增近一倍。分析事件類型發現,異常連線行為占比高達40%,顯示此類異常相對容易被監控系統偵測。
特別值得關注的是
俠諾科技(QNO)網路設備遭受的供應鏈攻擊。多個使用該品牌設備的政府機關出現連線中繼站異常行為,推判駭客針對設備的網頁管理介面進行命令注入攻擊,透過漏洞取得設備控制權並建立中繼站連線。
資安院特別提醒,機關應僅允許內部或授權網段存取管理介面,非必要應關閉外部網際網路存取,並定期檢視原廠停止支援更新(EOS)設備的汰換需求。
同時,社交工程攻擊手法持續精進,攻擊者偽冒稅務機關名義發送調查信件,或利用業務需求誘使受害者至外部雲端網站下載惡意檔案。
8月份共有4家企業發布5則重大資安訊息,包含:海華科技(通信業)、統振(通信業)、樂意傳播(文創業)、康那香集團(零售業)等。
關鍵基礎設施風險嚴重程度遠超公部門
首次針對46個關鍵基礎設施進行的外部曝險檢測結果令人憂心。相較於55個公部門單位的18項重大風險和449項高風險弱點,關鍵基礎設施的風險規模達到103項重大風險和3,180項高風險弱點,約為公部門的7倍。
「元件高風險漏洞」(1,412項)與「TLS憑證不受信任」(1,106項)合計占比超過八成,成為最需優先關注的安全議題。這些漏洞多因系統未及時更新或使用已停止維護的舊版軟體元件,部分更含有已知CVE重大弱點,極易遭攻擊者利用進行惡意程式執行、權限提升等攻擊。
漏洞威脅持續演化,注入攻擊居首
8月份蜜罐系統捕獲的攻擊樣態顯示,網頁應用服務仍為主要攻擊目標,占比約86-89%。前5大攻擊漏洞包括Cisco IOS XE的特權提升漏洞(CVE-2023-20198)、JetBrains TeamCity的身分驗證繞過漏洞(CVE-2023-42793)等,攻擊目標涵蓋企業搜尋平台、作業系統、開源套件等關鍵系統。
相關文章:中國駭客組織「鹽颱風」近期大規模攻擊思科設備,全球電信商成主要目標
實兵演練中發現的SQL注入攻擊導致多起資料外洩事件,
部分機關甚至以明文方式儲存使用者帳號密碼,一旦遭入侵將造成嚴重後果。累計396筆攻擊紀錄中,注入攻擊、加密機制失效、無效存取控管成為三大主要弱點類型。
AI詐騙技術升級,多平台散播成趨勢
詐騙活動在8月呈現明顯的技術升級趨勢。詐騙集團開始廣泛使用AI深度偽造技術,製作高度逼真的假名人投資推薦影片,模仿名人聲音與外貌推廣虛構的高報酬投資平台。
詐騙手法也更加多元化,橫跨金融投資、法律服務、風水命理等領域。特別是「二次詐騙」現象值得關注,詐騙集團假冒法律服務機構,聲稱能協助追回被詐款項,實際上是為了獲取更多個人資訊進行再次詐騙。
關鍵字分析顯示,「致富」、「貸款」、「法律」、「詐欺」、「桃花」等成為高頻詐騙用詞,詐騙話術結合金融、法律、命理三大面向,更顯多樣化與隱蔽性。
資安治理創新:桌上推演提升決策韌性
面對日趨複雜的資安威脅,資安院在8月正式推動「桌上推演(Tabletop Exercise)」方法論,針對關鍵基礎設施領域的高階決策者進行應變能力訓練。
這種結合情境模擬與決策訓練的演練方式,讓參與者在閱讀高風險資安事件情境後,運用現有資源制定應對策略。演練聚焦於決策邏輯建立、跨部門溝通協調,以及危機處理流程的檢視調整,有效提升面對真實威脅時的應變韌性。
稽核結果揭露普遍性問題
114年度針對8個A級公務機關的資安稽核結果顯示,在八大檢測構面中,「使用者電腦安全檢測」、「物聯網設備檢測」、「核心資通系統安全檢測」等五項構面在所有受檢機關均發現不符合項目。
使用者電腦檢測發現64項高風險弱點,主要為支援弱加密協定SWEET32、Apache與OpenSSL版本過舊等問題。物聯網檢測則發現56項不符合項目,主要涉及預設帳號密碼、權限控管不足等基礎安全問題。
綜觀8月份的《資安週報》威脅情勢,傳統以黑名單與特徵比對為主的防護邏輯已難以應對新型混合型攻擊手法。資安防護需要轉向異常行為識別與判斷,重新檢視對「合法服務即安全」的預設信任。