【資安專欄】不容小懼的兩種資安攻擊議題
撰文\電算中心資訊網路組 張力允組長
更新日期:2025-12-30 Tuesday
點閱次數:8
資安攻擊型態種類繁多,有些攻擊技術門檻很高;反之則亦然,其中社交工程是最常被使用的攻擊手法之一,社交工程攻擊手法很多種,包含:電子郵件、簡訊、電話、社群網站…等,此攻擊類型屬於攻擊人心的手法,更貼近人與人之間的互動,因此這類的攻擊狀態一直存在現行資訊環境中。
現今社交工程手法已朝向非傳統攻擊方式,進而轉向客製化社交工程攻擊,攻擊手法會以行政訴訟、高額獲利、監理罰單…等貼近民心的議題做為主題,並寄發釣魚郵件、簡訊、惡意連結等,這類的電子郵件,會將寄信機關撰寫於主旨中,提高郵件的真實性,且更因涉行政訴訟、罰單等議題,多數收件者會擔心怕是重要公文,因此而將郵件開啟,導致下載惡意程式。
因應此類客製化社交工程攻擊,應加強使用者對偽裝主旨郵件的辨識力,並教育使用這若收到疑似釣魚郵件,應通報資訊單位,提升防護與應變能力,緊接著,組織內需建立惡意郵件偵測能力,以自動化機制進行端點行為監控,降低感染風險。
另一種常見的攻擊類型為網站攻擊,網站應用是最常被使用的對外服務型態,從國內外近3年揭露攻擊漏洞統計,前5大攻擊以「網頁應用」服務為主要入侵管道,漏洞類型包含:越界讀取漏洞、身分驗證繞過漏洞、程式碼注入、特權提升及遠端程式碼漏洞,目標涵蓋交付平台、開放源碼伺服器、網通設備作業系統等.此類攻擊已成為高風險攻擊熱點。
上述攻擊防範方式仍建議組織應時時關注設備存在之漏洞,軟體應定期進行漏洞修補,硬體設備應更新韌體,時時留意潛在風險,因應漏洞處理措施。
Reference:
https://www.nics.nat.gov.tw/core_business/information_security_information_sharing/cybersecuritynews/f2edde17-3896-4aa3-ba5f-5a46b34ccb7f/
