台灣資安新聞彙整 2023.07.31-08.06

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

7/31

Ninja Forms 外掛程式中發現的漏洞使得 800,000 個網站變得易受攻擊

WordPress 的 Ninja Forms 外掛程式中發現了多個安全漏洞，有心人士可能會利用這些漏洞來利要求提升權限並竊取敏感數據。建議有安裝該外掛程式的用戶更新到 3.6.26 版本以減少潛在威脅。

https://thehackernews.com/2023/07/multiple-flaws-found-in-ninja-forms.html

8/1

惡意程式 CherryBlos 利用 OCR 技術竊取帳號密碼

安全廠商趨勢科技近日發現一隻 Android 竊密程式，能利用光學辨識（OCR）技術萃取出手機螢幕的文字，以竊取帳號密碼。

https://www.ithome.com.tw/news/158056

8/2

網路釣魚者利用 Salesforce 電子郵件服務的零時差漏洞來竊取帳戶憑證

據觀察，一個複雜的臉書網絡釣魚活動利用了 Salesforce 電子郵件服務中的零時差漏洞，讓有心人士能使用該公司的域名和網路架構來製作有針對性的網路釣魚郵件。目標是將用戶引導至惡意的登錄頁面，該頁面旨在捕獲受害者的帳戶憑證和雙因素驗證 (2FA) 代碼。

https://thehackernews.com/2023/08/phishers-exploit-salesforces-email.html

8/3

俄羅斯駭客利用 Microsoft Teams 展開網釣攻擊

微軟揭露了俄羅斯駭客組織 Midnight Blizzard 最新的網釣手法，駭客先是滲透了多個 Microsoft 365 小型企業租戶，利用這些租戶的權限建立新的且合法的子網域，再透過 Microsoft Teams 傳訊給目標組織的對象，以騙取權杖。

https://www.ithome.com.tw/news/158086

8/4

駭侵者開始訓練 AI 聊天機器人進行釣魚、惡意軟體攻擊

資安廠商 SlashNext 發現有駭侵者推出專門用於進行釣魚與惡意軟體投放攻擊的 AI 聊天機器人，分別採用最新的 ChatGPT 與 Google Bard AI 技術來訓練。

https://www.twcert.org.tw/tw/cp-104-7290-100f3-1.html

全球資料外洩案件增加近三倍

來自 Surfshark 的全球 2023 年第二季資料外洩統計的數據顯示，被外洩的帳戶數達 1.108 億。這一數字幾乎是上一季的 3 倍。相當於每秒就有超過 14 個使用者帳戶被外洩。

https://securitybrief.com.au/story/data-breaches-increase-almost-three-times-globally

8/5

研究人員利用深度學習以 95% 的準確率成功竊取了鍵盤記錄數據

一支由英國多所大學所組成的研究團隊成功透過深度學習訓練，以 95% 的準確率從使用麥克風記錄的按鍵敲擊聲中竊取數據。這使得基於聲音的旁路攻擊 (side-channel attacks) 變得可行，並且比之前預期的危險得多。

https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/