釣魚郵件騙公家帳密 立委批資安防護如虛設

·1 分鐘 (閱讀時間)
近期發現駭客大量以政府機關相似網域、偽冒機關網頁,寄送釣魚郵件給政府機關人員,誘騙帳號密碼。民眾黨立委高虹安批評,整體國家資安防護形同虛設。(本報資料照片)
近期發現駭客大量以政府機關相似網域、偽冒機關網頁,寄送釣魚郵件給政府機關人員,誘騙帳號密碼。民眾黨立委高虹安批評,整體國家資安防護形同虛設。(本報資料照片)

行政院最新資通安全網路月報指出,7月資安聯防情資共5萬8千餘件,發現近期駭客大量以政府機關相似網域、偽冒機關網頁,寄送釣魚郵件給政府機關人員,誘騙帳號密碼。民眾黨立委高虹安批評,政府高喊打造「資安國家隊」,卻缺乏專業資安人才的培養計畫及資源錯置,導致政府計畫和企業實際的防禦性資安人才需求有落差,整體國家資安防護形同虛設。

政府機關7月資安聯防情資共5萬8136件,統計分析,第1名為入侵攻擊類(37%),主要是國外IP攻擊行為及跨目錄存取攻擊偵測;其次為掃描刺探類(26%),類行為外部主機執行掃描探測攻擊;以及政策規則類(20%),主要是資料外洩防護(DLP)管制連線行為。

其中,近期駭客大量註冊與政府機關相似的網域,並偽冒機關常見的網頁郵件登入頁面,隨後寄送社交工程釣魚郵件給政府機關人員,以檔案下載為由誘騙收件人輸入帳號密碼,國家資通安全會報技術服務中心已透過月報提供相關防護建議給各機關。

資安事件通報上月共71件,以挖礦程式連線行為居多,占該月通報25.35%。經調查發現,使用者於受駭主機安裝免費版本的螢幕錄影軟體oCam,安裝過程未察覺授權加裝挖礦程式,作為軟體贊助用途,導致挖礦行為。

高虹安質疑,目前相關計畫分散在政府各個部會,據聞連國安會想推動的資安政策,也與行政院推動落實的有差距;建議政府除加強日常資安防務,對於國家資安部署應再多用心,落實保障台灣資訊與隱私安全。