social engineering

Microsoft 威脅情報團隊發現一個名為 Storm-2657 的黑客組織正發動「薪金海盜」(Payroll Pirates) 攻擊，目的為劫持員工帳戶並篡改薪金支付資料，令款項轉入攻擊者控制的銀行帳戶。自 2025 年 3 月起，黑客組織已成功入侵 3 間大學的 11 個帳戶，並利用這些帳戶向 25 間大學的近 6,000 個電郵地址發送釣魚郵件。攻擊者主要針對美國高等教育機構的員工，透過精心設計的社交工程手法進入 Workday 等第三方人力資源 SaaS 平台。值得注意的是攻擊者並非利用軟件漏洞，而是透過釣魚技術及缺乏抗釣魚多因素認證保護的弱點來控制帳戶。

去年 MGM 發生網絡入侵事件，旗下賭場和酒店的網絡無法運作幾天，損失不少。最近英國與美國合作，最近終於將疑犯逮捕，涉嫌

不少行銷人員都會使用電郵群發服務 Mailchimp，他們去年 8 月遭到網絡攻擊，事隔不足半年，最近系統又被入侵，幾十

現時不論大小規模的系統入侵，有不少都不是直接攻擊系統，而是透過社會工程攻擊盜取目標組織的登入資訊，取得系統權限再入侵。有

不少人可能依靠其他防毒軟件也不相信 Windows 內建的 Windows Defender，但微軟沒有放棄之餘，更推出 Windows Defender Advanced Threat Protection。這個防毒軟件收集 10 億部 Windows 裝置的數據，透過雲端偵察系統的可疑行為，保護用戶免受零時攻擊和社交工程攻擊。

如果有人自稱是你的朋友，然後要你匯款幫他還錢，相信各位讀者已知道這是騙案吧。然而世上仍有不少人沒有這個意識。美國 FBI 指不少企業被聲稱是 CEO 寄出的電郵詐騙，導致全球企業在兩年內損失超過 20 億美元，受害者已超過 12,000 個。看來他們要多了解騙徒的犯案手法了。

不一定人人都討厭網站上的廣告，但如果那些廣告偽裝成「假下載」、「假更新」，相信人人都十分厭惡。除了設計問題，最關鍵的地方是它們欺騙用戶點擊，甚至會傅播惡意軟件。幸好 Google 現正嚴打帶有這類廣告的網站，訪客進入這些網站時會顯示警告。

Paypal 的網絡保安措施或許沒有想像中的好。外國有資訊保安專家表示，他的 Paypal 帳戶在平安夜兩度被黑客入侵，並試圖向一個已死的 ISIS 成員匯款。他認為事發原因不是他的密碼外泄，而是有人透過社交工程的手段斯騙 Paypal ，從而控制他的帳戶。