駭客釣魚攻擊竊Dropbox帳密 資安署建議3步驟防護
2026/3/26 19:17
(中央社記者趙敏雅台北26日電)資安廠商Forcepoint近期示警,駭客透過偽造PDF誘餌,竊取用戶Dropbox登入訊息。數發部資安署指出,這是社交工程郵件攻擊手法之一,提醒民眾使用電子郵件時,切勿點擊可疑連結或下載附件,務必確認寄件者與內容,並刪除所有可疑郵件。
資安署最新一期資安月報指出,Forcepoint揭露近期針對企業的網路釣魚攻擊呈上升趨勢,攻擊者採用複雜的多階段混淆技術,誘騙使用者輸入Dropbox帳號憑證並加以竊取。
Forcepoint分析,攻擊者發送郵件要求使用者查看偽造的採購訂單等,並附帶PDF檔案。這份PDF內有超連結,使用者點擊後會先被導向第2份PDF文件,接著再被引導至偽造的Dropbox登入頁面,要求輸入帳號與密碼。
Forcepoint指出,攻擊者藉此竊取用戶的憑證、系統和位置數據,並可能進一步濫用,如帳戶接管、內部系統存取,甚至用於詐欺行為。
資安署說明,誘導使用者查看偽冒的Dropbox登入頁面騙取帳號密碼,這類案例不脫社交工程郵件手法,因此提升警覺心極為重要,民眾使用電子郵件時,應謹記「停、看、聽」原則。
資安署表示,「停」為不輕信、不點擊,將電子郵件設定為純文字模式,開啟垃圾郵件過濾,並關閉郵件預覽模式,避免直接開啟可疑連結或下載附件。「看」是檢查郵件寄件者與內容,確認是否預期收到或與自身相關,並留意附件檔名。「聽」是必要時向寄件者確認郵件真偽,通知資安人員協助處理可疑郵件,並刪除所有可疑郵件,以降低受害風險。(編輯:林家嫻)1150326
