1. 【軟體工具】7-Zip 爆發高風險漏洞,舊版本恐成駭客後門
- 摘要: 許多同仁習慣使用的解壓縮軟體 7-Zip 近期被發現存在重大安全漏洞。駭客可透過製作「惡意壓縮檔」,當您點開檔案時,便能繞過 Windows 的安全警示(Mark-of-the-Web)或直接在電腦中執行惡意程式。由於 7-Zip 不會像 Chrome 或 Windows 一樣「自動更新」,請務必手動檢查版本。
- 建議行動: 請開啟 7-Zip 檢查版本(說明 > 關於 7-Zip),若版本過舊,請立即至官網下載最新版安裝。
- 參考連結: 國家資通安全研究院
2. 【軟體下載】資安院示警:假冒 LINE 安裝檔流竄,誤點廣告恐中毒
- 摘要:國家資通安全研究院(資安院)於 2025 年 12 月發布警示,發現駭客利用搜尋引擎廣告(SEO Poisoning)手法,讓「假冒的 LINE 下載頁面」出現在 Google 搜尋結果的最上方。同仁若在公務電腦搜尋「LINE 下載」並誤點假連結,下載到的安裝檔內含惡意程式,安裝後電腦將遭植入木馬,導致帳號密碼與公務資料外洩。
- 建議行動:下載 LINE 電腦版時,請務必確認網址為官方網域 (line.me),建議直接透過電腦內建的 Microsoft Store 或 Mac App Store 下載安裝,避免使用搜尋引擎點擊來路不明的下載點。
- 參考連結: 資安院:偽冒LINE軟體攻擊 誤載恐遭植入惡意程式 (中央社)
3. 【新型詐騙】QR Code 釣魚 (Quishing) 激增,校園環境成熱點
- 摘要: 資安報告顯示,針對教育領域的「Quishing」(QR Code + Phishing)攻擊大幅增加。駭客會偽造看似官方的「問卷調查」、「研習簽到」或「薪資單確認」郵件,並附上 QR Code 要求手機掃描。由於手機資安防護較弱,且 QR Code 無法直接看出網址,容易讓同仁降低戒心輸入帳號密碼。
- 建議行動: 在掃描任何 Email 中的 QR Code 前,請務必再三確認寄件者身分;若手機掃描後要求輸入學校帳號密碼,請立即停止操作。
- 參考連結: 常見詐騙手法與防範 (內政部警政署 165 全民防騙網)
4. 【AI 風險】生成式 AI 資料外洩隱憂,避免上傳學生個資
- 摘要: 隨著 AI 工具(如 ChatGPT、Gemini 等)在教學上的應用普及,資安數據顯示「對話提示詞 (Prompt) 外洩」成為新風險。近半數使用者曾無意間將敏感資料輸入 AI。若老師將含有學生姓名、學號或成績的原始 Excel 檔直接貼給 AI 請求分析,這些資料可能會被 AI 模型吸收,造成個資外洩。
- 建議行動: 使用 AI 輔助行政或教學時,請務必先將資料「去識別化」(如將姓名改為代號),切勿上傳機敏個資。
- 參考連結: 行政院及所屬機關(構)使用生成式 AI 參考指引 (行政院)
5. 【郵件安全】AI 讓釣魚信件「變聰明」,語法不再生硬
- 摘要: 傳統釣魚信件常有簡體字或語法不通的問題,但現在駭客利用 AI 撰寫信件,能完美模仿學校行政單位的語氣(如:教務處通知、考績確認)。這類信件通常會製造「緊急感」,要求同仁在 24 小時內點擊連結處理,否則帳號將停用。
- 建議行動: 收到要求點擊連結的「緊急行政通知」,請先查看寄件者的 Email 地址是否為學校官方網域(@xxx.edu.tw),而非 Gmail 或奇怪的亂碼。
- 參考連結: AI 詐騙成全球主流!趨勢科技揭消費者五大詐騙新趨勢 (iThome)