NetSafe.TW

recent posts

about

分類: 網路安全

  • 台灣海底光纖最新障礙狀況(2026/6/11)

    關鍵變動總結(2026/5/26 → 2026/6/11)

    面向5/26 狀況6/11 狀況變動
    故障總數5 條異常3 條異常減少 2 條(EAC1 已修復)
    新增故障APG 關丹斷線APG 新增峴港斷線 + TM3 新增馬祖受損增加 2 處
    延期修復TDM2 逾期、TSE-1 延期 4 天TDM2 延期至 11/30(再延期 6 個月)TSE-1 已修復(前表無此項)
    已修復EAC2、ApricotEAC1(二次故障點同時修復)再增加 1 條
    總海纜數25 條(15 國際 + 10 國內)25 條(15 國際 + 10 國內)22 條正常運作
    民眾影響無影響(備援充足)無影響(備援仍充足)通訊穩定 

  • (MFA漏洞) 3600萬新台幣去旅行時被洗劫一空, 手法高端

    這是 TVB《東張西望》節目於 2026 年 6 月 11 日播出的報導,詳細講述了一位退休女士楊女士在搭飛機外遊時遭黑客洗劫 900 萬港元積蓄的事件。以下是詳細講解被詐流程及事件總結:

    事件概述

    關鍵資訊內容
    受害者楊女士(退休人士,先生曾任網絡保安工作)
    損失金額約 900 萬港元(100 多萬美金)
    發生時間2025 年 12 月 19-22 日
    發生地點飛機上(香港→哈爾濱,飛行約 5 小時)
    作案手法黑客入侵證券戶口,賣清股票並高價買入末日期權

    被詐/被黑客行騙全流程

    1️⃣ 前期入侵(釣魚網站)

    • 黑客透過釣魚郵件 Sends 偽裝成證券公司的連結
    • 連結指向與真網站一模一樣的假網站,受害者輸入:
      • Username(用戶名)
      • Password(密碼)
      • FA(Google Authenticator 驗證碼)
    • 黑客即時窃取這三項資訊,並立即 replay 登入真實證券公司

    2️⃣ 伏擊等待

    • 黑客登入後不登出,保持瀏覽器活躍(可能使用 script 維持 session)
    • 伏擊數天,等待受害者外遊、飛機上無網絡的機會

    3️⃣ 瞬間執行(1 小時內清空)

    步驟操作
    賣出楊女士所有美股(累積十幾年的積蓄)
    用賣股票得到的現金(100 多萬美金)高價買入黑客手上的末日期權
    期權到期日為 12 月 19 日,當日無賺錢即全輸掉,資金瞬間蒸發

    4️⃣ 合法轉移手法

    • 黑客沒有直接提款(需 2-3 天手續)
    • 改用期權合約交易形式,表面「合法」轉移資金
    • 每合約 100 股,共千幾萬個期權合約

    關鍵技術漏洞

    漏洞點說明
    雙重認證被破解Google Authenticator 驗證碼 30 秒更新,但黑客在受害者登入時即時 replay 幾秒內完成
    飛機無網絡受害者坐飛機時收不到驗證碼短信/電郵,黑客趁機操作
    通知被攔截黑客預先登入後攔截所有證券公司通知電郵,受害者完全不知情
    異常活動未通報證券公司 12 月 15-19 日 detected 15 次新裝置登入異常,但未電話通知,只发邮件(受害者未收到)

    事件總結與防詐建議

    🔴 証券公司回應

    • 宣稱「合規登入、自己買股票、自己買期權」→ 無責任
    • 拒絕提供電郵發送記錄(私隱條款)
    • 證監會投诉結案:「合規進入自己戶口」

    🔵 專家建議的防詐措施

    措施說明
    Passkey 操作必須用登記過的特定設備(電腦/手機)登入,黑客即使偷密碼也無法用新設備登入
    不撳不明連結絕對不要點擊來歷不明的郵件/短信連結
    外遊前檢查設備電腦/手機可能已被入侵,外遊前建議檢查
    電話確認異常發現異常登入時,證券公司應電話通知而非只發邮件

    P.S,
    1. 分散投資
    2.財產放在可靠的機構(如銀行)
    3.清醒時才處理財務!
    4. 不要完全使同一平台及帳號, 重要的用 APPLE ID 並使用 Face ID

    1. 台灣海底光纖最新狀況與變動(2026/5/22 更新)

      序號海纜名稱故障日期故障情形原因(官方/專家推測)替代路由預計修復日期權益變動說明
      1東亞交匯一號 (EAC1)114/8/22新北八里 206km 部分芯線損船舶走錨或拖網勾損 EAC1 其他115/6/5 → 115/6/15 (+10 天) 修復延期:二次故障 (115/5/12) 新北八里 116km 漏電,需延長修復
      1東亞交匯一號 (EAC1)115/5/12 (新增)新北八里 116km 部分芯線漏電外力損壞或老化 EAC1 其他115/6/15 新增故障:同一纜線新增故障點
      2臺馬二號 (TDM2)114/10/7淡水沙崙 180km 部分芯線損外力損壞或自然劣化 臺馬三號115/5/29 (已過期) 修復逾期:仍待修,截至 5/26 未恢復
      2臺馬二號 (TDM2)115/3/7淡水沙崙 23.6km 斷纜外力損壞或自然劣化 臺馬三號115/5/29 (已過期) 修復逾期:仍待修,截至 5/26 未恢復
      3海峽光纜一號 (TSE-1)114/10/26淡水 160km 部分芯線損海床變動或船舶 同海纜其他芯線115/6/10 → 115/6/14 (+4 天) 修復延期:多 4 天
      4東亞交匯二號 (EAC2)115/3/17新北八里 27.9km 斷纜船舶走錨勾損 C2C115/5/25 (已修復) 已修復:較預期提前完成 
      5杏子 (Apricot)115/1/3宜蘭頭城 49.6km 斷纜地震或海底滑坡 NCP、APG115/5/21 (已修復) 已修復:較預期提前完成 
      6臺馬三號 (TM3)115/3/30東引 2.64km 部分芯線損抽砂船或漁船勾壞 微波115/7/31 (不變) 進度正常:仍按原計劃修復
      6臺馬三號 (TM3)115/4/29東引 2.64km 斷纜抽砂船或漁船勾壞 微波115/7/31 (不變) 進度正常:仍按原計劃修復
      *亞太直達 (APG)115/5/20 (新增)馬來西亞關丹 65km 處斷纜非台灣登陸段,外部段落 APCN-2、SJC2115/6/20 新增故障:非台灣區域,僅造成部分亞洲網站延遲

    2. (DNS) 自建免費Technitium DNS服務器(可過瀘, 可主從架構)

    3. 開放式Wi-Fi (第五篇:iTaiwan vs Japan Wi-Fi auto connect)

      項目iTaiwan(台灣)Japan Wi‑Fi auto‑connect(日本)
      服務主體台灣政府推動的公共 Wi‑Fi 服務日本 NTT-BP 推出的自動連線 Wi‑Fi 服務
      主要定位提供全民與旅客免費上網,重點在普及與便利提供旅客與通勤者自動連線,重點在無縫漫遊體驗
      登入方式連上 iTaiwan 後,瀏覽器導向登入頁,依現行流程同意使用條款後即可上網;部分情境仍會搭配帳號/認證管理先在 App 完成設定,之後進入支援熱點可自動認證與連線
      是否需要 App一般不需要通常需要先安裝官方 App
      連線體驗可在多個熱點使用,但仍偏向「手動進入、瀏覽器確認」走到相容熱點時可自動連接,幾乎不需手動操作
      Wi‑Fi 傳輸加密前端屬開放式網路,使用者流量在無線層不以 WPA2/WPA3 做保護以 App 與認證流程為主,實際熱點可依場域採用不同的 Wi‑Fi 保護機制
      安全考量有使用條款、紀錄留存與管理機制,但官方也明示傳輸本身不加密;適合一般瀏覽,不適合敏感資料操作強調認證與自動化連線,適合頻繁移動與多熱點切換,但仍建議搭配 HTTPS/VPN
      適合使用者一般民眾、旅客、公務與日常查詢用途旅遊、商務、跨場域移動頻繁的使用者
      場景特性政府機關、圖書館、車站、醫院、博物館等公共場域機場、車站、飯店、商店、景點等旅遊與交通場域
      可改進方向若未來導入 Passpoint / OpenRoaming,可提升自動連線與安全性持續擴大覆蓋與跨平台支援

      整體來看,Japan Wi‑Fi Auto Connect 在安全性、連接方便度、管理度與使用體驗上,都比 iTaiwan 更成熟;而且 JWAC 直接支援 WBA(Wireless Broadband Alliance)的 OpenRoaming,因此全球 OpenRoaming 使用者都能自動連接到其服務。作為喜歡旅行的人,也真心希望 iTaiwan 未來能提供同等級的體驗,尤其是在機場與酒店等場所,能夠自動連上安全、穩定的網路,那就最理想了。

    4. 開放式Wi-Fi (第四篇:Passpoint)

      Passpoint 是 Wi‑Fi Alliance 推動的 Wi‑Fi 自動認證標準,目的是讓裝置能像使用流動網路一樣,自動發現、驗證並連上可信任的 Wi‑Fi 熱點,而不必每次重新輸入帳號密碼。 在實際應用上,Passpoint 常作為 OpenRoaming 的技術基礎,因此兩者經常一起出現,但層次並不相同。

      Passpoint 的作用

      Passpoint 的核心,是讓裝置預先知道哪些 Wi‑Fi 網路可信、如何認證,以及是否符合自身的漫遊或身份設定,從而實現自動連線與加密傳輸。 它通常配合 WPA2‑Enterprise 或 WPA3‑Enterprise,以及 802.1X/EAP 等機制使用,比傳統開放式 Wi‑Fi 或共享密碼模式更安全。

      Passpoint 的常見實例

      最常見的例子,是電信營運商或大型場館利用 Passpoint 讓用戶在機場、商場、車站、校園或企業大樓內自動連上 Wi‑Fi,無需每到一個地點都重新登入。 這種模式也常被用於流量卸載,讓原本走 4G/5G 的流量,自動切換到受保護的 Wi‑Fi 網路,改善使用體驗並減輕行動網路負荷。

      在裝置層面,Android 與 Windows 都已支援 Passpoint,表示現代手機、平板與筆電可以直接透過系統設定檔,連接支援 Passpoint 的熱點,而不一定要依靠傳統 Captive Portal 登入頁。

      OpenRoaming 與 Passpoint 的關係

      OpenRoaming 可以理解為建基於 Passpoint 之上的全球互通機制。Passpoint 解決的是「如何安全地自動登入 Wi‑Fi」,而 OpenRoaming 進一步解決「如何讓不同機構、不同地點的 Wi‑Fi 可以互通漫遊」的問題。

      換句話說,Passpoint 偏向技術標準,OpenRoaming 則偏向跨機構的聯盟與生態系。沒有 Passpoint,OpenRoaming 很難做到真正安全與自動化;而有了 Passpoint,也不代表一定已加入 OpenRoaming。

      OpenRoaming 的實際例子

      日本已經出現相當具代表性的 OpenRoaming 應用,例如 NTT 旗下的 Japan Wi‑Fi auto-connect,在更新後已支援 OpenRoaming,使用者只需在 App 內完成一次設定,之後在支援的熱點範圍內便可自動連線。 這類熱點可出現在車站、景點、商場、機場及其他公共空間,讓旅客不必每到一處都重新註冊或輸入密碼。

      另一類例子是 OpenRoaming 官方 App 與 OpenRoaming Connect by Wefi。這些應用程式可將用戶身份寫入裝置,讓手機在世界各地支援 OpenRoaming 的熱點之間自動漫遊連線,使用方式接近「Wi‑Fi 版的國際漫遊」。

      為何這類技術重要

      相比一般免費 Wi‑Fi 每次都要輸入密碼、點選登入頁,Passpoint 與 OpenRoaming 讓 Wi‑Fi 變得更接近流動網路:自動、加密、可管理,也較難被假冒熱點或明文傳輸攻擊利用。 對使用者而言,這提升了便利性與安全性;對場地方而言,則有助於集中管理、提升體驗並減少前線人員處理 Wi‑Fi 問題的壓力。

    5. 開放式Wi-Fi (第三篇:保護自己)

      保護自己:在開放式 Wi‑Fi 下的使用者防護策略

      開放式 Wi‑Fi 的風險,最終很大一部分需由使用者自身去防範。在無法完全控制網路環境的前提下,只要養成幾個基本習慣,就能大幅降低被攔截、竊取資料或帳號遭盜用的機會。

      1. 只用安全加密的網路,避免「來路不明」的開放 Wi‑Fi

      在連線前,先確認該 Wi‑Fi 是否有加密,並採用 WPA2‑AES 或 WPA3 等較新標準,而不是完全無密碼或使用 WEP 等舊式加密。 若現場同時有「免費開放」與「需要密碼」兩種熱點,優先選擇需要密碼且可信來源的那一個,並主動向場地人員確認正確 SSID,避免誤連假冒熱點。

      有些國家或場所會透過自家APP向用公眾提供資訊及下載免費Wi-Fi的認證,用戶到達覆蓋地點就會自動連接不用輸入用戶及密碼,為了安全考慮用戶在需要時才開啟Wi-Fi及必須使用VPN。

      下一篇將詳細介紹這頖APP及相關技術及安全風險。

      2. 全程使用 HTTPS,必要時使用 VPN

      在開放式 Wi‑Fi 上瀏覽網頁時,務必確認網址欄顯示 https:// 與鎖頭圖示,避免在 HTTP 網頁上輸入帳號、密碼或任何個人資料。 若你必須在公共 Wi‑Fi 上處理敏感資料(例如遠端工作、企業系統、銀行或支付平台),建議全程啟用 VPN,讓所有流量在離開裝置前就已加密,駭客即使在同網路中監聽,也難以解讀內容。

      3. 關閉自動連線與檔案分享,減少被攻擊面向

      許多裝置會預設「自動連接已知 Wi‑Fi」,這在公共場所反而是風險,因為一旦遇到名稱相同但實為惡意的假冒熱點,裝置就會自動連上。 建議停用自動連線功能,並在不使用 Wi‑Fi 時關閉無線,同時將網路狀態設定為「公用」,讓系統自動關閉檔案與印表機分享、遠端桌面等高風險功能。

      4. 保持系統與 App 更新,並避免不明下載

      公共 Wi‑Fi 常被用來作為惡意網站與釣魚連結的入口,若裝置系統、瀏覽器或防毒軟體沒有及時更新,就可能被利用已知漏洞植入惡意程式。 建議啟用自動更新,並在公共網路環境中,不隨意點開短連結、開啟郵件附件或下載來源不明的程式與檔案,避免裝置被長期監控或用作攻擊跳板。

      5. 以強密碼+雙重驗證(2FA)保護帳號

      即使在不安全的網路中,只要帳號本身有足夠防護,駭客即便攔截到部分憑證,也不容易直接登入。 建議所有重要帳號(如信箱、銀行、社交平台、企業系統)都使用難以猜測的獨立密碼,最好搭配密碼管理器統一生成與儲存,並啟用 2FA 或一次性驗證碼,進一步提高防護門檻。 連線結束後,記得登出帳號,而不是讓會話長期保持在「登入」狀態,及使用 VPN!!!

      6. 在開放式 Wi‑Fi 上「節制」敏感操作

      最簡單也最有效的防護,就是「把最敏感的業務留在安全環境執行」。在餐廳、咖啡廳、酒店或會展中心的開放 Wi‑Fi 上,建議只用於查資料、收發一般郵件或瀏覽網頁,盡量避免進行銀行轉帳、支付扣款、登入企業內部系統或傳輸機密文件。 若真的必須完成高風險操作,可改用行動數據或回到家中再進行,讓自己的個人與商業資產暴露在最少風險之下

    6. 開放式Wi-Fi (第二篇:減少風險)

      1. 資料攔截與中間人攻擊(MitM)

      Wi‑Fi 應改用最新的加密傳輸標準,最低也應採用 WPA2‑AES;雖然 WPA3 更安全,但目前並非所有設備都支援,因此實務上仍需兼顧相容性。密碼可透過 QR Code 張貼或發放,讓使用者方便連線之餘,也能減少明文傳遞密碼所帶來的風險。

      2. 偽造 Wi‑Fi 熱點(Rogue AP)

      場地應部署無線入侵偵測與防護系統,持續監控是否出現與官方網路名稱相似、但未經授權的惡意 AP。這類機制能及早發現假冒熱點,降低使用者誤連的機會。

      3. 窺探與封包監聽

      Wi-Fi 每個使用者的資料都會經由無線訊號傳送,因此若未加密,封包很容易被攔截。只要採用 WPA2‑AES 等加密方式,即使資料在空中傳輸,駭客也難以透過監聽直接讀取內容。另外用戶數據在後台網路設備的資料鏈路層也要完全獨立,這點最易被悉忽略。

      4. 裝置與帳號後續風險

      前述第 1 點與第 3 點的措施,已能有效降低裝置被竊聽、帳號被盜用及會話遭攔截等後續風險。換言之,只要基礎加密與傳輸保護做好,大部分延伸性的帳號安全問題都能大幅減少。

      5. 網路層攻擊與服務阻斷

      提供給公眾或顧客使用的網路,應一律視為不可信任環境,因此除了無線層加密外,網路內部也必須具備足夠的政策與硬件資源,以防範掃描、濫用、阻斷服務等攻擊。也就是說,安全不能只停留在「可連線」,而要延伸到整體架構與流量管控。

      6. 無法信任的網路管理員與合規風險

      與其把網路設計成完全開放、缺乏管控,不如由具經驗的管理人員統一維護與監督,才能兼顧安全、穩定與使用體驗。這樣不但能減輕前線工作人員的負擔,也能讓使用者獲得更安心、順暢的上網體驗,形成較理想的營運模式。

    7. 開放式Wi-Fi (第一篇:安全風險)

      開放式 Wi‑Fi 之所以風險高,主要在於「任何人可自由連線」與「傳輸加密程度不足」兩大特性,使得攻擊者能輕易介入使用者與網路之間。以下集中說明幾類典型風險,不綁定特定行業。

      1. 資料攔截與中間人攻擊(MitM)

      在開放式 Wi‑Fi 上,若未啟用加密(如 WPA3‑AES)或服務本身未使用 HTTPS,資料會以明文或半加密方式傳輸,攻擊者可透過封包監聽工具攔截內容。 風險包括:

      • 帳號與密碼竊取:在未加密網站或弱加密服務上登入,登入請求與 Cookie 可被直接讀出,導致帳號被劫持。
      • 金融與支付資料外洩:若在 Wi‑Fi 上進行電子銀行、購物付款或輸入信用卡資訊,明文或未完整加密的交易資料可能被完整擷取。

      2. 偽造 Wi‑Fi 熱點(Rogue AP)

      攻擊者可在附近架設一個與官方名稱(SSID)極度相似的開放式熱點,例如「Cafe_Free_WiFi」「Hotel_Guest」等,誘使用戶連線。 一旦連線成功,所有流量都會經過攻擊者設備,造成:

      • 流量轉向釣魚頁面:惡意 AP 可將用戶導向外觀如同官方登入頁、銀行或社交平台的釣魚網站,誘導輸入帳號密碼。
      • 惡意軟體注入:在 HTTP 資源未加密的情況下,對方可篡改下載內容,將惡意程式或惡意腳本插入到正常網頁或更新檔中。

      3. 窺探與封包監聽

      開放式 Wi‑Fi 屬於共享媒介,攻擊者只要在同一頻道內,即可使用封包分析工具(如 Wireshark、專用監聽設備)監聽無線流量。 即使部分網站改用 HTTPS,仍可能:

      • 推斷使用者行為:從網域、IP 與 DNS 請求推斷使用者瀏覽哪些網站、使用哪些服務。
      • 捕捉弱加密或未加密服務:某些 App、IoT 裝置或內部系統仍未完整加密 API 傳輸,可能暴露帳號、裝置資訊甚至內部架構。

      4. 裝置與帳號後續風險

      使用者在開放式 Wi‑Fi 上的行為,會對「裝置本身」與「已綁定帳號」帶來長期風險:

      • 裝置被植入惡意程式:若連線到惡意 AP 或被導向惡意網站,可能觸發自動下載或誘導安裝偽裝成「更新」的惡意軟體,日後持續監控或竊取資料。
      • 會話與 Cookie 竊取:諸如 Cookie、API Token 等未加密或未正確保護的憑證可能被竊取,攻擊者可在後續直接使用這些會話,不需要知道密碼即可登入帳號。

      5. 網路層攻擊與服務阻斷

      攻擊者在成功連上同一開放 Wi‑Fi 後,還可發動更底層的網路攻擊:

      • ARP 欺騙/中間人架橋:讓其他裝置誤認攻擊者為「路由器」,將所有封包經其轉發,從而達到監聽甚至篡改內容的目的。
      • 服務阻斷(DoS)或頻寬耗盡:透過大量垃圾封包或耗用頻寬的工具,使整體 Wi‑Fi 網路遲滯或無法使用,影響所有使用者體驗。

      6. 無法信任的網路管理員與合規風險

      在開放式 Wi‑Fi 上,使用者通常無法知道「誰是管理者」以及「他們如何處理資料」。 這會帶來:

      • 日誌與資料外洩:若管理員本身不具備安全意識,可能未妥善保護登入日誌、用戶 Email、手機號碼等,一旦伺服器被入侵,大量個人資料外洩。
      • 法律與個資合規壓力:若使用者在該網路進行金融交易或處理敏感資料,而網路未提供足夠安全環境,經營者可能在事後被視為未盡合理防護責任,面臨投訴或監管審查。

    8. 用radius 建立安全、方便管理用戶的Wi-Fi網路

      現時不少 Wi‑Fi 網路仍然依賴一組共用密碼,這種做法雖然方便,但長遠來看會同時帶來安全和管理上的混亂。當同一個密碼被多人共用後,一旦有人外洩、離職,或把密碼轉傳出去,整個網路的保安就會受影響,而且管理者很難追查問題來源。

      相比之下,用 RADIUS 建立 Wi‑Fi 網路,可以把驗證方式改為「一人一帳號」或配合憑證登入。這樣不但能避免多人共用同一組密碼,也能清楚記錄每個人的登入情況,方便審計與追蹤。當某位員工離職時,只要停用該帳號即可,無需更改全公司的 Wi‑Fi 密碼,操作上更簡單,也更不容易出錯。

      對 IT 管理者來說,單一密碼最大的問題不是記憶困難,而是缺乏控管。密碼常常被寫在紙上、貼在牆上、透過訊息轉發,甚至長期不更換,令風險不斷累積。RADIUS 透過集中式管理,把權限、身份和記錄都統一起來,令網路安全制度更清晰。

      因此,若要建立一個既安全又方便管理的 Wi‑Fi 網路,RADIUS 是比單一密碼更成熟的方案。它能減少密碼混亂、提升可追蹤性,並讓企業、學校或共享空間的網路管理更有秩序。如果環境已經使用 AD,便可以直接結合 AD 的 RADIUS 服務,將使用者帳號、群組權限與 Wi‑Fi 驗證統一管理;若沒有 AD,也可以改用獨立的 RADIUS 伺服器,配合本機帳號、資料庫或憑證系統來建立同樣安全的驗證架構。