《TechOrange》每週五挑出國內外資安的 5 件新聞大事，快來一起看看！

＊詐騙電話接不完，台灣大開出第一槍「攔截偽冒 +886 9 國際電話」

台灣近期面臨詐騙電話的嚴重問題，其中一大部分是由於詐騙集團利用國際電話路由，將國內行動號碼偽冒為「+886 9」國際電話，使得民眾容易上當。為了解決這一問題，台灣大哥大成為首家啟動「攔截偽冒+886 9 國際電話」的電信業者，保護用戶免受詐騙電話的騷擾。

此外，台灣大哥大還提供語音警示服務，當用戶接到類似偽冒的國際電話時，會先播放警示語音，提醒用戶需注意。台灣大哥大希望透過這些方法，降低民眾上當受騙機率。

＊調查：亞太區年輕消費者較保護個人隱私，但對企業使用 AI 失去信心

科技產品供應商思科發布《2023年消費者隱私調查》，涵蓋全球 12 個市場，包括亞太區的澳洲、中國、印度和日本。調查顯示，亞太區年輕消費者在保護個人隱私方面表現得更為積極。具體來說，51% 的 18 至 24 歲受訪者曾行使資料主體近用權，而 55 至 64 歲的受訪者中，這一比例僅為 11%，意味著年輕消費者更加關心自己的隱私權。

此外，雖然大多數亞太區受訪者認為 AI 可以改善他們的生活（58%），但他們對企業如何使用自己個資應用於 AI 仍感到擔憂。事實上，有 59% 亞太區受訪者表示，由於企業使用 AI，他們對這些企業失去了信心。思科執行副總裁暨法務長 Dev Stahlkopf 強調，企業在使用任何與 AI 有關的事物時，都應該尊重隱私和人權。

＊用戶擔心生成式 AI 回答不準確大過個資外洩，專家提出警告

一項由網路安全公司 ExtraHop 進行的調查，訪問超過 1200 名 IT 人員，提供了企業對生成式 AI 工具，如 ChatGPT 和 Google Bard 採用的新觀點。調查指出，對於使用這些工具的企業，安全性並不是他們主要關注焦點；相反地，他們更擔心回答不準確，而不是客戶或員工個人資訊遭到暴露，甚至出現商業機密洩露的問題。

AI 服務提供商 Ontinue 的安全營運副總裁 Craig Jones 對此表示警告，在與大型語言模型互動時，可能會無意間導致用戶敏感資訊就此暴露；因此，需要強大的資料處理框架來防止外洩。他建議，使用這些工具的企業需要嚴格評估，員工使用大型語言模型時如何處理資料，同時定期審核和更新做法是否恰當。

＊美國資安機關發表資安指南，列出 10 大資安錯誤設定

美國國家安全局（NSA）與網路安全暨基礎設施安全局（CISA）發表了一份資安指南報告，詳細列舉了目前最常見的 10 大資安設定錯誤。這份報告是基於兩大機構內部的資安紅隊與藍隊進行模擬攻防結果所編撰，旨在協助公私部門強化資安防護能力。

10 大資安錯誤設定如下：

1. 使用軟體或應用程式的預設設定值。
2. 未妥善區分一般使用者與管理者帳號權限。
3. 內部網路監控不足。
4. 網路分區設定不當。
5. 軟體更新管理不當。
6. 忽略系統存取控制限制。
7. 多階段登入驗證防護薄弱或設定錯誤。
8. 針對網路分享或服務的存取控制清單設定不夠妥善。
9. 未能妥善進行密碼清理作業。
10. 未限制程式碼執行。

CISA 更進一步指出，由於許多軟體開發商在設計階段未能將資安防護列為首要考慮，導致使用者必須額外投入資源進行防護。因此，該機關建議各組織應依照這份指南報告，檢視自身資安設定，並採取必要的改善措施。

＊ 22% 網路釣魚攻擊透過 QR Code，且不到 4 成員工成功識別威脅

一項測試資安警覺性的 Hoxhunt 挑戰賽，透露企業員工對網路釣魚攻擊的敏感程度。該研究涵蓋 9 個行業中的 38 家企業組織。結果發現，本月（10 月）有 22% 的網路釣魚攻擊是使用 QR Code 來傳送惡意內容，且只有 36% 的受測者成功識別出攻擊，這使得大多數企業組織員工都容易受到網路釣魚威脅，值得一提的是，零售業上當機率最高，而法律和商業服務業在識別可疑的 QR Code 方面表現最佳。

網路安全管理公司 Tanium 首席安全顧問 Timothy Morris 評論說，QR Code 已成為我們日常生活中的一部分，因此建議用戶對透過 Email 收到的 QR Code 抱持高度懷疑態度；此外，Hoxhunt 挑戰賽也指出，工作者身份也會影響受騙機率，例如通訊人員上當機率是普通員工的 1.6 倍；相對地，需要負擔法律責任的員工上當機率最小。

本圖/文由「Techorange科技報橘」授權刊登，非經同意不得任意轉載。
原文出處：【10/14-10/20 資安一週大事】詐騙電話接不完？台灣大出手了——攔截偽冒 +886 9 國際電話