例如，收信軟體Outlook在用戶收到鮮少往來的電子郵件信箱寄出的信件時，會顯示警告訊息，提醒用戶這封信件可能有問題，這項功能微軟稱做首次聯絡安全提示（First Contact Safety Tip），是Microsoft 365當中的Exchange Online Protection（EOP）及Microsoft Defender提供的釣魚防護機制，如今研究人員發現，攻擊者找到方法隱藏這種警示訊息，增加網路釣魚攻擊成功率。

資安業者Certitude指出，微軟將這項警示訊息放置在電子郵件的主體（Body）開頭，攻擊者其實能藉由指定郵件的階層樣式表（CSS）隱藏相關訊息。了實際驗證上述手法可行，他們在寄出的郵件加入特定的CSS樣式表，將背景及字體都變成白色，就能阻止收信人看到警示。

太陽能發電系統存在重大漏洞，若不修補恐導致大規模停電

隨著國際局勢日趨緊張，駭客針對關鍵基礎設施下手的情況越來越常見，這類設施的安全也得到更大的重視。最近有研究人員發現，特定廠牌的太陽能發電（PV）系統存在弱點，一旦攻擊者對其下手，後果將不堪設想。

資安業者Bitdefender發現Solarman的太陽能發電監控平臺、寧波德業（Deye）的逆變器存在漏洞，採用這些設備的太陽能發電系統橫跨全球逾190個國家、多達1千萬個發電裝置，能夠產生195千兆瓦的電力，占全球太陽能發電五分之一，一旦相關漏洞遭到利用，攻擊者就有機會癱瘓電網，從而導致停電。對此，兩家供應商在接獲通報後，皆著手修補。研究人員也將於DEF CON 32資安會議上，展示他們的研究成果。

單就Solarman而言，這家廠商不只生產相關監控系統，也授權其他廠商生產部分發電基礎設施，而且，也有Solarman監控系統搭配其他廠牌逆變器的發電系統，因此漏洞影響範圍將超過上述規模。

其他漏洞與修補

◆郵件伺服器Roundcube存在漏洞，攻擊者可在受害者的瀏覽器執行JavaScript指令碼

◆Google發布Chrome 127更新、Mozilla推出Firefox 129，修補高風險層級漏洞

【資安產業動態】

趨勢科技在黑帽大會展示深偽偵測技術，強調企業需重新設想AI時代的網路風險管理

AI資安的風險與機會，已是企業生存發展的重要課題，在美國拉斯維加斯舉辦的黑帽大會（Black Hat USA 2024），主要議程於本月7日與8日展開，不過今年黑帽大會有個延伸活動相當特別，那就是AI Summit研討會，於6日搶先登場。趨勢科技也在AI Summit發表演說，宣布推出商用的深偽偵測技術解決方案，也呼籲在AI時代下的資安，需朝向新一代網路風險管理方式發展。

事實上，生成式AI的應用與風險持續受到全世界與所有產業的關注，然而，目前絕大多數企業仍不知所措，趨勢科技在黑帽大會對此提出說明，協助企業瞭解有了AI該怎麼管理，並期勉大家要懂得用AI來做風險管理，才能因應未來的局勢。

近期資安日報

【8月7日】法國博物館驚傳遭遇勒索軟體攻擊

【8月6日】達美航空、CrowdStrike將針對EDR系統大當機事故對簿公堂

【8月5日】研究人員公布去年中國駭客APT41攻擊臺灣研究機構的事故