果核分享資安菜鳥到資深的經驗歷程，並深度剖析詐騙犯罪新趨勢

不久前風光落幕的 CYBERSEC 2024 臺灣資安大會，與會者在參觀偌大展區的過程，都會看見「 Cyber Talent 資安人才專區」。這個從 2021 年啟動的平台，顧名思義旨在於深化培育動能，讓學界、在學或在職的資安人才與產業接軌。看到這裡，自然吸引資安新鮮人躍躍欲試，亟欲瞭解在進入資安職場前，如何正確踏上學習旅程。

此外由於金融詐欺、身分盜竊等事件氾濫，讓許多人惶恐不安，急欲探索反詐欺技術與防範措施，亦使「 Fraud 論壇」成為 CYBERSEC 2024 裡備受關注的一環。因此包括資安人員學習之路，及新型態詐騙趨勢剖析，都被果核數位列為 2024 年第二季 Hacker Talk 論壇的焦點主題。

果核數位資深資安顧問 Jack Liu

正確的學習路徑，讓資安菜鳥躋身資深達人

率先開講的果核數位資深資安顧問 Jack Liu，基於個人所見所聞，分享從資安菜鳥到資深的經驗。

他坦言進入職場時，就是一個有滿腔抱負卻全無概念的小白，所幸任職的公司皆給予很大學習空間，使他得以漸漸成長茁壯。他提到剛開始時自己對工作內容的期望與現實有很大差距，不僅需要技術能力，還需要大量文書工作和與客戶的溝通。對工作的認知往往與現實有差距，但更重要的是在這過程中學習和成長，無論在什麼領域，只要有熱情並願意投入時間和精力，就能有所成就。

當天除了簡單介紹資安工作中不同的角色，Jack 還詳細地分享他作為攻擊方的學習方法，首先強調了基礎知識的重要性，扎實的基礎知識是進行滲透測試和漏洞挖掘的前提，不論學習什麼領域，打好基礎都是至關重要的。接著提到學習工具應用，包括滲透測試的輔助工具與自動化掃描工具。前者像是常見的 Nmap、Hashcat、BurpSuite 等等，後者如開源的 OpenVAS 或商用的 Nessus 等等，同時建議安裝 Kali Linux 系統搭配書籍進行學習，能有效提升學習與工作效率，並提到學習工具的使用應該與實踐操作相結合，這樣才能真正掌握技術，這一點對於任何領域的學習都非常有借鑒意義。

在學習漏洞和攻擊技術方面，Jack 推薦了幾個資源，如 OWASP、PortSwigger、Hacktricks 等，並再次強調學習過程中實作的重要性，旨在讓自己熟能生巧，進而在實戰時快速找到漏洞。學習途中，不妨搭配 PortSwigger、Hack the box 或 PentesterLab 等一些線上實驗室來練習，亦可手動架設測試環境、參加 CTF 或參與 Bug Bounty 練習，以熟悉攻擊方式，並驗證學習成果。

另外 Jack 強調了持續學習和更新知識的重要性。他提到參加資安社群和研討會、閱讀資安新聞和文章，以及利用 AI 工具來解決問題。讓參與者能夠認識到，資安是一個不斷變化的領域，只有保持學習的態度，才能不斷提升自己的技能，應對未來的挑戰。

Jack 也藉由自己遇到的踩雷案例來引以為戒，得出像是「工具上預設設定皆有它的考量，修改前先理解其用意為何」、「掃描行為可能造成服務出錯，甚至停止服務，執行前應先告知客戶可能的風險，並請客戶提供測試環境及備份資料，避免服務因掃描而出現無法挽救的錯誤」及「網站功能不止介面上看到的單純，隱藏功能不管是設計者有意為之，或忘記設定關閉，都有可能被意外觸發，導致網站變得不安全」。透過這些 Lesson Learned，一點一滴深化自身工作技能和應變實力。

不可諱言，藉由客戶端實戰洗禮，亦能不斷增長見聞。在這次演講中，Jack 分享了三個客戶案例，分別指出了一些客戶的安全謬誤，例如使用者認為內網主機不易被打，因此並未定期更新，導致執行滲透時，主機可被輕易拿下；客戶端的 ACL 設定較寬鬆，未確實將網段切開，導致由 DMZ 區進來的駭客可在任何網域到處亂竄；最後一個案例提到，資安問題不只涉及技術層面，資安意識同樣重要，釣魚造成的降維打擊，可以直接突破好的系統設計，所以培養資安意識是企業不可缺少的環節。

台北市電腦公會資深顧問劉彥伯（ Paul Liu ）

冀望政府與民間聯手，加強反制數位詐欺

接著由台北市電腦公會資深顧問劉彥伯（ Paul Liu ）登場，剖析風暴般的完美騙局，點出一些讓全球執法機關束手無策的詐騙犯罪型態。

他表示數位詐欺厲害之處，在於犯罪者善利用生成式 AI 等科技，精準做出以假亂真的文字或圖片，讓即使資訊專家照樣受騙。更有甚者，新型態詐騙不只針對一般民眾，受害企業也不在少數。

回顧近年，亞洲各國的詐騙犯罪非常嚴重。以臺灣為例，基本上以身分詐欺、Shopping 詐欺或繳費型詐欺居多；據刑事局統計，2023 年總詐騙損失約 88 億元，若加計未報案的隱藏金額，實際損失恐怕更驚人。

為何詐欺如此嚴重？其實從 2018 年起，詐欺案件數已超越傳統網路攻擊，首先是因為有利可圖，吸引駭客或犯罪組織轉往數位詐欺發展；其餘還包括刑罰低、報案率低、被起訴率更低。

他觀察 2024 年有幾個值得關注的詐欺趨勢。首先是 BEC ，尤其需留意「授權推送支付」（ APP ）；通常犯罪者假扮成真實受款人，說服受害者以不可撤銷的電匯方式，將資金轉入他旗下。所有組織都是目標，無論大小企業、醫院、非營利組織、學校皆應警覺。

建議財務部門接獲付款要求時，務必向當事人當面再確認；另利用 AI/ML 學習 CXO 平常的 Email 寫作方式，對判別真偽也有一定效果。

另一嚴峻議題，便是因 AI 或 GenAI 而加速的社群與偽冒詐騙，例如 Deepfake 、PUA ，在 2024 年都出現增加的趨勢。由於精確度提高，連帶提升辨識難度。

可喜的是，2024 年起反詐欺的力道逐步增強。如全球越來越多政府機關制定相關法規，意在遏阻擋詐欺事件發生。此外有越來越多企業或組織願意投入反詐欺，但仍面臨缺乏足夠資源或技術、缺乏自動化工具以致調查耗時、沒有反詐欺標準可依循等難題。

欲化解反詐欺困境，劉彥伯呼籲一方面主管機關宜儘速訂定相關標準，二方面期待更多公司看見數位金融犯罪防治的契機，願以數據分析、AI 等技術為基底，發展實用的詐欺風險管理工具或服務，甚至匯集政府與企業的力量發展聯防機制，繼而透過 API 形式讓廣大公司行號介接，快速增強反詐欺能量。

總體來說，這場論壇不僅協助資安新鮮人破解迷思，更懂得如何增長技能，更帶領聽眾洞悉最新詐騙趨勢與因應之道，堪稱是深具含金量的資安知識饗宴。

加入粉絲團獲取更多資安/活動資訊