編譯／施毓萱 網絡犯罪者利用流行的遊戲標題，在2022年對兒童發起了700多萬次攻擊，而這與2021年相比增加 …

編譯／施毓萱

網絡犯罪者利用流行的遊戲標題，在2022年對兒童發起了700多萬次攻擊，而這與2021年相比增加了57%。這些網絡釣魚攻擊通過模仿Roblox、Minecraft、Fortnite和Apex Legends等全球遊戲吸引年輕玩家。在2022年，總共有超過878,000個釣魚網頁為這四種遊戲創建。

網路犯罪者之所以鎖定父母的設備，是因為兒童往往沒有自己的電腦或手機，通常會使用父母的。因此，這些網路威脅被懷疑是為了獲取父母的信用卡數據和身份驗證資訊。

攻擊者會建立假的遊戲網站吸引兒童的興趣，像Poppy Playtime和Toca Life World這樣為3到8歲兒童設計的遊戲也被發現成為犯罪者的目標。攻擊者會誘導，並讓受害者在釣魚網頁下載惡意文件(malicious files)。在2022年，232,735名遊戲玩家遇到了包括惡意軟體和潛在的應用程式的近4萬個文件，而這些文件會偽裝成最流行的兒童遊戲。

另外，針對年輕玩家的最常見的社交工程學技術涉及提供下載流行的遊戲作弊器和遊戲模組，其中附有如何正確安裝作弊器的手冊。這些說明中，還會特別指出要用戶在安裝前禁用防毒軟體。假設用戶真的按照說明進用防毒軟體，隨著禁用時間拉長，網路犯罪者可能會從受害者的設備上收集到更多的訊息。

資料來源:TH

這篇文章 兒童遊戲成網路釣魚工具　吸引年輕玩家誤觸 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 資安業者CrowdStrike近期揭露，在2022年襲擊了130多家組織的駭客組織0ktapus …

編譯／鄭智懷

資安業者CrowdStrike近期揭露，在2022年襲擊了130多家組織的駭客組織0ktapus重出江湖，將攻擊目標鎖定科技與電子遊戲公司。

據資安報告指出，駭客組織0ktapus又被稱作Scattered Spider、Roasted 0ktapus，是一隻以網路釣魚（phishing）與社會工程（social engineering）手法攻擊科技與遊戲公司，竊取其員工多重身分驗證（MFA）。

根據統計，0ktapus在2022年的攻擊行動破壞了130多家組織，並竊取了將近一萬名受害組織員工的安全憑證。

CrowdStrike在未公開的報告中指出，由於缺乏直接從0ktapus取得的資料，因此對該組織的了解有限。

該報告表示，0ktapus已經在2023年1月重新開始部署網路釣魚網站，並且在保持對業務流程委外（BPO）服務公司、通訊業等傳統的主要目標關注的同時，未來可能把攻擊對象擴大至科技與電子遊戲公司。

儘管調查結果並不清楚0ktapus是否參與最近對遊戲開發商Riot Games的攻擊，報告列出的網路釣魚網站清單中，具有一個針對該遊戲業巨頭設計的偽造網站網址。清單中還出現了假冒如Intuit、Salesforce、Comcast、Grubhub、Roblox、Zynga、TaskUs等大型科技、遊戲與業務流程委外公司的網路釣魚網站網址。

此外，報告還提到，0ktapus的網路釣魚網站主要模仿對象為獨立身份識別提供商0kta的客戶；少部分則是針對微軟（Microsoft）。

除了Salesforce以外，上述在報告中被指稱其網站遭到駭客組織模仿的各大公司並未對報告的發表任何評論。Salesforce發言人Allen Tsai在回覆媒體的信件中表示，公司「了解並監控整個行業的網路釣魚活動」；同時，「沒有跡象表明出現如報告中所述，未經授權者存取了客戶數據的現象。」

資料來源：TechCrunch

這篇文章 <a>駭客組織0ktapus</a>捲土重來  科技與遊戲公司成主要目標 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。