傑愛得資訊》資安就像餅乾一樣脆弱電信龍頭為駭客與詐團開了一道門縫

資訊安全就像餅乾一樣的脆弱電信龍頭為駭客與詐團開了一道門縫

圖片來源: Google AI

本來，道高一尺，魔高一丈，而偏偏這次是我們自己打破了防火牆，露出一道安全破口。

本來大家接受政府長期宣導，網路防詐防騙，結果現在，電信龍頭為駭客與詐團開了一道門縫。

Google Chrome撤銷中華電信TLS憑證的影響與我們的應對

近來，相信不少朋友在瀏覽網站時，都發現了網路安全領域的一個重大新聞：Google Chrome瀏覽器宣布將撤銷中華電信核發的TLS（傳輸層安全性協定）憑證。

這場事件的起因，是Google基於網路安全的考量，對憑證的簽發與管理提出了更高的要求。Google在2025年5月30日發布公告，指出中華電信及另一家憑證機構Netlock在合規性方面存在問題，未能持續符合Chrome根憑證計畫的要求。因此，Google決定從2025年8月1日起，在Chrome 139及後續版本中，不再預設信任中華電信於2025年7月31日之後簽發的TLS憑證。

這直接導致的結果就是：

透過Chrome瀏覽器造訪使用這些新憑證的網站時，會跳出警告訊息，提醒使用者該網站的連線可能不安全。

TLS/SSL的主要目的，是為了提升網路安全性，確保我們瀏覽網站時的資訊傳輸是加密且安全的。從技術層面來看，保障大家的數位足跡，避免資料被不法分子截取。

本來TLS/SSL安全憑證，是瀏覽網站的安全鎖，幫助民眾了解網站安不安全的提醒與示警，結果因為這個不合規的差錯，導致網站安全瀏覽的警告，可能成為一場誤會。那到底什麼情況的警告是警告？而什麼情況的警告是誤會？

為此，中華電信官方也呼籲，鼓勵使用者暫時改用 Mozilla Firefox 、 Microsoft Edge 、 Apple Safari 等其他瀏覽器，以避免受到憑證問題的影響，確保正常瀏覽體驗。

然而，我們也必須正視一個現實：

Google Chrome 在全球瀏覽器市場中，佔據著絕對的領導地位。根據2025年的數據，無論是桌面裝置還是行動裝置，Chrome的市佔率都高達約65%至67%左右（來源：TechJury、StatCounter Global Stats、Backlinko）。許多iPhone/Mac使用者也因其跨平台同步、豐富的擴充功能等優勢，習慣安裝Chrome App作為主要瀏覽器。因此，雖然建議民眾改用其他瀏覽器是短期內可行的解決方案，但從長遠來看，要讓廣大使用者徹底改變其使用習慣，其可行性其實並不高。這也意味著，部分使用者在過渡期內，仍可能頻繁遇到相關的警告提示。

駭客與詐騙集團的潛在利用手法

然而，我必須提醒大家，這樣的事件也伴隨著潛在的風險，很有可能被不法分子利用。駭客或詐騙集團可能會藉此大做文章，聲稱是因為Google撤銷了TLS憑證，所以某些網站才會出現不安全警告，進而掩蓋其網站本身就不安全，甚至根本就是假冒網站的事實。這對一般使用者來說，將會是一個新的判斷挑戰。

以下列舉幾種可能被利用的手法：

假冒官方公告進行詐騙：

下方繼續閱讀

jAD Ads 聯播廣告

曝光6,625/日成本100/月

下文請點廣告解鎖

投放Google多媒體聯播網廣告(點此)arrow_downward，包含轉換代碼安裝

※ 如果看到投資類型廣告，請再三評估風險！

繼續閱讀keyboard_double_arrow_down

駭客可能會製作假的網頁或發送詐騙簡訊、電子郵件，模仿中華電信、銀行或知名服務供應商的官方通知。這些通知會聲稱：「因憑證更新，您的帳戶需要重新驗證，請點擊以下連結進行操作。」而連結的目標則是一個精心製作的釣魚網站。當您輸入帳號密碼，這些資訊就會立即被竊取。例如，您可能會收到一封來自「中華電信客服」的電子郵件，主旨寫著「重要：您的網站憑證即將失效，請立即更新」，內文則附上一個看似官方但實際是假冒的連結。

散播惡意程式：

詐騙集團可能建立一個看似正常的網站，並宣稱：「由於憑證問題，您的瀏覽器需要安裝『安全修補程式』才能正常瀏覽本站。」一旦您下載並執行這個「修補程式」，實際上安裝的卻是惡意軟體，例如木馬程式、勒索軟體或間諜軟體。這些惡意程式可能會竊取您的個人資料、監控您的網路行為，甚至鎖定您的電腦要求贖金。想像一下，您點擊了一個彈出式廣告，聲稱能「一鍵修復憑證問題」，結果下載的卻是病毒。

尤其有些網站會跳出"您的手機目前遭受感染!"，想要騙你點擊"下載"，民眾本來還不相信，結果切到使用中華電信TLS憑證的相關網站時，確確實實的看到網站被顯示為"不安全"。反而使民眾相信了詐騙點擊手法，讓民眾因此以為手機真的被感染，需要點擊"下載安裝防毒軟體"。

利用社交工程誘導點擊：

攻擊者可能會在社群媒體上發布緊急訊息，例如：「您的網銀憑證已過期，立刻點擊這裡更新，否則帳戶將被凍結！」這些訊息利用人們的恐慌心理，在沒有仔細查證的情況下就點擊不明連結，最終導向惡意網站。他們甚至會利用語音詐騙，假冒客服人員致電，謊稱您的憑證出現問題，並引導您進行「遠端操作」或提供個人資訊，例如，有詐騙集團可能聲稱是銀行客服，告知您：「因應中華電信憑證調整，您的網銀帳戶安全出現問題，請配合指示進行身分驗證。」

山寨假冒高流量網站：

駭客可能會假冒一些平時流量較大的網站，例如新聞網站、購物平台或社群媒體平台。他們會利用憑證問題的說法，解釋為什麼網站看起來不太對勁或者有些功能無法使用，藉此降低您的警惕心，引導您點擊內部的惡意連結，或是誘騙您輸入敏感資訊。這些仿冒網站的網址可能只是差一個字母或多一個符號，非常難以辨識。舉例來說，假冒的政府網站網址可能是gov . tw . secure-update . xyz，而不是正確的 gov . tw。

我們該如何應對？

所以，即使遇到類似的警告，我們仍需保持高度警覺。當您瀏覽任何網站時，除了注意瀏覽器是否顯示「不安全」提示外，更要仔細確認網站的網址是否正確無誤。舉例來說，如果平時習慣上A銀行的官方網站，那麼請務必確認網址是「 https:// www . A銀行 . com」這類官方且帶有鎖頭標誌的網址，而不是「 http:// www . A銀行-安全更新 . com」這類變形網址，或是不帶s的http開頭網址。

當收到任何關於「憑證更新」、「帳戶異常」的訊息時，請務必透過官方管道（例如：銀行官方網站上公布的客服電話）進行查證，而不是直接點擊訊息中的連結或回覆。同時，定期更新您的瀏覽器和作業系統，並安裝可靠的防毒軟體，也能有效提升您的網路防護能力。

總之，提升網路安全是好事，但我們也需要隨時保持警惕，辨別資訊的真偽。希望大家都能安全地暢遊網路世界！

Podcast by Google AI

心智圖 by Google AI (打開)

英文摘要 English Abstract
This source primarily discusses the cybersecurity issues and user impact stemming from the revocation of Chunghwa Telecom’s TLS certificate by Google Chrome.

The article explains the importance of TLS/SSL certificates in ensuring data transmission security and points out that Google’s action was due to Chunghwa Telecom’s failure to consistently meet the requirements of the Chrome Root Program.

Furthermore, the article elaborates on how hackers and scam groups might exploit this incident through various methods such as impersonating official announcements, spreading malware, using social engineering to deceive users, and creating fake high-traffic websites to conduct scams.

Finally, the article provides advice for users to mitigate such risks, emphasizing the importance of staying vigilant, verifying URL accuracy, authenticating information through official channels, and regularly updating software.

#GOOGLE

聯播網：吉傳媒, 傑愛得資訊, 吉拉X, 劉俊宏,

傑愛得資訊》 資安就像餅乾一樣脆弱 電信龍頭為駭客與詐團開了一道門縫

傑愛得資訊》資安就像餅乾一樣脆弱電信龍頭為駭客與詐團開了一道門縫