节费盒也有被骇风险　公务机关电话被用来诈骗
https://www.cna.com.tw/news/ahel/202507190019.aspx
（中央社记者苏思云台北19日电）数发部资安署6月资安月报显示，有公务机关使用网络
电话，发现电话节费盒密码遭外部人士破解使用进行诈骗。资安署表示，由于拨打电话显
示为机关来电，严重影响声誉，呼吁机关强化网络电话设备管理，这也是首次观察到电信
公司节费盒密码遭盗用。
资安署6月资安月报显示，发现有公务机关电话遭不明人士盗打进行诈骗的案件，调查网
路电话拨打纪录发现，有透过外部IP打电话，结果是机关使用的电信公司节费盒因为设定
弱密码遭到暴力破解。机关发现后立即变更设备的帐号密码，评估后续使用效益与资安风
险，决定停用。
所谓电信公司节费盒是透过网络打电话，不是透过传统固网，可以降低通话费用。由于这
类案件是外部骇入公务机关网络电话设备，导致对外拨出的电话，也会显示为机关来电，
让接到电话的民众可能误以为是机关来电。
资安署向中央社说明，这是首次观察到电信公司节费盒密码遭破解而被盗用，有通报资安
事件，公部门清查后发现没有影响内部资通系统，但也已经停用。这类电话恐怕对机关声
誉产生严重影响，希望透过分享情资，强化国家整体资通安全防护能量。
资安署指出，网络电话设备如果没有妥善设定帐号密码、防火墙及监控机制，很容易成为
诈骗集团攻击漏洞，造成财务损失、影响政府信任度，提出3点建议。
第1，如果透过远端存取方式管理资通设备，应是“原则禁止，例外允许”。假设机关因
地理限制，提供高雄的人员可远端存取台北的资通设备时，应该要经过审查才能开放远端
存取权限，开放期间应以短天期为限，针对异常连线行为要有管理机制。
第2，强制使用高强度密码、定期更新并移除默认帐密。资安署指出，部分厂商把产品说
明书公开在网络上，内容可能涉及默认密码，如果后续使用者没变更默认密码，易遭有心
人士盗用。
第3，评估设备是否支援定期软件更新与资安修补，避免使用已停产或不受支援的设备。
资安署说，设备出厂后有机会出现资安漏洞，因此需要更新软件，若设备已停产或不再提
供更新，就可能出现资安风险，建议纳入管理流程，透过定期盘点，评估是否淘汰设备。
（编辑：潘羿菁）1140719
现在连来电是公家机关的号码都不能相信了吗