例如，收信软件Outlook在用户收到鲜少往来的电子邮件信箱寄出的信件时，会显示警告消息，提醒用户这封信件可能有问题，这项功能微软称做首次联系安全提示（First Contact Safety Tip），是Microsoft 365当中的Exchange Online Protection（EOP）及Microsoft Defender提供的钓鱼防护机制，如今研究人员发现，攻击者找到方法隐藏这种警示消息，增加网络钓鱼攻击成功率。

资安业者Certitude指出，微软将这项警示消息放置在电子邮件的主体（Body）开头，攻击者其实能借由指定邮件的阶层样式表（CSS）隐藏相关消息。了实际验证上述手法可行，他们在寄出的邮件加入特定的CSS样式表，将背景及字体都变成白色，就能阻止收信人看到警示。

太阳能发电系统存在重大漏洞，若不修补恐导致大规模停电

随着国际局势日趋紧张，黑客针对关键基础设施下手的情况越来越常见，这类设施的安全也得到更大的重视。最近有研究人员发现，特定厂牌的太阳能发电（PV）系统存在弱点，一旦攻击者对其下手，后果将不堪设想。

资安业者Bitdefender发现Solarman的太阳能发电监控平台、宁波德业（Deye）的逆变器存在漏洞，采用这些设备的太阳能发电系统横跨全球逾190个国家、多达1千万个发电设备，能够产生195千兆瓦的电力，占全球太阳能发电五分之一，一旦相关漏洞遭到利用，攻击者就有机会瘫痪电网，从而导致停电。对此，两家供应商在接获通报后，皆着手修补。研究人员也将于DEF CON 32资安会议上，展示他们的研究成果。

单就Solarman而言，这家厂商不只生产相关监控系统，也授权其他厂商生产部分发电基础设施，而且，也有Solarman监控系统搭配其他厂牌逆变器的发电系统，因此漏洞影响范围将超过上述规模。

其他漏洞与修补

◆邮件服务器Roundcube存在漏洞，攻击者可在受害者的浏览器运行JavaScript脚本

◆Google发布Chrome 127更新、Mozilla推出Firefox 129，修补高风险层级漏洞

【资安产业动态】

趋势科技在黑帽大会展示深伪侦测技术，强调企业需重新设想AI时代的网络风险管理

AI资安的风险与机会，已是企业生存发展的重要课题，在美国拉斯维加斯举办的黑帽大会（Black Hat USA 2024），主要议程于本月7日与8日展开，不过今年黑帽大会有个延伸活动相当特别，那就是AI Summit研讨会，于6日抢先登场。趋势科技也在AI Summit发表演说，宣布推出商用的深伪侦测技术解决方案，也呼吁在AI时代下的资安，需朝向新一代网络风险管理方式发展。

事实上，生成式AI的应用与风险持续受到全世界与所有产业的关注，然而，目前绝大多数企业仍不知所措，趋势科技在黑帽大会对此提出说明，协助企业了解有了AI该怎么管理，并期勉大家要懂得用AI来做风险管理，才能因应未来的局势。

近期资安日报

【8月7日】法国博物馆惊传遭遇勒索软件攻击

【8月6日】达美航空、CrowdStrike将针对EDR系统大当机事故对簿公堂

【8月5日】研究人员公布去年中国黑客APT41攻击台湾研究机构的事故