社交平台昨日流出一封由 MITRE 向董事會發出的通知書，表明其 CVE 以及 CWE 等其他幾個相關項目的當前合約將於今日（16日）屆滿。CVE（Common Vulnerabilities and Exposures）成立於 1999 年，該計劃由美國聯邦資金支持的 MITRE 負責運作，通過統一的漏洞編號系統，協助業界追蹤及應對公開披露的網絡安全漏洞，一直是全球網絡安全領域的重要基石。

假如合約終止服務中斷，MITRE 預計會對 CVE 造成多重影響，包括：國家漏洞資料庫和公告、工具供應商、事件回應操作，以及各種關鍵基礎設施出現惡化。

CVE 的主要功能是提供一個全球公認的數據庫，由參與機構為已知漏洞分配唯一編號（如CVE-2025-12345）。該資料庫旨在識別、定義和分類公開披露的網路弱點，讓網絡安全專家能夠快速標記和分類每天發現的各種錯誤和黑客攻擊，並根據漏洞的嚴重性制定修補或緩解措施。Microsoft、Google、Apple 等大企業亦有採用 CVE，為工程師提供判斷漏洞威脅級別及優先處理的基礎，重要性不可估量。

復活節將至，香港網絡安全事故協調中心（HKCERT）提醒公眾在網購迎復活節時，宜提高警惕，注意網絡釣魚及假冒網站的風險，以保障個人訊息及免招財務損失。

不少市民會乘透過網絡平台，選購復活節商品或預訂聚會用品。雖然網購便捷且選擇多元化，但消費者亦不免會受到新型網絡詐騙威脅。網絡罪犯經常針對節慶消費熱潮，偽造大量釣魚網站及虛假優惠訊息，伺機竊取市民的個人資料與財產。

據 HKCERT 監測發現，近期有黑客製作假冒網站，冒充 Carousell 等二手交易平台，誘導用戶完成購物。用戶在付款界面選擇「銀行轉帳」時，會跳轉至偽造的銀行付款頁面。該頁面高度模仿本地銀行官方界面，要求用戶輸入銀行帳號、登錄密碼甚至短訊驗證碼。由於整個流程皆嵌入在交易平台內，消費者容易誤判為真實的支付程序，從而洩露敏感財務訊息。

自去年 12 月，Microsoft 威脅情報觀察到一系列利用 ClickFix 社交工程技術，冒充網上旅行社 Booking.com 進行網絡釣魚活動。

酒店業者會收到訛稱來自 Booking.com 的電郵，提示他們處理客戶負面評論或類似情況，並要求他們打開 PDF 或按下連結，以完成 CAPTCHA 驗證其帳號真偽。然而，一旦按指示開啟附件或連結，系統即因而受到攻擊，讓網絡罪犯取得登入帳號和財務資料。

Microsoft 威脅情報安全研究高級總監 Jeremy Dallman 指出：「我們注意到，自 2023 年起出現以 Booking.com 為目標的一連串網絡釣魚活動。最近數月開始，更採用 ClickFix 社交工程技術調整其攻擊策略，顯示出網絡威脅形勢的變化。」

網絡釣魚攻擊（Phishing）長期高踞保安事故排行榜，加上騙徒手法層出不窮，不時出現新的釣魚手法。香港網絡安全事故協調中心（HKCERT）就發現過去一年間，與網絡釣魚相關的連結超過 48,000 條，整體狀況遠較去年高出 1.5 倍；而銀行、金融及電子支付行業更成為重災區。

Sophos X-Ops 團隊近日發布最新研究，揭示網絡釣魚攻擊手法正持續演變且日益猖獗。目前，網絡犯罪分子開始利用可縮放向量圖像檔案（Scalable Vector Graphics，SVG），以繞過系統針對釣魚攻擊和垃圾郵件的防護和過濾系統。

SVG 檔案基於可擴展標記語言（XML），用於表示向量圖形。SVG 不僅能顯示圖像，只要用上 <foreignObject> 這個元素，更可以用於顯示 HTML，並在載入圖像時執行 JavaScript。不法分子便是看準此特性，建立內含網絡釣魚 Excel 表單的 SVG 附件，收件者一旦登入表單的偽 Excel 電子表格，資料提交後即會直接傳送給黑客。