駭客入侵就在身邊？2025 年最新駭客攻擊手法與馬偕資安事件

駭客入侵真的離我們的生活很遠嗎？2025年才過不到一半，多起資安新聞已引起社會關注。尤其 2 月時馬偕醫院遭受勒索軟體攻擊，成為台灣首例醫院規模的大型資安事件。

駭客對我們的威脅究竟有多大？他們有哪些常見的攻擊手法？今天，嗨雲為您整理了駭客類型與預防方法，以及 2025 年 2 月馬偕醫院的資安事件懶人包。一起來透過這篇貼文，快速掌握資安趨勢！

駭客(Hacker)指擁有高度技術能力，能夠入侵、操控或研究電腦系統與網路的專業人士。當我們說「被駭」，通常指的是電腦、手機、網站或企業系統遭駭客入侵或攻擊，這樣的入侵可能導致資料外洩、系統癱瘓，甚至設備被植入惡意軟體，從而帶來嚴重的資安風險。

駭客的行為動機各異，根據目的和行為方式可分為多種類型，常見的駭客類型如下：

• 黑帽駭客(Black Hat Hackers)： 以非法手段入侵系統，竊取數據、散布惡意軟體或發動攻擊，通常是為了金錢利益或破壞目的。
• 白帽駭客(White Hat Hackers)： 也稱為「道德駭客」，受企業或組織聘請，專門測試系統安全性，協助發現漏洞並進行修補。
• 灰帽駭客(Gray Hat Hackers)： 介於黑帽與白帽之間，可能會在未經授權的情況下測試系統漏洞，但不一定帶有惡意，並可能會將漏洞通報給企業，甚至要求報酬。
• 腳本小子(Script Kiddies)： 指那些缺乏經驗的駭客，通常是使用已有的駭客工具進行攻擊，而非自主開發工具。
• 駭客組織與國家級駭客： 部分駭客為組織運作，甚至受政府支持，專門進行間諜活動、網路戰或針對特定產業發動攻擊，例如進階持續性威脅(APT)攻擊。

駭客攻擊手法有百百種，嗨雲整理了一些常見且對企業構成威脅的攻擊方式：

1. 勒索軟體攻擊(Ransomware)

勒索軟體是一種惡意軟體，會加密受害者的檔案或鎖定系統，並要求支付贖金以恢復存取權限。這類攻擊通常透過惡意電子郵件附件、釣魚網站或弱點攻擊進入企業或個人設備。一旦系統遭到感染，駭客組織可能會威脅公開機密資訊或永久刪除檔案，以迫使受害者支付贖金。

💡 中勒索病毒怎麼辦！勒索病毒的前兆有什麼？怎麼破解？一次看懂！

2. 社交工程攻擊(Social Engineering Attack)

社交工程攻擊是一種透過心理操控手法，誘騙受害者洩露機密資訊或執行特定行為的網路攻擊方式。駭客不僅依賴技術漏洞，還利用人性的弱點，如信任、好奇心或緊迫感，來達成攻擊目的。

• 釣魚攻擊(Phishing)：透過偽造的電子郵件、網站或簡訊，誘導受害者輸入帳號密碼。
• 下餌攻擊(Baiting)：駭客提供看似免費的資源（如破解版軟體、免費禮品、USB 裝置），實則暗藏惡意軟體，一旦受害者下載或插入裝置，就可能感染病毒或被竊取資料。

💡 社交工程攻擊是什麼？認識七大攻擊手法、三大防範策略

3. 分散式阻斷服務攻擊(DDoS，Distributed Denial-of-Service)

DDoS 是規模大且常見的駭客攻擊。駭客組織發動大量伺服器或設備同時向目標發送請求，導致目標伺服器無法正常運行或癱瘓。 💡 DDoS 流量清洗是什麼？流量清洗如何抵禦 DDoS 攻擊？

4. SQL 注入攻擊(SQL Injection)

SQL 注入是一種針對資料庫的攻擊手法，駭客透過輸入惡意 SQL 語句來操控應用程式的資料庫，從而竊取、篡改或刪除資料，甚至獲取系統管理權限。這類攻擊主要發生在網站的輸入欄位（如登入表單、搜尋框、留言區）未經適當驗證和過濾時。

5. 跨站腳本攻擊(XSS，Cross-Site Scripting)

這是一種常見的網頁攻擊手法，駭客會在網頁中植入惡意 JavaScript 腳本，當用戶訪問該頁面時，腳本會在用戶的瀏覽器中執行，進而竊取敏感資訊或執行其他惡意行為。

6. 零日攻擊(Zero-Day Exploit)

指駭客針對尚未被公開或尚未修補的軟體漏洞發動的攻擊。由於這些漏洞在開發商發佈修補程式(Patch)之前就已被駭客利用，因此受害者無法及時防範，風險極高。 💡 零時差漏洞攻擊好危險！連 Cisco 也遭殃？案例分享、解決方案在這

自 2025 年 2 月初起，駭客論壇上出現一名自稱為 CrazyHunter 的人士，公開兜售馬偕紀念醫院的病人資料，開價 10 萬美元尋求買家。這批資料包含 1,660 萬筆病人資訊，檔案大小達 32.5 GB，涵蓋臺北、淡水、新竹、臺東院區，以及臺北與新竹的兒童醫院。

除了資料外洩，醫院內的門急診系統有超過 500 台電腦當機，導致醫師無法打開病歷等問題。這次攻擊不僅影響馬偕醫院，3 月份，彰化基督教醫院也遭受 CrazyHunter 相同攻擊。馬偕紀念醫院與彰化基督教醫院兩起事件，均發生在假日與深夜等資安防護較為鬆散的時段。

目前尚待查證資料是否真正遭竊，但無論如何，衛生福利部與數位發展部已積極應對，並制定出台灣首部「醫院勒索軟體應變教戰守則」，為醫院提供處理此類事件的標準作業程序。針對這波資安攻擊，各企業也應提高警覺，強化自身的資安防護，需要謹慎應對。

一. 強化帳號與權限管理

• 密碼應具備 12 字元以上，包含大小寫字母、數字與特殊符號。
• 啟用 MFA(Multi-Factor Authentication)，即使密碼洩露，也能降低被駭風險。
• 每 3-6 個月更換一次密碼，避免長期使用同一組憑證。

二. 完整的防禦機制

• 安裝防駭軟體，並啟用自動更新，確保防護機制始終處於最新狀態。
• 設置網路防火牆，過濾惡意流量，避免駭客透過開放埠入侵。
• 部署 IDS/IPS（入侵偵測與防禦系統），即時監控並攔截異常流量。
• 修補零日漏洞，避免駭客透過未更新的軟體發動攻擊。

三. 防範社交工程

• 避免點擊來路不明的郵件附件或連結，檢查寄件者地址。
• 只從官方網站或可信來源下載應用程式。

四. 資料備份

• 確保備份檔案離線儲存、異地備援，避免遭受勒索軟體加密攻擊。
• 透過 SIEM（安全資訊與事件管理） 監控系統日誌，發現異常登入、異常存取行為。

防駭客又要防網路攻擊，第一步該從何開始？HiYun 嗨雲提供專業的 WAF 防火牆服務，保障企業網站的安全。立即查看 HiYun 嗨雲的 WAF 服務，或是透過下方表單與我們的專業團隊聯繫，讓我們協助您守護網路安全！

若您需要更全面、有效的資安防護，我們也提供客製化的 資安解決方案，依據您的需求量身打造方案，為您的企業資訊安全層層把關。