博碩文化

在生活上,從警方偵破的社會案件,也可認識不少與民眾使用網路服務安全有關的知識!

例如,刑事警察局在2018 年9月5日宣布偵破一起網路犯罪事件,與一般民眾雲端服務帳戶被盜有關,甚至還會導致自己的網銀也被盜!在這個偵破的事件中,犯罪者利用許多民眾以電話號碼作為網路帳戶密碼的習慣,入侵用戶Google帳戶,進而盜領網銀存款。

這樣的事件突顯了幾個問題,包括密碼設定不夠安全,兩步驟認證未開啟,以及主要電子郵件帳號外洩嚴重性。

關於這起2018年的新聞事件如下:

刑事警察局公告:偵破黃○岳等8 人網路銀行盜轉集團案

媒體新聞報導:使用者Google 帳戶密碼安全意識不足,導致網銀存款遭盜轉

刑事警察局在9 月5日偵破一起網路犯罪事件,手法是利用許多民眾以電話號碼作為網路帳戶密碼的習慣,入侵用戶Google帳戶,進而將網路銀行存款盜領。(資料來源:刑事警察局與iThome)

這則新聞報導了警方的破案過程:

(一) 一開始有受害民眾報案,銀行帳戶被人盜用並轉帳

(二) 調查掌握情資後,偕同多個單位破案

(三) 破案後公布調查結果

(四) 呼籲民眾注意

從這起社會案件新聞中所提供的調查結果,可以看出犯罪集團是如何進行網路犯罪。原來,犯罪集團是先鎖定了民眾的Google帳戶,用猜出帳號密碼的方式,來登入到民眾的雲端郵件Gmail與雲端硬碟。

為什麼用戶的密碼會被猜出?犯罪集團可能從某個地下管道取得用戶已外洩的個資,包含姓名、郵件、電話等,進而使用這些資訊來嘗試猜出密碼,也真的有部分用戶密碼被猜到。

之後,犯罪集團還會再從被害人的Gmail或雲端硬碟,找出重要個人資訊,包括金融往來資料、密碼,以及身分證件等資訊,目的是要冒用被害人身分,進而撥打電話給銀行客服,變更存戶聯絡電話,在變更成功之後,犯罪集團登入被害人網銀時,就能用變更後的人頭手機門號,接收動態密碼確認身分,來成功登入並盜轉金錢。

認識資料外洩現況

談到這裡,一般民眾可能要建立一些觀念,那就是過去網路服務興起,對個人資料保護較不足,所以許多個資可能早已經被竊取。儘管有些已經網路服務已經著手強化,但你可以想到的是,早期被竊取的資料仍有可能在外流竄。而且,隨著現在帳號越來越有價值,駭客攻擊不斷,因此新的資料外洩事件頻頻傳出。

你可以想像一下,早年網路與數位化的興起,但網路安全的觀念還不興盛,當時資安防護應該比現在少,相對來說,駭客竊取資料會比現在更容易些。

而且,若是這些服務網站在儲存用戶你的密碼時,完全沒有加密,也就是以「明文」的方式保存資料,這更是糟糕的情況,如果有對這些帳號的密碼加密保護,至少還好一點,但駭客仍然有機會去破解。

無論如何,隨著攻擊趨勢不斷增加,儘管近年業者都開始更有意識要求做好資安,但一般民眾或許沒想過,資安真的如此容易就做好嗎?身在暗處的網路攻擊者,只要找到弱點並成功利用,就有機會突破,而相對地,你可以從防禦的角度來想像,只要有一次沒有防禦成功就失敗了。

還有,使用新技術卻管理設定不當的狀況,也一再發生。因此,時至今日我們仍時常聽到,有業者公布資料外洩事件,或是有資料外洩相關事件被資安業者等揭露。

或許你不清楚,資安其實是場不對等的攻防,攻擊方僅需單點突破,防守方卻需要全面防堵,即便現在資安防護越來越受重視,但,所有業者都能一下子就有辦法達到高防護能力嗎?這些業者也都是要逐步強化與提升(當然,很多狀況是業者遭遇後才改善)。因此,對於一般民眾而言,我想應該先對帳密外洩這件事,要有些認知,了解帳密外洩的現況,才會更知道為何要呼籲大家,在不同雲端服務最好不要使用同樣的密碼,以及要開啟雙因素驗證等。

簡單來說,除了網站服務必須持續強化登入安全性的防護,個人同樣也要重視帳號安全。

又是輕忽密碼設定的問題

在刑事警察局偵破的這起網路犯罪事件,第二個要注意的焦點是,他們利用一般人可能用自己電話號碼當密碼的習慣,所以能夠成功登入受害民眾的Google帳號。事實上,許多人為了密碼要好記,就是用自己方便的生日、電話,但是,你想的到,別人也想的到。

也因此,這起犯罪事件用上了這般並非高深技術的手法,卻依然能夠奏效。

資料外洩當心身分冒用風險

第三個要注意的焦點,之後犯罪集團更假冒被害人,撥打電話給銀行客服,變更存戶聯絡電話為犯罪集團持有的人頭電話號碼,然後就能接受認證簡訊,登入你的網路銀行盜轉,再將錢從人頭帳戶提領。

為何駭客能假冒被害人身分呢?

簡單來說,犯罪集團登入到你的Gmail 後,就發現裡面很多有趣的東西,像是有銀行的通知信,甚至也有更多個人資料,因此有機會去冒用你的身分,透過銀行客服打電話變更個人資訊,關鍵更是在變更用戶的手機號碼。因為,現代人的手機與手機號碼幾乎已經成為自己的分身。

因此,對於銀行業者與金融監管機關,看到這樣的消息,就會想到,現在提供民眾方便的服務,透過銀行客服比對資料就能修改用戶電話號碼,是否太過方便而不夠安全,是否需要改成臨櫃持雙證件才能辦理。

而個人也該注意到,你的資料的重要性,以及自己個人郵件電子信箱的重要性,要知道,不肖份子或者也能登入你的其他服務,因為可以用忘記密碼這招,將認證信寄到你的Email,然後重新設定。

因此,對於一般民眾而言,事件中警方有提醒幾件事:

(1)勿設定易於猜解的帳號密碼。

(2)勿將個人資訊、密碼及私密檔案存放雲端,避免因帳號遭人破解後,取得相關資料用於詐騙或其他非法用途。

(3)民眾若是發現銀行帳戶存款有遭盜領的異常情形,請向申設銀行反應及報案。

總結來看,在這樣的社會新聞事件中,可以分成幾個要注意的點:

1. 要先知道個資外洩的嚴重性,新聞幾乎常常都在報

2. 密碼設定最好不要用簡單的生日、電話(也就是自己的個資),以及一些弱密碼

3. 密碼不能太簡單還有很大的原因,這裡犯罪集團只是用很土法煉鋼的猜,其實還有很多自動化執行的工具,用你在其他服務外洩的帳密,去嘗試破解之類。

4. 警方接受筆者採訪時曾說,這類事件受害者都沒有開啟兩步驟驗證。然而現在很多雲端服務其實都提供了較強的雙因素驗證,你曾經注意過嗎?(摘錄整理自第3章)

 書名  生活資安五四三!從生活周遭看風險與資訊安全

羅正漢/著

博碩文化出版

售價:500元

 作者簡介  羅正漢

現於iThome電腦報週刊擔任資安主編,曾擔任技術編輯,負責iThome週刊、專刊與資安年鑑的內容,持續報導商用軟硬體、雲端服務、資訊安全等類型的企業IT解決,同時兼負近年Cyber IQ資安測驗企畫等相關工作,並在2020臺灣資安大會擔任防疫與防駭座談會講者及與談人。工作之餘,參與iT邦幫忙鐵人賽以《生活資安五四三!從生活周遭看風險與資訊安全》作為網路文章系列獲得Security組優選。

熱門新聞

Advertisement