GDPR上路倒數，小心相關網釣活動激增!

歐盟即將於5月25日實施的《歐盟通用資料保護規則》（GDPR）除了讓眾多業者戰戰兢兢之外，也成為駭客的利器，趨勢科技於上周指出，駭客在GDRP的前夕發動大規模的網釣活動，透過電子郵件竊取使用者的個資與憑證。迄今已知的受害者包括蘋果用戶與Airbnb用戶。

GDPR嚴格要求企業蒐集、處理或使用個資時都必須徵求使用者的同意，並規定不管企業規模大小都必須設置資料保護長，也應允許用戶有自由搬動個資的權利，也有權反對自己的個資被剖析或處理，並針對違反規定的企業祭出高額罰款，這讓不少企業都在GDPR上路之前變更隱私或使用條款，並以郵件通知用戶，也成為駭客的最佳媒介。

趨勢在今年4月底的時候偵測到一起新的Apple ID網釣詐騙活動，駭客寄出電子郵件要求Apple ID用戶提供詳細的個人資訊，否則就要暫停服務。當駭客取得用戶的Apple ID與密碼後，就能存取連結該帳號的所有應用。

此外，另一資安業者Redscan也在今年5月初發現一起與GDPR有關的網釣活動，那是針對旅遊網站Airbnb的房東所發出的郵件，宣稱因為採用了新的隱私政策而導致房東無法接受用戶的訂單，要求房東接受新政策，之後房東即會被導至駭客所操縱的網站，並輸入自己的憑證與金融卡資訊，接著駭客就在黑市販賣所蒐集而來的個人資料。

Airbnb則澄清，該站的確寄出電子郵件予用戶，但並未要求用戶輸入憑證，而只需要他們同意新的服務條款。

這兩起事件都在提醒所有的網路用戶都應該特別小心近日的GDPR信件可能包藏禍心。