使用者Google帳戶密碼安全意識不足，導致網銀存款遭盜轉

個人雲端帳戶安全問題時有所聞，密碼設定不當再成焦點。上周警方偵破一起網路犯罪事件，是藉由猜出用戶雲端帳號密碼，進而盜領網路銀行帳戶下的存款。

今年7月，刑事警察局接獲銀行及數名被害人報案，銀行帳戶存款遭盜轉一空，損失達數百萬元。根據調查，猜出帳號密碼的該犯罪集團，先從普遍民眾使用的Google帳戶下手，以暴力破解方式，他們利用許多民眾以電話號碼作為網路帳戶密碼的習慣，嘗試登入Google帳戶，再從被害人的Gmail或雲端硬碟，找出金融往來資料、密碼，以及身分證件等資訊。

接下來，犯罪集團成員假冒被害人，撥打電話給銀行客服，以變更存戶聯絡電話，也就是改成犯罪集團持用的人頭電話號碼。

之後犯罪集團開始進行網路銀行盜轉動作，先登入被害人網路銀行，並從人頭電話接收動態密碼，再將帳戶存款轉至另一人頭帳戶，最後由車手將人頭帳戶內的錢提領出。

由於這類網路銀行盜轉，已經嚴重影響國內金融交易秩序，刑事警察局偵九大隊在近兩個月的調查下，於掌握情資後，與臺北市、桃園市、臺中市等警察局共同執行搜索、拘提行動，於9月5日公告偵破這個犯罪集團。同時向民眾呼籲，Google等帳號已成為民眾的重要數位資產之一，他們建議：（一）勿設定易於猜解的帳號密碼。（二）也不要將個人資訊、密碼及私密檔案存放雲端，避免因帳號遭人破解後，取得相關資料用於詐騙或其他非法用途。（三）民眾若是發現銀行帳戶存款有遭盜領的異常情形，請向申設銀行反應及報案。

後續，我們向刑事局確認此事件，因為Google帳戶本身有提供兩步驟認證，不該如此容易被猜出密碼而登入。刑事警察局偵九大隊隊長陳詰昌表示，這些受害者並沒有開啟兩步驟認證，當有新裝置登入自己的帳號的通知也被刪除。

不應直接以容易被猜出的自身個資作為密碼，千萬別輕忽主要電子郵件帳號外洩的嚴重性

在這起事件中，其實突顯了用戶在使用這類雲端服務的問題，包括密碼設定不夠安全，輕忽主要電子郵件帳號外洩嚴重性，以及兩步驟認證未開啟。

面對這樣的資安問題，民眾應該警惕，密碼的設定方式，不要直接以電話號碼等容易猜到的資訊，或是太多人使用的弱密碼，如123456、12345678等，作為密碼使用。用戶必須注意，方便與危機僅一線之隔。

由於過去個人資料保護不足，許多個資可能早已經被竊取。另一方面，雲端服務應用普遍，許多民眾意識不足，常為了方便記憶而使用自己的個人資訊作為密碼，例如生日、電話號碼、學號、身分證號，甚至是常用帳號名稱。這也讓網路犯罪分子有機可趁，只要試著利用這些個人資訊，就有很大的機率猜到密碼。

另外，使用者要注意「撞庫」攻擊的手法，也就是網路犯罪者利用網路上已經外洩的使用者帳號和密碼，嘗試登入在其他網站或平臺，看看能否登入成功並獲得有用的資訊。因此，在不同網站註冊時，最好不要使用同樣的密碼，雖然，這種方式在實務上會增加記憶的困難度，但總比帳戶遭人破解來得安全。簡單一點，重要網站註冊與一般網站註冊的帳號密碼，最好有所區隔，限縮外洩管道。

更重要的是，用戶可能輕忽主要電子郵件信箱帳密外洩的風險，這裡面不僅存放許多個人資訊與資料，同時也包含個人往來的銀行、服務等資訊，當用戶其他雲端服務註冊的帳戶忘記密碼，要重新驗證時，個人主要雲端郵件信箱通常也是接收認證碼的管道，因此，一旦主要電子郵件信箱密碼遭駭，可能導致其他平臺的帳號也被竊取。

過去，在一些資安議程上，我們也曾聽過專家舉例，關於身分證遺失，與電子郵件信箱帳密外洩相比，何者比較嚴重？一般人可能輕忽了郵件帳號遭入侵，所衍生出的各式風險。

另一方面，像是Google等雲端服務都提供兩步驟認證，若是他人獲得你的帳戶密碼時，在不同裝置或IP登入時，會要求以手機等方式獲取驗證碼，來確保登入者為本人，這是現在用戶對於帳戶安全，應該要重視的部分，才能多一層保障。當然，在兩步驟認證的機制下，用戶同時也要注意的是手機的安全與防護。此外，對於當有新裝置登入自己的帳號的通知，用戶自己也必須特別留意。

刑事警察局偵查第九大隊偵破的這起網路銀行盜轉集團案，在查獲贓證物當中，也包含了犯罪分子不法取得的詐騙用個資，用來猜出用戶Google帳戶密碼。（圖片來源：刑事警察局偵九大隊）