2016-12-01

隨著行動裝置及物聯網系統普及，駭客相應的攻擊也日漸增加，在享受網路便利的同時，也應加強資訊安全相關知能，在可及範圍內，保護個人資料及隱私。

文／陳昊安

某一天，王小姐打開手機，看到朋友傳來的LINE訊息，表示發現許久之前的合照，願一同分享，使用者不疑有它地點進去之後，卻發現儲存的資料被上鎖，威脅使用者交付贖金，否則將加密更多資料──這就是令人聞之色變的勒索軟體（Ransomware，又稱勒索病毒、綁架病毒），光是2016年第一季就造成2.09億美元的損失，2年來損失金額飆漲13倍。

10年來，勒索病毒帶給民眾的困擾不知凡幾，根據趨勢科技全球技術支援與研發中心調查，最心痛勒索經歷排行前三名為：兒時照片找不到、拯救電腦要花錢、重要文件打不開，而今，行動裝置也同樣面臨威脅。

在台灣，行動裝置幾已成為現代生活的基本配備，行動網路、即時通訊及雲端儲存帶給人們許多便利，卻同時存在著風險，而且由於行動裝置及雲端服務更替迅速，多數人的資訊安全意識和知識沒有跟上，就容易受害，現代人必須具備基本的資安警覺，才能在詭譎多變的虛擬世界中，免受其害。

資安警覺1.　做好帳號密碼管理：

阿祥的網路筆記部落格格主暨橙檍數位行銷顧問公司社群行銷總監秦庭祥表示，保障資訊安全的第一步，就是帳號密碼的管理。

混用英文大小寫、數字和特殊字元，設定至少12個字元以上，就能組合出高強度的密碼。較嚴謹的網站在進行密碼設定時會偵測強度，並阻止用戶使用和帳號相同的密碼。通常系統每年會提醒用戶應更換密碼，以保障用戶資料安全，若擔憂資料安全，或者在不熟悉的網站進行操作後，也可以更頻繁地更換密碼。

亞洲大學資訊工程學系副教授陳興忠表示，並非每個人都能記得要經常變更密碼，在不同的網站設定「多」組使用者好記又不易被破解的密碼並不容易，台灣人常用密碼不外乎123456的數字串、個人或親友生日、手機號碼、車牌或門牌號碼等，他提供一個小技巧：在原密碼後面加上A1、Z9這類組合，分配給不同帳號使用。

亞洲大學資工系副教授陳興忠表示，利用簡單的密碼學原理，在原密碼後面有規律地加上A1、Z9等組合，便可設計出多組好記又不易破解的帳號密碼。

陳興忠也建議，若網站提供雙因子認證（2FA，Two-factor authentication），可嘗試啟用。雙因子認證常見的形式，是以簡訊發送臨時密碼至用戶手機，加上帳號原本設定的密碼，才能進行重要資料或密碼設定的變更。惡意者即使獲得帳號密碼，但沒有臨時密碼，所以無法登入。越來越多網站，諸如Yahoo、Twitter和Google等，都提供使用者以雙重認證登錄，讓過程變得更安全；網路金融服務也會使用類似的保障機制。

同一人持有多項行動裝置的情況，現在也很常見，又稱多螢系統，可設定單一行動裝置為認證權杖，是以身分為基礎的增強式存取服務，可以掌控其他行動裝置的動態，甚至遠端銷毀資料。

資安警覺2.　莫讓APP下載成為可趁之機：

行動裝置最常見的惡意攻擊來自應用程式，下載時務必留意列舉權限清單，逐一檢視！相較於桌上型電腦落落長的制式合約，它實在易讀多了。如果應用程式要求的存取權限明顯與它提供的服務不符合，比如手電筒功能要求通話資訊和裝置ID的存取權，就要保持警覺。

新版作業系統可獨立管理存取權限

在iOS系統，所有軟體都是先讓使用者下載安裝，在第一次使用時，才請求使用者開放相關存取權限，而且各項存取權限可獨立開放或關閉，比如首度使用LINE通話功能，它會請求開放麥克風權限，GPS定位可以不用開放，可善加管理利用。

過去，在Android系統下載APP都是封包下載的形式，不同意整串存取權限就不能使用APP；升級Android 6.0後，也採獨立開放權限的形式，並可隨時進入手機設定的「應用程式」中進行管理，但目前的問題是部分小廠牌的手機與Android 6.0整合不佳，導致無法升級，或者舊機型不能升級，無法享受作業系統的便利。

行動裝置若被植入後門程式或木馬病毒，使用時速度會變慢，即使不操作，靜置在旁也會發燙，表示它正在不斷進行資料傳輸和運算，除了透過官方的Apple Store或Google Play下載應用程式，進行作業系統更新，修補安全漏洞以外，行動裝置也可安裝安全防護軟體，大廠牌的防毒軟體多半也製作的行動版，手機原生的防護軟體Lockout也在推薦之列。

不過秦庭祥坦白地表示，他個人也不喜歡安裝安全防護軟體，畢竟它會占據一定的記憶體容量，使行動裝置速度變慢；陳興忠則說明，手機的防護不若電腦的防毒程式全面，最保險的方式還是資料定期備份，有需要時就將手機恢復原廠設定。

此外，陳興忠提醒，郵件或即時通訊軟體訊息中的連結不要隨意點開，釣魚網站正是利用外觀相似的網址誘騙使用者上當，可善用瀏覽器中的書籤功能，或以搜尋引擎搜尋，進入常用網站。

資安警覺3.　Wifi連線須留意：

行動網路雖便利，但並非人人都有網路吃到飽，公用的無線網路如捷運站Wifi、便利商店Wifi，都需註冊才能使用，若發現毋須密碼即可連接的Wifi，可要保持警覺，最好將行動裝置的「網路自動連線」功能關閉，其他近場通訊（NFC）、藍芽功能等也要小心。

家用網路易入侵　慎用智慧家庭系統

橙檍數位行銷顧問公司社群行銷總監秦庭祥表示，家用網路對駭客而言相當容易破解，應避免在網路攝影機的攝影範圍內從事隱私活動。

10月底，台灣傳出網路攝影機被駭，女子哺乳畫面遭偷窺的新聞，秦庭祥表示，家用網路對駭客而言相當容易破解，即使裝設防火牆也很難阻擋，智慧家庭系統是有監控需求才使用，民眾返家後便可關閉，並且建議裝設在公共空間，如：客廳、廚房，避開有隱私疑慮的地方。如果攝影機在系統關閉時，亮燈顯示運作中，或者異常轉動、傳出聲音，表示發生問題，應做出反應。

陳興忠分析，物聯網的安全機制相對貧乏，且裝置和系統為數眾多，除了個人隱私洩漏的風險外，還可能遭到有心人士利用，大量被控制的設備構成「殭屍網路」，帶來媲美政府攻擊的毀滅性力量。

此外，陳興忠提到，目前較高級的監視器及網路攝影機，來自工業控制系統（Industrial Control Systems，簡稱ICS），是一種基於工業控制域中的特殊協定，主要用途是管理重要的基礎設施，例如：石油和瓦斯設施、核能電廠、智慧電網等，不同於基於TCP / IP通用協定下傳統的商業域（Commerce Domain）所使用的資訊系統。

ICS提供即時監控和分散式智慧計算，目前許多先進的計算，如通信和互聯網科技與ICS結合，能涵蓋並滿足更多的用戶要求，但是對ICS而言，這些支援開放性系統的功能成為其問題所在，原本應該隔絕、獨立運作的工業系統，為了管理方便而掛上商用網路，門戶洞開，是相當重要且關鍵性的網路安全問題，台灣應建立本土的通訊協定，避免直接套用上層協定或購買別人的系統，否則電子戰一旦開打，台灣將毫無招架之力。

雲端儲存選大廠　備份重置最萬用

至於便利的雲端同步儲存功能，秦庭祥建議應抱持「用人不疑，疑人不用」的態度，大廠的資料安全攸關聲譽，對雲端儲存安全性有疑慮的用戶可選擇常見的雲端服務，如google雲端、dropbox、iCloud等，或者使用隨身碟或外接硬碟備份，「但硬體千萬要保管好，像韓國總理朴槿惠與密宗的新聞，便是由於其密友隨意丟棄筆記型電腦，遭記者拾獲後，復原資料才爆發。」

網路帳號若被盜取，應向提供服務的公司要求停權，與信用卡盜刷情形類似；雖然金融服務採二階段認證，但陳興忠仍建議，不要將信用卡卡號或任何帳號密碼記憶在手機裡。

陳興忠強調，對一般使用者來說，最簡單、最便宜的方式就是「備份」，然後「重置」。行動裝置多有恢復原廠設定的功能，也不像桌電需要重灌作業系統，只要確定資料已備份，重置行動裝置也可提升效能，清理不常用的APP。

陳興忠預測，隨著行動裝置愈來愈普及，威脅也會愈來愈多，使用者必須「精熟」其使用的裝置和功能，否則就維持最低限度的使用；而詐騙這類利用人性弱點的問題，在各個平台都會存在，民眾應保持警覺，使用理性判斷，尤其處理金融相關流程的人員應予特別訓練，充實相關知能，以免受害。