文/謝璦竹
臉書(FB)上有人發文提醒,友人疑似因為刪除E-mail垃圾郵件時,不小心點擊詐騙網站,數天後登入網銀時竟然被駭,螢幕被駭客控制後,隨即接到恐嚇電話,向他勒索金錢!這起發生在美國的駭客勒索事件,詐騙結合科技力量,讓資安專家也感到防不勝防。
國家通訊傳播委員會(NCC)警示,勿點擊不明連結,不久前提醒民眾,「詐騙集團除了利用一般簡訊(SMS)傳送連結,詐騙簡訊管道也轉移至『RCS』及『iMessage』即時通訊功能。」除了電信公司所發送的簡訊,各品牌手機的即時通訊功能也能發送簡訊,這讓防範釣魚簡訊更加複雜。
RCS和iMessage分別是安卓手機和蘋果手機的即時通訊功能。NCC指出,詐騙集團會透過Wi-Fi或行動數據傳遞釣魚簡訊,因此建議安卓系統用戶關閉RCS即時通訊功能、iOS系統用戶關閉iMessage功能,以防不慎點擊後,「可能會被植入惡意程式竊取認證碼,或取得個人資料、甚至金融資訊!」
換言之,NCC證實,即使沒有在假網站上輸入任何個資,僅僅是點擊簡訊上所附的連結,網銀的帳密就可能被盜取。
網路生活便利多 資安漏洞指數成長
隨著網路生活成為日常,不管是提錢轉帳、查詢公車、購買車票,還是股市下單,都可以在網路上完成,大增生活便利性。但這意味著資訊安全的「門窗」指數增長,從以前的櫃檯、ATM,到如今的雲端及各式聯網裝置,都可能成為資訊安全的突破口。
法國巴黎人壽台灣分公司資訊部經理李立中說,資安是個很龐大的範圍,若要做到100分,成本會高到難以想像。若將資安大別為消費者端與企業端,單企業內就有網路安全、機器本身的安全,以及雲端安全等眾多層面,視資安架構不同而異;舉例來說,金管會幾年前同意銀行將客戶資料存在雲端,於是便加大了資安防護的面向。
銀行每次導入新的系統,都會有極詳細的法律規範,上線後還會定期掃描,以發現弱點。舉例來說,信用卡被盜刷後,很多民眾自己還沒發現,銀行的自動偵測先發現了,進而主動提醒客戶。
因應詐騙簡訊氾濫,政府推出111政府專屬短碼簡訊平台。
李立中說,此種可疑交易自動偵測系統的建立,是透過寫入規則,例如地點、時間、以及產品等客戶的刷卡模式。未來導入AI後,透過機器自動學習,效果一定更好,但駭客一樣會用AI,「很多科技都是駭客先開始使用,例如深偽影片。」李立中說。
尤令民眾困擾的是,詐騙集團常常假稱是公家機關,通知民眾有欠費或是罰款,甚至是銀行帳戶有安全問題等,讓民眾感到真假難辨。
政府去(2023)年底推出111政府專屬短碼簡訊平台,如果民眾收到簡訊署名為政府機關,而號碼顯示非111時,必須提高警覺。李立中說,此法至少可以防範詐騙集團假稱政府機關詐騙,但民眾仍然要注意,例如勿把4個1看作111,「政府只要與電信公司約定好,詐騙集團就不能盜用111這個號碼來發送簡訊,因此可以作為識別。」
但若不是政府簡訊呢?又該如何辨識訊息真偽?警方呼籲,民眾若收到可疑簡訊,切勿直接點擊,請先比對發送簡訊內容、短網址連結等是否為官方資訊;若無法立即辨識,可透過公司客服專線、電子郵件或官方LINE帳號確認真偽,亦可撥打165反詐騙諮詢專線或110報案專線諮詢、查證,避免遭受詐騙。
李立中說,一般而言,透過點擊簡訊所附連結,不易直接竊取帳密等認證碼,駭客必須找到該品牌手機的安全漏洞,如果手機作業系統持續保持更新,可以盡量避免漏洞被駭客利用。
然而要注意的是,安裝APP時會同時要求允許存取我們手機裡的很多資訊,也就是所謂的token,允許APP去訪問使用一些資料,例如相機、相簿、甚至Key Chain(蘋果手機的密碼管理系統),因此必須高度警覺,如果要求存取後者,則屬於異常,不可同意。
隨著各種技術的發展,資安可能的漏洞不斷出現,例如針對安卓手機的惡意軟體Ngate是利用NFC複製信用卡資訊,但只要我們不依照指示靠卡、點連結,並下載APP,仍可防範。在外使用Wifi時,有心人也可能用來側錄我們的token。
因應Ngate的威脅,Google表示,Google Play Protect會自動保護安卓用戶免受Ngate已知版本的侵害,該功能在安卓裝置上預設為開啟。
另有一種釣魚網站透過設計一個填表機制,例如網頁心理測驗小遊戲,表面上只要填寫姓名與郵件,但其實釣魚網站把信用卡、地址與電話欄位「隱藏起來」,讓使用者看不到,由於瀏覽器多半都具備自動填表功能,此時會出現提示詢問:「要不要幫你自動填完?」
如果選擇「要」,瀏覽器會把這個網頁可以填寫的表格一次幫我們填完,結果就是我們自己親手把隱私資料送出了,必須特別留意。
機器自動抓取資料
手機上打開APP就可以查詢各種資料或上網購物,這是透過API(應用程式介面)機器自動抓取資料庫內容,然而API也可能形成資安漏洞。
在施政透明、提升民眾參與公共政策議題的世界趨勢下,政府推動電子化政府,因此很多政府資訊也都是存在雲上,在政府資料開放平台上,可以用Python程式語言來抓取政府公開資料,便是因為有API。
網銀可以查詢帳戶餘額,或轉帳交易,這是因為銀行提供了API,APP才能自動抓取資訊。其他如網路訂票、供應商訂貨、股票買賣等應用程式,都需要藉由API自動抓取資訊。
在非網路時代,公司或政府提供資訊或服務,只能透過人力抓取,現在使用API可以自動抓取機構或組織內部的資訊,例如配合公車搭載GPS,可以算出公車到站時間,公車公司提供API,APP就可以即時抓取。
不過,大量的API也可能形成資安漏洞。今(2024)年5月曾爆出,駭客在美國地下論壇出售近5,000萬筆Dell用戶個資,據其向媒體的爆料,駭客是利用Dell合作夥伴的API漏洞,導致Dell用戶個人及設備資訊外洩。
報導稱,駭客是在Dell提供給經銷商、零售商等的入口網站上,以假公司身分註冊多個帳戶,接著開發惡意程式上傳Dell入口網站,並利用該程式下指令查詢、蒐集網站回傳的用戶資料。
報導指出,Dell的合作夥伴網站有兩大缺失,一是註冊只要到Dell網站上填申請表,就可以存取網站而無需驗證。其次,由於Dell系統未設定流量限制,因此駭客以每分鐘5,000次呼叫網站長達3週,都沒有遭到Dell網站阻撓。
現在日常生活中,天天都在使用的應用程式都離不開API,例如電子購物平台,首先登入平台時,要用API處理用戶憑證,並從數據庫中檢索相應對的個人身分資料,接著搜索不同賣家的數百萬件商品,也需要用到另一個API來抓取各個賣家的庫存,最後付款時,要連結信用卡公司的API。
電子購物已成為日常生活,但也提高了資安風險。
最終將整個應用程式連接在一起,也要用到API,就是所謂複合API,用來結合搜尋API、支付API、地圖API和通知API,這樣就可以追蹤產品出貨,到貨時通知我們取貨。
由此可知,API的使用已經完全覆蓋我們的日常生活,然而,每個伺服器都是一個端點,一個電商平台就有數百個端點需要保護,資安管理員必須確保每台伺服器都得到良好的更新和保護,這也使資安防護的風險與成本大大增加。
李立中說,企業對API的資安防範,要從設計階段開始考量安全性,首先就是誰能呼叫的問題,也就是身分認證的程序。認證方式有很多種,以OAUTH 2.0為例,採多因子認證,例如多一道傳送到手機的簡訊碼(OTP,指一次性密碼),這樣萬一電腦被駭,只要手機沒有同時被竊,就有所保障。
為了保障資安,金管會開放客戶敏感資料登上雲端後,仍規定雲伺服器必須在台灣,以利管理。
不過,隨著資安防護的面向越來越龐大,一般小型甚至微型企業受限成本與人力,相對較容易出現漏洞;例如,相較資本雄厚的金融業有比較完備的資安防護,數量眾多的購物網站可能沒有那麼完善的資安防護,尤其很多一頁式購物網,李立中提醒。
然而,像臉書這樣的超高市值跨國企業,卻常常發生帳號被盜用或假帳號等問題,李立中指出,這是因為臉書的使用者以億計,不像金融業者的客戶,以台灣來說,最多就是2,800萬。臉書上數量如此龐大的使用者,就算是Meta這樣資本雄厚的企業,也很難做到絕對沒有帳號盜用或偽冒。
隱私vs.犯罪防治
隨著AI時代來臨,除了資安與隱私的需求,也出現網路監管的需求,在隱私與犯罪防治之間如何平衡,也考驗各國政府。
那麼,國會立法是否可以嚴訂要求業者提供呢?以歐盟來說,為保障民眾隱私與資訊安全,頒訂全世界最嚴格的《通用資料保護規則》(GDPR),但為了網路監管的必要,又訂立《網路基本法》,後者今年剛剛生效。兩者之間的平衡與協調,值得各國政府參考研究。
以防範犯罪洗錢為例,以前的觀念認為金流屬於個資,但現在各國立法越來越要求開放,甚至有許多國家考慮使用「全都露」的數位貨幣。
然而,李立中說,數位貨幣的推動仍有許多不可控的因素,最大的風險在於,一旦被偷竊,則全部財產歸零,尤其發行貨幣的央行,其資安重要性更會無限放大。
看下一篇文章
看上一篇文章
