iT邦幫忙

DAY 9
1

生活資安五四三!從生活周遭看風險與資訊安全~番外篇系列 第 9

第九篇,從警察破案新聞,看使用者對使用Gmail安全的疏忽

生活上,警方偵破的社會案件,也與民眾使用網路服務的安全有關!剛好以下是歷史上的今天,一年前的一篇新聞。

刑事警察局在9月5日偵破一起網路犯罪事件,手法是利用許多民眾以電話號碼作為網路帳戶密碼的習慣,入侵用戶Google帳戶,進而將網路銀行存款盜領。這突顯了密碼設定不夠安全,兩步驟認證未開啟,以及主要電子郵件帳號外洩嚴重性的問題。
https://ithelp.ithome.com.tw/upload/images/20190911/20013608ZIazs8LKld.jpg
https://www.ithome.com.tw/news/125782)

在這個新聞中,報導了警方的破案過程
(一) 一開始有受害民眾報案,銀行帳戶被人盜用並轉帳
(二) 調查掌握情資後,偕同多個單位破案
(三) 破案後公布調查結果
(四) 呼籲民眾注意

從公布的調查結果,大概可以看出犯罪集團是如何進行網路犯罪。原來,犯罪集團是先鎖定了民眾的Google帳戶,用猜出帳號密碼的方式,來登入到民眾的雲端郵件Gmail與雲端硬碟。

為什麼會被猜出?是因為他們不知從那個地下管道取得的個資,包含姓名、郵件、電話等,進而猜出密碼。

這裡一般民眾可能要建立一些觀念,首先要知道 ,過去個人資料保護較不足,所以許多個資可能早已經被竊取,其實你這一年或多或少都注意到資料外洩的新聞。

第二個要注意的是 ,他們利用一般人可能用自己電話號碼當密碼的習慣,所以能夠登入成功。事實上,許多人為了密碼要好記,就是用自己方便的生日、電話,你想的到,別人也想的到

第三個要注意 ,犯罪集團更假冒被害人,撥打電話給銀行客服,變更存戶聯絡電話為犯罪集團持有的人頭電話號碼,然後就能接受認證簡訊,登入你的網路銀行盜轉,在將錢從人頭帳戶提領。
簡單來說,犯罪集團登入到你的Gmail後,就發現裡面很多有趣的東西,像是有銀行的通知信,甚至也有更多個人資料,或者是還能登入你的其他服務,因為可以用忘記密碼這招,將認證信寄到你的Mail,然後重新設定。

因此,報導中有描述警方有提醒幾件事

1.勿設定易於猜解的帳號密碼。
2.勿將個人資訊、密碼及私密檔案存放雲端,避免因帳號遭人破解後,取得相關資料用於詐騙或其他非法用途。
3.民眾若是發現銀行帳戶存款有遭盜領的異常情形,請向申設銀行反應及報案。

不過總結下來幾個要注意的點

  1. 要先知道個資外洩的嚴重性 ,新聞幾乎常常都在報
  2. 密碼設定最好不要用簡單的生日、電話(也就是自己的個資),以及一些弱密碼
  3. 密碼不能太簡單還有很大的原因,這裡犯罪集團只是用很土法煉鋼的猜,國際上有很多自動化執行的工具,用你在其他服務外洩的帳密,去嘗試破解之類
  4. 報導中有提到,Google帳戶本身有提供兩步驟認證,不應該那麼容易被猜出就被登入,原來,警方說受害者都沒有開啟兩步驟驗證 ,(現在很多雲端服務其實都有提供較強的雙因素驗證)
  5. 許多人可能忽略許多大型雲端服務,像是Google等帳號,已經是民眾的重要數位資產之一
  6. 還要避免多個服務使用同樣帳密,至少主要像是Gmail或Outlook帳號,都要與其他較不重要的網路服務帳號分開,也就是使用不同的密碼,另外Line或FB帳號,以及銀行帳號,也都是生活中常備,同樣不要使用相同密碼,避免外洩一個帳密,其他服務也被登入

上一篇
第八篇,檔案被駭客加密!最最基本的觀念「備份」,一式三份應該都知道吧!
下一篇
第十篇,認識弱密碼,不只123456、1234qwer!
系列文
生活資安五四三!從生活周遭看風險與資訊安全~番外篇19

尚未有邦友留言

立即登入留言