「幫我投票」新詐騙手法出現,取回被盜帳號、預防與加密方法
最近如果有朋友要你幫他投票,說是寶寶、小孩或寵物要參加比賽,你要小心了!因為這是新的詐騙手法。
比起以往直接問你"可以幫我買點數卡嗎"的老式詐騙手法,新的詐騙方式更隱晦,它目的不在直接騙取金錢,而是利用你的信任一步步騙取你的個資與密碼,最後盜用你的身分、盜領你的錢財。
這片文章裡我會說到以下幾點:
1. 如何分辨詐騙與否、避免被詐騙
2. 被盜用帳號的補救:增強加密、多段驗證,讓帳號難以被盜用
3. 快速取回帳號
一,如何分辨詐騙
最簡單的方式就是-
「任何人要你點任何連結、做任何事,都先不要做,給自己判斷的時間。」
冒充中華郵政的詐騙信,用釣魚連結騙人卡號
就像去年受害者眾多的"中華郵政詐騙信"一樣,信件冒用中華郵政名義,以恐嚇方式嚇唬收信者"包裹未取,否則將繳交鉅額罰款",收信者情急下點入「釣魚連結」,又在釣魚連結中輸入了卡號和安全碼,結果就被盜領。
所以,詐騙一定會要你「聯絡對方」、「點連結」、「提供資料」或「給錢」,有這些動作要求的訊息、信件、網站廣告,全部不要點就對了。
另一種就是「木馬程式」,木馬程式也是透過釣魚連結、軟體植入方式,偷偷到你的電腦、平板,甚至是手機裡開後門,然後駭客再用程式快速搜尋你電子用品內的資料,進一步改寫密碼、盜用。
判斷信件、網站是否為詐騙:
仔細看看寄信人的名稱、@後面的信箱,如果是一串亂碼或無法解讀的英文字串,那都是詐騙,如果不能確定,那就先不動作、上網搜尋相關資訊、打電話到官方詢問。
"你好,我是元大的徐佳君(舉例名),上次和你交換號碼後就沒下文,請回應我的訊息"。這簡訊是不是很眼熟?
以前這種簡訊都會有諸多破綻,像是區域號碼是+86而不是台灣的+886,很明顯是境外號碼,或是信箱名是一堆亂碼,很好辨別。但可別笑他們,他們的手法也已更新,開始使用+886的區域號碼。單身男人們你可別以為真有個正妹要你聯絡他,他可是在利用你的信任,仔細想想你真的有包裹沒取嗎?真的認識了哪個銀行員嗎?一樣是先不要有任何動作,然後打到官方詢問。
看看要辨識一封信件有多麻煩,沒有相關網路使用知識真的容易上當,
所以老人家跟你說他不會用、要你幫他,就耐心一點幫他們吧💞。
突然收到朋友要求幫忙投票的訊息,當然,那不是朋友本人
如果朋友突然問你能不能幫他小孩或寵物投票,或傳一個奇怪的連結給你,用其他途徑詢問該友人是否真的有這件事,先收起你的熱心。
二,帳號加密:密碼強度、多段驗證,讓帳號難以被盜用
只用官方軟體,只用官方軟體,只用官方軟體。
很重要所以要講三次。
帳號怎麼被盜的?看這裡:
前年我的Youtube頻道就被盜用過。被盜當晚原本我還在用youtube,刷新頁面後發現我的個人頭像怎麼改了、頻道名稱也變了,我一個頭暈,帳號被盜了。
我追溯過去幾天的使用紀錄,找到我被植入木馬程式的原因:我到非官方網站用了不明軟體。
我還記得開啟軟體正要安裝,雙擊軟體之後只有跑出讀取的旋轉圈圈,軟體並沒有安裝成功,雖有一瞬間覺得不太妙,但沒多想什麼。就在隔天,我的YT頻道就被盜用。所以,請到官方網頁下載軟體,現在軟體大多採訂閱制,也會有試用期,寧可用試用版,也不要到不熟的網站下載軟體來用,因為你不曉得有沒有不明程式寄生在裏頭。
同樣的,也有假冒合作廠商邀請合作的信件,在信中夾帶木馬程式並要你下載,有不少youtuber就是被這麼盜用帳號,youtube上一搜是遍地災情。
所以有人說他是廠商但要你下載不明軟體,先不要動作。
以我過往商業合作經驗來說,廠商該提供的是合作案文本,不會有軟體。即使是軟體測試也應該提供安全的途徑,極少有未上架的軟體找陌生人參與測試,通常是給公開上架的app寫介紹評論,不熟的廠商就在信中夾帶軟體是非常不專業的。
上圖我取回帳號後進了個人後台看,駭客以不到一分鐘的時間連續竄改密碼、驗證方式、備用信箱,也就是阻絕了所有你可以登入的方式,這種飛快的手法是藉由程式竄改,駭客是以撒網的方式在網路上投下魚餌。
被盜之後的補救:
第一,完整全機掃毒、交叉掃毒
先將你的電腦做徹底掃毒,你可以用Avira或Eset這類防毒軟體,可以先用免費版「全機掃毒」,然後到windows裡的「設定」中,用「病毒與威脅防護」內含的「快速掃描」也掃一次,再更安全一些,到微軟官方下載「Microsoft 安全掃描程式」用不同方式交叉掃描,可掃掉漏網之魚。
windows10的快速掃描
掃描中的成果:
微軟安全掃描程式
這是當天使用「微軟安全掃描程式」的成果,一掃之下,果然掃出很多惡意程式。
當然你不可能完全不上"怪怪的網站",也可能誤擊釣魚網站,所以建議你平時就要定時全機掃描,打掃電腦內部。
第二,更改密碼,且密碼不重複、不儲存在電腦中
密碼一堆實在很難管理,所以很多人都會多個帳號重複使用一組密碼,且儲存在電腦或瀏覽器中,但是,駭客只要竊取你一組密碼就會拿去試你所有帳號,所以密碼絕對不要重複!
一般人都會用方便記憶的英文數字組合構成密碼,像是你叫做Mark,1990年5月23號生,就把密碼設做mark19950523,或是直接在帳號透漏生日mark0523或手機號碼mark0912345678、身分證markG124679388,這些都是非常容易破解的密碼組合,非常危險!
最高安全程度的密碼組合,是摻雜大小寫、符號,且無法推斷任何個人資訊,像是31ma@28!XdQgs.$ 這種亂碼,然後每個帳號一組密碼。
接著是瀏覽器的密碼儲存:
google瀏覽器中的密碼儲存功能
到Google瀏覽器右上方按下三個點點,「密碼和自動填入」裏頭的「Google密碼管理工具」中可以看到你在瀏覽器儲存的密碼,它會告訴你密碼的強度、重複度多高,我在被盜之前應該有10幾組密碼重複,事後我絕大部份密碼都不重複。
密碼都存在瀏覽器裡,你知道,駭客也知道,駭客也會直接來這裡找。
所以不要將密碼存在電腦、瀏覽器和任何網路平台,最好就是記在筆記本中。當然你會有筆記本不在身邊的時候,你可以直接重設密碼,這比看似方便把密碼存在瀏覽器中要安全數萬倍。
第四,兩道或多道驗證、安全金鑰
社群平台的安全機制每年都會更新,像是Google在2023年推出「passkeys 密碼金鑰」,用戶可以指紋解鎖、臉部掃描、螢幕鎖 PIN 碼或解鎖圖案進入網站或app,你可綁定個人的生物資訊,詳情可以參閱這篇瘋先生寫的「Google密碼金鑰怎麼用?升級Google帳號安全設定到應用全攻略」。
如果你覺得指紋、臉部掃描、PIN碼或解鎖圖案那些你都不夠放心,或是你有商業級的帳戶需要保護,你可以像我一樣買一支「安全金鑰」,我被盜帳號的當下就買了一支「GoTrust Idem Key 動信安全金鑰」(這不是業配文,我自己有買)。到你的臉書或Google帳號個人後台,多道驗證中綁定你的安全金鑰。從此以後,任何人想要登入你的臉書或Google產品(youtube、信箱),不只要輸入密碼,還必須要驗證是否有這支金鑰,否則拒絕登入。
「動信安全金鑰」長這個樣子,可以插到USB中,示意圖
它的原理就和核彈鑰匙一樣,必須插在電腦上並觸碰上面的晶片,或用支援感應NFC的裝置去感應晶片,例如iPhone7以上的機種,就可以驗證並登入、存取帳號。這個金鑰也能用在銀行帳戶安全上,我認為是未來的趨勢。(如果有想買,我建議在PChome上買,在亞馬遜買價差不小,一樣不是業配。)
動信金鑰的實際使用:
快速取回帳號:
被盜帳號後三天內我取回了帳號。
找一個可以和官方安全申訴的管道,我個人是透過Twitter。到Youtube官方Twitter帳號下的發文留言表示你的帳號被盜用,記得先「跟隨」這個官方帳號,有「金勾勾」的,有互相跟隨才可以發私人訊息,接著等官方注意到你的留言。
切記,要追蹤官方帳號,有任何其他人和你說他可以幫你取回帳號,不要信,那些都是假帳號要騙你第二次。
用英文留言,官方會優先處理英文訊息,因為總部在美國,如果你心急,在官方發文下多留言幾次,他們會更快注意到。
你可以說:My account is hacked and I want it back, please help me!
官方注意到後會回覆你的訊息,他會要你追蹤他,接著他會私訊你提供資料證明你是帳號的主人,像是你的Youtube個人id、頻道名稱、大概有幾部影片、最早的影片叫什麼、哪一年建立頻道、頻道後台資料、有沒有連結營收帳戶等等你自己才知道的東西。
官方人員的私訊
最重要的一點,記得保持冷靜,不要過度催促官方人員,那都是真人,有情緒的,保持禮節和多說聲謝謝,會加快他們作業速度😄。
等他們收到你的資料後,你時不時去刷新帳號狀態,大概一周內就能取回帳號,當然也可能慢一些。
像是臉書也有官方Twitter帳號,也可以從這裡聯繫官方人員。
最後,祝你網路用得安心,愉快衝浪!
