最近法國籍 YouTuber「酷的夢(Ku's dream)」帳號被駭的新聞鬧得很大。替他難過,但老實說—這是數位時代每個人的日常。
過去曾經在地方政府機關短暫代理資訊業務,資訊安全我也是略懂略懂。你以為黑帽駭客最愛破解資訊系統?不,他們最愛的對手是人類。政府機關每年都會做社交工程演練(白話:寄假的釣魚信,看誰會上鉤)。原因很簡單:攻破資訊安全防火牆很難,但要騙一個人很容易。
這次酷的事件的路徑很典型:
透過「釣魚郵件」騙你點連結、下載檔案,電腦被植入木馬;也可能是瀏覽器登入權杖(session)被偷走,駭客不用密碼也能直接進帳號。別以為這只會發生在百萬網紅身上。駭客只要拿到你的個資、信用卡,也能把你當跳板去攻擊別人。
複雜的資安系統大家或許學不會,但公部門對所有公務員要求的事情大家都可以做。你不必是資工高手,照著作就能安全很多。
第一招:把 Email 開成「素顏模式」(純文字閱覽)
很多人不知道:現在的 Email 其實長得像網頁,有圖片、有按鈕、有排版(HTML)。駭客的陰謀跟木馬往往就躲在「漂亮」背後。
你以為你點的是「發票中獎」的大按鈕,實際上你點的是「把你帶去假網站」的傳送門;甚至有些惡意內容會利用讀信時載入的外部資源,做追蹤或誘導。
看完這篇,建議大家立刻到信箱設定,把讀信模式改成「純文字」(Plain Text)(或至少讓外部圖片「不自動載入」)。
這等於逼 Email 卸妝:按鈕變成文字、圖片不亂跳、網址會現形。
你會得到什麼:
當你看到一封自稱「Netflix 官方通知」的信,素顏後卻出現 hahaha-0487這種奇怪網域,而不是 netflix.com—你就不難發現這是詐騙信囉。
信件剩下文字會很醜,但資訊安全比好不好看重要。
第二招:看到「藍色連結」—能不點就不點
在政府機關,隨便點外部連結,很可能讓整個局處都要陪你上資安演練說明,然後你的資訊管理師同事跟主管就得開始寫報告,說明後續檢討與因應方式。一般民眾可能不用寫報告,但會付出更貴的學費:帳號、金錢、資料。
釣魚信最常用兩招:
1.急迫性:24 小時後停權、立即驗證、最後通知
2.情緒勒索:你違規了、你中獎了、你包裹卡住了
大家要學會的反射動作是:連結用來「看」,不要「點」。
實作步驟:
1.懸停檢查(Hover):滑鼠移到連結上不要點,看左下角顯示的真實網址。
2.網址像亂碼、拼字怪(例如 g00gle)、或跟品牌無關——直接刪除。
3.主動查證:如果是銀行、電商、物流通知來信,請關掉信件,自己開瀏覽器,手動輸入官方網址或用官方 App 查。信件裡的「傳送門」通常不是通往客服,而是通往地獄。
第三招:雙重驗證(2FA)不是加分題,是必修課
很多人聽過 2FA(雙重驗證),但認為自己是NOBODY懶得申請。但在當今資訊社會裡頭,雙重驗證或兩步驟認證已經不是「我有空再說」的事,而是大家帳號的救命繩。
帳號就像保險箱,密碼是鑰匙(會被偷、會被複製、你還可能自己交出去)
2FA 是第二道門:手機驗證、Authenticator、或安全金鑰
怎麼做:Google / Facebook / LINE / 網銀 / Apple ID…只要能開,現在就去開。通常在「設定 → 安全性」。
更建議的 2FA 順序(由強到弱):
1.安全金鑰(Security Key)
2.Authenticator App(動態驗證碼)
3.簡訊驗證(SMS)——有比沒有好,但不要把它當最強盾牌
另外,請順手把這幾個一起打開:
1.登入通知(有人登入立刻跳警示)
2.備援碼(Recovery Codes)妥善保存(別存在同一台電腦桌面)
3.復原信箱/復原電話設定好(這是「被鎖帳號」時的逃生門)
第四招:別貪心—免費的最貴
所謂的「破解版軟體」或「YouTube 下載器」,駭客看到的是:「謝謝你親手把木馬請進家門。」
很多中毒案例都不是什麼高科技入侵,而是:
你下載來路不明的 .exe、瀏覽奇怪廣告頁、裝了不明瀏覽器外掛,然後它就在背景默默把你的登入資訊打包帶走。
三個避雷守則:
1.需要安裝執行檔的「工具」——先懷疑
2.瀏覽器擴充套件——只裝必要、定期清掉
3.「合作廠商寄來的檔案/報價單」——最常被偽裝,沒看到官方網域都別理他。
加碼補充:大家還可以再多做三件事(很有用)
1. 密碼管理:別用一組打天下
「同一組密碼用十年」這件事,駭客真的很感謝你。
建議用密碼管理器,每個網站一組長密碼;或改用 Passkey(通行金鑰)(有提供就用,通常更安全也更方便)。
2.系統與瀏覽器更新:不要把漏洞留在門口,更新不是「新增功能」,更新常常是在補洞。請把這幾個開成自動:作業系統更新、瀏覽器更新、常用軟體更新(尤其是 PDF 閱讀器、壓縮軟體等)
3.分帳號使用:日常用一般帳號,管理用管理帳號,如果你電腦平常都用「系統管理員權限」在上網,等於你出門把家裡所有鑰匙串在脖子上。日常上網用一般權限,真的要安裝軟體再輸入管理密碼,能降低很多傷害範圍。
萬一真的被駭:可以照這張「急救清單」做(越快越好)
如果你發現:帳號被登出、頻道改名、影片不見、有人亂發文——不要先崩潰,先做這幾件事:
1.立刻改密碼(從「乾淨的裝置」改,例如手機或另一台電腦)
2.強制登出所有裝置(帳號安全性通常有「登出所有工作階段」)
3.撤銷可疑的第三方授權(尤其是你不記得授權過的 App / 外掛)
4.開啟或重設 2FA(優先用 Authenticator 或安全金鑰)
5.檢查復原資訊(復原信箱/電話有沒有被改掉)
6.把電腦掃毒+移除可疑外掛(必要時重灌,別捨不得)
這套流程的核心精神是:先止血,再追凶。
結語:最好的防毒軟體,其實是你的大腦
防火牆再高再厚再強大,都擋不住自己人伸手把門打開;同樣的,再強的資訊安全系統,也救不了你把帳密主動填進釣魚網站。
資訊安全已經是現代人必須養成的「衛生習慣」。像回家洗手避免生病一樣,請把三個動作養成反射:
1.不亂點
2.開 2FA
3.信件先看素顏。
下次收到「恭喜中獎」或「帳號警告」的訊息時,先深呼吸,冷靜三秒。多疑,不是小心眼—是守住個人財產與人生的必要能力。
