商務人士自我保護、避免資安攻擊的10個方法：下篇／施典志

本文延續前篇介紹的5種個人資安保護技巧，繼續討論另外5種每個人都可以做到，只要格外小心，就能避免許多損失的觀念與技巧。在網路時代，已經沒有人能自外於環境，也都是網路的一部分；如果你在真實生活中會注意自己的人身與交通安全，當然沒有理由在網路上門戶大開。

施典志 曾任 Yahoo/Flickr 社群經理、 PC home 雜誌責任主編／副總編輯、博客來網路書店總經理特助、行銷部專案經理、城邦集團電腦人文化研究員、《Download! 網路學習誌》副總編輯等職務，熱衷社群經營、科技文化觀察分析。

在上篇之中，我們分享了十個資安自保技巧的頭五個；這篇再來分享另外五個也很重要的技巧。

商務人士自我保護、避免資安攻擊的10個方法：上篇／施典志 | 吐納商業評論 | Tuna Business Review

世界上沒有「絕對安全」的手機或電腦；任何人的資料都有價值，即使資料真的沒有價值，也還可以當作跳板來攻擊他人。駭客不會因為你是「普通人」，就輕易放過你；大家都有正確的觀念與做法，才是個人與社會最大的資安保障。 筆者先前在〈 小心！駭客，真的，就在你身邊 〉一文中，花了很多篇幅介紹各種網路駭侵攻擊的樣態；本篇則從個人用戶的角度介紹10種方法，讓大家能夠最大限度的保護自己，避免成為受害者。 由於全部10點篇幅較長，所以分成上下兩篇；本篇先講前面五個方法。 1. 建立正確的資安觀念 首先，正確的觀念和知識，絕對是保護自己的第一道防線。 以下是一些必須建立，而且人人都應該知道的資安觀念： 沒有「絕對安全」的手機或電腦； 任何人的資料都有價值，而且可以當跳板；駭客不會因為你是普通人，就輕易放過你； 充分的資訊與認知，是自保的必要條件；平時多留意資安相關訊息、瞭解最新的威脅來源和保護做法，對你絕對有好處。 2.

如果您還沒看過上篇，可以先把本篇讀完，再回頭看上一篇也無妨。

6. 遇到不明連結或email，務必仔細檢查，寧可不點

現在許多駭侵攻擊，都是透過「惡意連結」來進行的；如果不小心點了這類惡意連結，你的瀏覽器就會被帶去駭客用來發動攻擊的頁面。

這種頁面要嘛是長得很像真真網站，但卻是用來騙取帳密或個資的假網頁，不然就是內部直接含有攻擊用的惡意程式碼。

這些惡意連結的傳遞管道非常多元。釣魚郵件經常是透過 email 寄送假連結、也可以透過社群服務（粉絲團、社團）來大量分享惡意連結。

最近也常出現透過簡訊或即時傳訊來傳遞惡意連結，用很誇張的優惠（例如「一折破盤價買設計師款名牌包」）、或是警告訊息（「你的信用卡被盜刷」啦、「你的貼文違反使用條款」等等），誘使大家去順手點按。

釣魚郵件長這樣

下圖就是一個釣魚郵件的例子：畫面中這封 email 假裝是美國銀行寄來的通知信，謊稱「偵測到你的信用卡有異常消費」，然後提供一個假裝成美國銀行官網的連結要你登入。

如圖所示，假連結指向的真正網址根本就不是美國銀行的網站，而是一個不明網站。

另外，如果把這封 email 的標頭（header）打開來看，雖然寄件人名稱寫的是「Bank of America」，但發信地址卻是來自「comcast.net」這個用戶很多的 ISP；這也是警訊之一。

為了卸除大家的心防，惡意連結往往也會經過一些偽裝，例如用個非常像的網址（例如「faceb00k.com」或「Goog1e.com」，你看得出哪裡怪怪的嗎？），或是乾脆用一些公用縮址服務，把網址包裝起來。

小心假連結

怎麼辨認這些藏了假網址的連結？其實是有點麻煩又反人性的。例如當你在電腦瀏覽器看到假網址時，先把滑鼠指標移到連結上，別按下去；趕快看一下視窗底部狀態列上顯示的網址是不是怪怪的。

如果看起來不像官方網站應有的網址、或者根本是個縮址，就要特別小心。

手機或平板的瀏覽器上，則多半沒有狀態列可以看。那怎麼辦呢？

這時有個更麻煩的方法，就是在手機或平板上長按那個連結，多半會出現功能選單，這時可以把連結複製貼上到下面這個「網站安全檢查器」中，看看檢查結果：

Site Safety Center

About Our Safety Ratings Scores are assigned based on factors such as a website's age, historical locations, changes, and indications of suspicious activities discovered through malware behavior analysis. We've advanced how we apply web reputation to keep pace with new types of criminal attacks that can come and go very quickly, or try to stay hidden.

因為這樣做實在太麻煩了，所以大家常用的瀏覽器如 Google Chrome、Firefox、Safari 等也都內建了網址檢查機制；在遇到已知的假網站時，就會跳出警示畫面。

遇到未知的假網站時，瀏覽器可能會偵測不到；但如果電腦上如果有裝防毒防駭軟體，也能充當第二條防線。

許多大型 email 服務也會檢查郵件內容，如果偵測出可能是釣魚信時，也會先擋一輪；但像 LINE 或 SMS 簡訊就沒有這種偵測機制了，只能靠自己小心。

總之，當你看到怪怪的連結，特別是訊息中的優惠或警告看起來有點誇張可疑時：

不要點，就對了。

7. 下載 App 前先看評價和留言

常看資安消息的話，你就會發現，很多駭侵攻擊是透過手機 App 來進行的；我說的不是「某一個 App 被駭」，而是你安裝的 App 本身就是駭客寫的，或是因為用了被駭過的開發工具，導致 App 裡頭含有駭侵程式碼。

惡意 App 會怎麼搞你？除了偷竊個資之外，還有以下你可能不知道的幾種常見類型：

• 在背景中執行詐騙廣告點擊：這種 App 會在背景拚命開啟廣告大量進行點擊，開發者就能賺到巨額廣告分潤；你什麼都看不到，但是會發現網路連線用量暴增。如果使用的不是上網吃到飽的門號，接下來就會收到嚇死人的連線費用帳單，或是莫名其妙被降速。
• 在背景挖礦：這種 App 會在背景執行非常耗電的挖礦程式，讓你的手機 24 小時幫駭客賺錢；你只會發現手機突然變慢之外，還變得特別耗電，甚至還會發燙。因為長期過度操勞，手機也可能提早報廢。
• 偷偷幫你訂閱高價服務或課金：國外有很多這樣的案例，安裝了惡意 App 後就莫名其妙成為一些從沒聽過、貴死人服務的訂戶，或是在不知不覺中被某些貴死人的 App 課金。同樣的，駭侵者可以賺到推薦分潤，你負責埋單。
• 變成日後駭侵攻擊的跳板：很多駭客駭你不是為了錢，而是利用你的手機，當成「僵屍網路」的一部分；等駭客一聲令下，所有被駭的手機，就會同時對駭客指定的目標發動攻擊，而你完全被蒙在鼓裡。

Android 的惡意 App 特別多

這裡要再次提醒 Android 用戶，一定要特別留意你下載安裝的 App。Android 除了官方的 Google Play Store 外，還有很多第三方的 App Store；這些 App Store（甚至包括 Google 自己的在內），上架幾乎都不需經過嚴格的程式碼審查機制，所以惡意 App 相當多。

相對的，iOS App 因為上架審查機制比較嚴格，所以能成功上架的惡意 App 幾乎沒有，比較安全一些。

不過，如果你的 iPhone 或 iPad 越獄（破解）過、自己還從其他管道下載安裝越獄後專用的 App ，那也就難以避免惡意感染了。

同理，Root（解除最高管理權限）過的 Android 裝置，如果去裝要 Root 後才能用的 App，下到駭侵 App 的風險就更高了。

有一個技巧可以多少讓你避開惡意 App，那就是下載前先看一下這支 App 的評價和留言。如果有很多留言說這支 App 怪怪的，像是功能名不符實、會閃退、會要太多不需要的權限、甚至有人被駭，就要特別提高警覺。

另外，盡量避免從官方 App Store 之外的地方下載安裝 App，也是很重要的自保技巧。

8. 別讓不明硬體插上電腦或手機

前一陣子有條新聞：美國洛杉磯郡的地方檢察署發出警告：隨處可見的公眾 USB 充電服務站，可能會被駭客利用來放置惡意軟體；手機一旦插上這類看似無害的 USB 充電線，就可能被立即植入惡意程式。

小心公共USB充電站讓惡意程式上身，美政府籲勿使用 駭客可能在公共USB充電站設置充電陷阱，在充電站或充電線中植入惡意程式，讓路過充電的旅客因為充電而被感染，可能鎖住裝置或竊取使用者的資料。

事實上，硬體植入是最厲害的駭侵手段。不論是盜取資料、植入惡意軟體等，若是直接利用硬體連線來進行，會比透過網路或軟體方式快速有效，而且更加難以阻擋。

如果各位記憶猶新，應該會記得過去有很多 Windows 病毒，都是透過中毒的 USB 隨身碟來傳輸的；很多國家的情治單位在遇到可疑分子時，也會要求直接取得手機或電腦，拿去插上特製機器，直接快速取得他們想要的情資。

所以，千萬別讓你不信任的硬體裝置，有機會插上你的手機或電腦。別人的 USB 隨身碟、不明 USB 裝置、公用充電服務等，最好都能避免。經常有充電需求的話，就辛苦一點，自備行動電源吧。

同樣的，要傳檔案，請盡量透過雲端服務，用網路來傳，盡可能避免透過危險的隨身碟來傳；同樣是 Mac 的話，用更快速好用的 AirDrop 就好了。

9. 不要使用不明的網路連線服務

在各種駭侵攻擊中，有一種很常見的攻擊手法，就是駭客先駭入某個內部網路中比較容易攻擊得手的目標（例如沒有更新系統的電腦或連網裝置），然後掃描內部網路中其他目標，再鎖定含有重要資料的主機來進行攻擊、或是持續感染其他有漏洞的裝置。

因此，如果想要避免這類透過內部網路的攻擊，一來一定要啟用自己裝置上的防火牆或防毒防駭軟體，二來就是要避免使用不明的網路連線服務。

沒有加密的公眾無線網路，可以說是最危險的一種；攻擊者很容易在這樣的網路中散布惡意軟體，然後又可以接觸到大量的目標。

但即使用密碼上鎖的公眾無線網路，也未必會比較安全；像是飯店等公共場所的無線網路，密碼根本就寫在菜單上、或是掛在牆上，甚至還有很多都是用電話等萬年不變的密碼。這種密碼根本等於沒有，駭客可以輕鬆在這樣的內部網路裡散播惡意軟體。

所以，你的手機或電腦中，如果真的有很敏感的資料，記得防火牆開好開滿，同時盡量用自己手機的熱點分享網路給自己用；少用別人分享的網路，也不要分享給別人用，免得後門洞開。

10. 上網裝置務必避免中國品牌，也避免使用中國網路服務

最後一個技巧是我個人多年來的堅持：可以上網的各種資通訊裝置，我絕不買中國品牌的產品；至於像微信、抖音等中國網路服務，我也盡可能不用。

很多人讀到這裡，可能會覺得這裡有什麼政治偏見（對，我個人的政治立場十分明顯）；你要這麼說也行，但我有我的理由。想瞭解的話，就請你繼續讀下去。

為什麼要避開中國品牌的資通訊產品，而美國或其他國家的就比較不用避？並不是因為中國品牌就一定不安全，其他國家的就一定安全？其實，完全不是這個邏輯。

公開透明，才是安全的保障

即使是美國品牌的資通產品，也是一天到晚被發現漏洞；但是：

「被發現漏洞」這件事，本身就是一種安全的保障。

資訊自由的民主國家，有各種能夠發現問題、解決問題的機制，也有一堆資安專家和資安媒體當做守門員；如果有廠商膽敢在產品中放後門，很快就會被揭穿打爆。

像中國這種極權國家則不然。一方面中國社會不民主不透明，缺少這種第三方的自清機制；另一方面，很多重要資通訊產品的生產者和網路服務商，背後都有中國政府和共產黨的勢力，黨和政府要他們做什麼，他們只能唯命是從。

從風險控管的角度來看，明知中國製產品的資安風險極高，卻因為便宜或其他理由而冒這個險，在我看來，根本就是開門揖盜。

所以，如果可以的話，建議大家，能上網的任何東西都不要採用中國品牌；至於中國網路服務，能不用就別用。如果非用不可，則請盡量使用比較安全的裝置和作業系統（例如 iPhone）來用這些中國服務。

當然，信不信由你；你的資安，只有自己才能負全責。

參考閱讀

• 如果您還沒看過本文上篇，記得回頭參考。
• 駭客有哪幾種？為什麼要幹這些壞事？筆者先前也寫過一篇：

小心！駭客，真的，就在你身邊

最近有幾則國內機構被駭的新聞，不知道有沒有引起你的注意： 中山大學的 Email 系統，早在多年前就被攻破；不明身分的駭客，以假冒的 Email 帳號，長期監控中山大學多位政治系教授的 Email 來往： 台大的教務系統遭學生「駭入」，將期中考的成績都改掉了。好在這個還有查到始作俑者。 日本首屈一指的媒體集團「日經媒體」，其紐約分公司的員工依照假冒主管寄出的 Email 指示，匯了 32 ...

本文有聲版

Tenz 談科技議題 - 主講／施典志

科技為生活帶來極大的便利，但也對社會和個人造成衝擊。如何善用科技的力量，避免科技造成的負面影響？歡迎大家透過這個節目，和我一同思考各種你應該關心的科技議題。 請在 Facebook 上追蹤： https://www.facebook.com/tenztechpodcast