方格精選
10 個自我保護、避免駭侵攻擊的方法(下篇)
更新於 2024/10/18閱讀時間約 9 分鐘
本文相關 Podcast 節目
上一篇文章,我們分享了十個資安自保技巧的頭五個;這篇再來分享另外五個也很重要的技巧。
如果你還沒看過那篇,可以先把這篇讀完,再去點文末的文章連結,把上一篇也讀完吧。
6. 遇到不明連結或 Email,務必仔細檢查,寧可不點
現在許多駭侵攻擊,都是透過「惡意連結」來進行的。不小心點了這樣的惡意連結,你的瀏覽器就會被帶去駭客用來發動攻擊的頁面;這種頁面要嘛是長得很像真網站,但卻是用來騙取帳密或個資的假網頁,要嘛內部直接含有攻擊用的惡意程式碼。
用來傳遞這些惡意連結的管道非常多元。像釣魚郵件是透過 Email 寄送假連結、也可以透過社群服務(粉絲團、社團)來大量分享惡意連結;最近也常出現透過簡訊或即時傳訊來傳遞惡意連結,用很誇張的好康(例如一折破盤價買設計師款名牌包),或是警告訊息(你的信用卡被盜刷啦、你的貼文違反使用條款等等),誘使大家去點。
釣魚郵件長這樣
下圖就是一個釣魚郵件的例子。畫面中這封 Email 假裝是美國銀行寄來的通知信,騙你說偵測到你的信用卡有異常消費,然後給你一個假裝成美國銀行官網的連結叫你登入;如圖所示,假連結指向的真正 URL 根本就不是美國銀行的網站,而是一個不明網站。
另外,如果把這封 Email 的 header 打開來看,寄件人的名稱雖然是 Bank of America,但發信地址卻是來自 comcast.net 這個很多用戶的 ISP;這也是警訊。
為了卸除大家的心防,惡意連結往往也會經過一些偽裝,例如用個非常像的網址(例如 faceb00k.com 或 Goog1e.com,你看得出哪裡怪怪的嗎?),或是乾脆用一些公用縮址服務,把網址包裝起來。
小心假連結
怎麼辨認這些藏了假網址的連結?其實是有點麻煩又反人性的。例如當你用電腦的瀏覽器,看到假網址時,先把滑鼠指標移到連結上,別按下去;趕快看一下視窗底部狀態列上顯示的網址,有沒有怪怪的。如果看起來不像官方網站應有的 URL,或根本是個縮址,就要特別小心。
手機或平板的瀏覽器,多半也沒有那條狀態列可看,怎麼辦?這時有個更麻煩的方法,就是在手機或平板上長按那個連結,多半會出現功能選單,這時可以把連結複製貼上到下面這個「網站安全檢查器」中,看看檢查結果:
因為這樣做實在太麻煩了,所以大家常用的瀏覽器,如 Google Chrome、Firefox、Safari 等,也都內建了網址檢查機制,在遇到已知的假網站時會跳出警示畫面。
遇到未知的假網站時,瀏覽器可能會偵測不到;但如果電腦上如果有裝防毒防駭軟體,也能充當第二條防線。
許多大型 Email 服務也會檢查 Email 內容,偵測出可能是釣魚信時也會先擋一輪。但像 LINE 或 SMS 簡訊,就沒有這種偵測機制了,只能靠自己。
所以當你看到有怪怪的連結,特別是訊息中的好康或警告看起來有點誇張可疑時,不要點,就對了。
7. 下載 App 前先看評價和留言
常看資安消息的話,你就會發現,很多駭侵攻擊是透過手機 App 來進行的;我說的不是那支 App 被駭,而是你安裝的 App 本身就是駭客寫的,或是因為用了被駭過的開發工具,導致 App 裡頭含有駭侵程式碼。
惡意 App 會怎麼搞你?除了偷竊個資之外,還有以下你可能不知道的幾種常見類型:
- 在背景中執行詐騙廣告點擊:這種 App 會在背景拚命開啟廣告大量進行點擊,開發者就能賺到巨額廣告分潤;你什麼都看不到,但是會發現網路連線用量暴增,如果使用的不是上網吃到飽的門號,接下來就會收到嚇死人的連線費用帳單,或是莫名其妙被降速。
- 在背景挖礦:這種 App 會在背景執行非常耗電的挖礦程式,讓你的手機 24 小時幫駭客賺錢。你只會發現手機突然變慢之外,還變得特別耗電,甚至還會發燙。長期過度操勞,手機也可能提早報廢。
- 偷偷幫你訂閱高價服務或課金:國外有很多這樣的案例,安裝了惡意 App 後就莫名其妙成為一些從沒聽過、貴死人服務的訂戶,或是在不知不覺中被某些貴死人的 App 課金。同樣的,駭侵者可以賺到推薦分潤,你負責買單。
- 變成日後駭侵攻擊的跳板:很多駭客駭你不是為了錢,而是利用你的手機,當成「僵屍網路」的一部分;等駭客一聲令下,所有被駭的手機,就會同時對駭客指定的目標發動攻擊,而你完全被蒙在鼓裡。
Android 的惡意 App 特別多
這裡要再次提醒 Android 用戶,一定要特別留意你下載安裝的 App。Android 除了官方的 Google Play Store 外,還有很多第三方的 App Store。這些 App Store 包括 Google 自己的在內,App 要上架幾乎都不需經過嚴格的程式碼審查機制,所以惡意 App 相當多。
相對的,iOS App 因為上架審查機制比較嚴格,所以能成功上架的惡意 App 幾乎沒有,比較安全一些。
不過,如果你的 iPhone 或 iPad 越獄過,自己還從其他管道下載安裝越獄後專用的 App ,那也就難以避免惡意 App 了。
同理,Root 過的 Android 裝置,如果去裝要 Root 後才能用的 App,下到駭侵 App 的風險就更高了。
有一個技巧可以多少讓你避開惡意 App,那就是下載前先看一下這支 App 的評價和留言。如果有很多留言說這支 App 怪怪的,像是功能名不符實、會閃退、會要太多不需要的權限、甚至有人被駭,那你就要特別提高警覺。
另外,盡量避免從官方 App Store 之外的地方下載安裝 App,也是很重要的自保技巧。
8. 不讓不明硬體插上電腦或手機
前一陣子有條新聞:美國洛杉磯郡的地方檢察署發出警告:隨處可見的公眾 USB 充電服務站,可能會被駭客利用來放置惡意軟體;手機一旦插上這類看似無害的 USB 充電線,就可能被立即植入惡意程式。
事實上,硬體植入是最厲害的駭侵手段。不論是盜取資料、植入惡意軟體等,若是直接利用硬體連線來進行,會比透過網路或軟體方式快速有效,而且更加難以阻擋。
如果各位記憶猶新,應該會記得過去有很多 Windows 病毒,都是透過中毒的 USB 隨身碟來傳輸的;很多國家的情治單位,在遇到可疑分子時,也會要求直接取得手機或電腦,拿去插上特製機器,直接快速取得他們想要的情資。
所以,千萬別讓你不信任的硬體裝置,有機會插上你的手機或電腦。別人的 USB 隨身碟、不明 USB 裝置、公用充電服務等,最好都能避免。經常有充電需求的話,就辛苦一點,自備行動電源吧。
同樣的,要傳檔案,請盡量透過雲端服務,用網路來傳,盡可能避免透過危險的隨身碟來傳;同樣是 Mac 的話,用更快速好用的 AirDrop 就好了。
9. 不要使用不明的網路連線服務
在各種駭侵攻擊中,有一種很常見的攻擊手法,就是駭客先駭入某個內部網路中比較容易攻擊得手的目標,例如沒更新的電腦或連網裝置,然後掃瞄內部網路中其他目標,鎖定含有重要資料的主機來進行攻擊,或是持續感染其他有漏洞的裝置。
因此,如果想要避免這類透過內部網路的攻擊,一來一定要啟用自己裝置上的防火牆或防毒防駭軟體,二來就是要避免使用不明的網路連線服務。
沒有加密的公眾無線網路,可以說是最危險的一種;攻擊者很容易在這樣的網路中散布惡意軟體,然後又可以接觸到大量的目標。
但即使用密碼上鎖的公眾無線網路,也未必會比較安全;像是飯店等公共場所的無線網路,密碼根本就寫在 Menu 或掛在牆上,甚至還有很多都是用電話等萬年不變的密碼。這種密碼根本等於沒有,駭客可以輕鬆在這樣的內部網路裡散播惡意軟體。
所以,你的手機或電腦中,如果真的有很敏感的資料,記得防火牆開好開滿,同時盡量用自己手機的熱點分享網路給自己用,少用別人分享的網路,也不要分享給別人用,免得後門洞開。
10. 可上網的裝置,務必避免中國品牌,也避免使用中國網路服務
最後一個技巧是我個人多年來的堅持:可以上網的各種資通訊裝置,我絕不買中國品牌的產品。至於像微信、抖音等中國網路服務,我也盡可能不用。
很多人讀到這裡,可能會覺得這裡有什麼政治偏見(對,我個人的政治立場十分明顯)。你要這麼說也行,但我有我的理由;想了解的話,就請你繼續讀下去。
為什麼要避開中國品牌的資通訊產品,而美國或其他國家的就比較不用避?並不是因為中國品牌就一定不安全,其他國家的就一定安全。完全不是這個邏輯。
公開透明,才是安全的保障
即使是美國品牌的資通產品,也是一天到晚被發現漏洞;但「被發現漏洞」這件事本身就是一種安全的保障。資訊自由的民主國家,有各種能夠發現問題、解決問題的機制,也有一堆資安專家和資安媒體當做守門員;如果有廠商膽敢在產品中放後門,很快就會被揭穿幹爆。
像中國這種極權國家則不然。一方面中國社會不民主不透明,缺少這種第三方的自清機制,另一方面,很多重要資通訊產品的生產者和網路服務商,背後都有中國政府和共產黨的勢力;黨和政府要他們做什麼,他們只能唯命是從。
從風險控管的角度來看,明知中國製產品的資安風險極高,卻因為便宜或其他理由而冒這個險,在我看來,根本就是開門揖盜。
所以,如果可以的話,建議大家,能上網的任何東西,都不要採用中國品牌。至於中國網路服務,能不用就別用;非用不可的話,盡量使用比較安全的裝置和作業系統(例如 iPhone)來用這些中國服務。
當然,信不信由你。你的資安,你自己負全責。
以上介紹的是十個資安自保技巧的第六個到第十個。如果你還想看前五個技巧,請由此去:
駭客有哪幾種?為什麼要幹這些壞事?我先前也寫過一篇,歡迎參考。
為什麼會看到廣告
175會員
34內容數
歡迎來到《Tenz 的科技新聞快評》。本刊預定每周更新若干篇,每篇嚴選幾則我認為比較重要的科技新聞,簡述新聞本身,並且加上我個人的觀點與評論,希望讓各位關心科技趨勢的朋友,能夠定期接收、輕鬆獲取最新科技動態與剖析。
目前本刊均為免費閱讀,未來將可能改為付費訂閱,但每周提供一篇免費文章。
留言0
查看全部
你可能也想看
Google News 追蹤
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。
然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
最近簡訊詐騙.愈來愈嚴重.花樣百出.ㄧ不小心.就會上當.
簡訊的內容.各式各樣都有.而且會附上網址.
附有網址的簡訊.就是詐騙簡訊.
千萬不要點簡訊附的網址.
那網址會連到釣魚網站、假網站、詐騙網站.
然後會要你登入帳號.輸入信用卡號.OTP認證碼.
你不知道OTP認證碼
在數位化日益深入的今天,駭客網路攻擊成為了各種組織和個人面臨的嚴重挑戰。本文將探討駭客網路攻擊的種類、影響及其防範策略,幫助讀者更好地理解和應對這一重要的安全問題。
什麼是駭客網路攻擊?
駭客網路攻擊是指未經授權的個人或組織通過技術手段,針對計算機系統、網路基礎設施或數據進行的攻擊行為。攻擊者可
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
最近通知收到有太多同學被詐騙的訊息,恩... 先簡單講幾個很容易被騙的手法,因為我的讀者多了一點,希望就是有看到的不要被騙到。
1.無法下單、認證金流+賣場凍結、賣場未升級詐騙
賣貨便、FB、DCARD、旋轉拍賣很常見,通常這種開頭就是『我家人要買,麻煩加他的賴發給他看一下 謝謝』最多的時
《反詐之歌》
詐騙手段花樣多,
防騙之心不可挪。
陌生電話須警惕,
中獎信息莫輕信。
網路連結勿點擊,
轉帳匯款要斟酌。
個人資訊保護好,
騙子無機可奈何。
這是朋友幾乎受騙的經歷,是4月9日才發生的真人真事,大家一定要注意!
致我的親朋好友:
我是OOO,昨日早上親
寫下這種很危言聳聽的標題,是現在台灣詐騙太囂張了
其實我寫這篇用意是為了不要再有無辜的民眾又被詐騙集團利用
以下這些故事新聞上都能查到相關類似劇情
通常出借銀行帳戶的人都是因為經濟條件不好 為了賺錢傻傻被騙
相信那些詐騙集團說的,因為詐騙太多,所以才想用高價去收購帳戶
因為風險高,所以很多
我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。
今天凌晨我正在上班,閒來無事逛起了臉書社團「告白警察」,想說我也來投稿徵友文,看有沒有機會因此認識男生,結果投稿連結點下去,裡面有釣魚廣告,我當時誤以為是表單的一部分,所以就傻傻的填了,包括需要信用卡認證,結果我填完,信用卡馬上被刷了1244元,我趕緊打給信用卡客服中心詢問該怎麼辦。
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。
有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編
徵的就是你 🫵 超ㄅㄧㄤˋ 獎品搭配超瞎趴的四大主題,等你踹共啦!還有機會獲得經典的「偉士牌樂高」喔!馬上來參加本次的活動吧!
隨著理財資訊的普及,越來越多台灣人不再將資產侷限於台股,而是將視野拓展到國際市場。特別是美國市場,其豐富的理財選擇,讓不少人開始思考將資金配置於海外市場的可能性。
然而,要參與美國市場並不只是盲目跟隨標的這麼簡單,而是需要策略和方式,尤其對新手而言,除了選股以外還會遇到語言、開戶流程、Ap
最近簡訊詐騙.愈來愈嚴重.花樣百出.ㄧ不小心.就會上當.
簡訊的內容.各式各樣都有.而且會附上網址.
附有網址的簡訊.就是詐騙簡訊.
千萬不要點簡訊附的網址.
那網址會連到釣魚網站、假網站、詐騙網站.
然後會要你登入帳號.輸入信用卡號.OTP認證碼.
你不知道OTP認證碼
在數位化日益深入的今天,駭客網路攻擊成為了各種組織和個人面臨的嚴重挑戰。本文將探討駭客網路攻擊的種類、影響及其防範策略,幫助讀者更好地理解和應對這一重要的安全問題。
什麼是駭客網路攻擊?
駭客網路攻擊是指未經授權的個人或組織通過技術手段,針對計算機系統、網路基礎設施或數據進行的攻擊行為。攻擊者可
由於台灣有家人力銀行資料外洩,以及我們戶籍資料外洩,所以目前只有好的客服人員和有手機驗證才有辦法讓你的帳號不被盜刷。
最近通知收到有太多同學被詐騙的訊息,恩... 先簡單講幾個很容易被騙的手法,因為我的讀者多了一點,希望就是有看到的不要被騙到。
1.無法下單、認證金流+賣場凍結、賣場未升級詐騙
賣貨便、FB、DCARD、旋轉拍賣很常見,通常這種開頭就是『我家人要買,麻煩加他的賴發給他看一下 謝謝』最多的時
《反詐之歌》
詐騙手段花樣多,
防騙之心不可挪。
陌生電話須警惕,
中獎信息莫輕信。
網路連結勿點擊,
轉帳匯款要斟酌。
個人資訊保護好,
騙子無機可奈何。
這是朋友幾乎受騙的經歷,是4月9日才發生的真人真事,大家一定要注意!
致我的親朋好友:
我是OOO,昨日早上親
寫下這種很危言聳聽的標題,是現在台灣詐騙太囂張了
其實我寫這篇用意是為了不要再有無辜的民眾又被詐騙集團利用
以下這些故事新聞上都能查到相關類似劇情
通常出借銀行帳戶的人都是因為經濟條件不好 為了賺錢傻傻被騙
相信那些詐騙集團說的,因為詐騙太多,所以才想用高價去收購帳戶
因為風險高,所以很多
我們分析了許多加密貨幣詐騙案例,歸納出一些共通的行為特徵要告訴你,讓你防患於未然;萬一日後自己或朋友遇到類似情境,就可以馬上辨識出這些警訊,避免成為加密貨幣詐騙的受害者。
今天凌晨我正在上班,閒來無事逛起了臉書社團「告白警察」,想說我也來投稿徵友文,看有沒有機會因此認識男生,結果投稿連結點下去,裡面有釣魚廣告,我當時誤以為是表單的一部分,所以就傻傻的填了,包括需要信用卡認證,結果我填完,信用卡馬上被刷了1244元,我趕緊打給信用卡客服中心詢問該怎麼辦。
假網站攻擊近10年一直是全球銀行業的頭痛問題,過去發卡機構也致力去防止因為日漸盛行的網上購物而引發的騙財技倆。
有一定年資的網購使用者,對於使用保安編碼器會有點印象,但成本太高,而且每天要帶着外出也十分不便(也容易出現遺失的風險),近年智能手機普及,很多銀行已經轉用mobileapp作為主要保安編