《資安防護系列2》釣魚網站要小心 連網先看安全憑證

祝潤霖 2020/07/05 17:42 點閱 12094 次
如果誤點釣魚網站,被名為「社交工程」的詐騙手法所欺,很可能洩漏個資,甚至連臉書、LINE帳號都被盜。(photo by Shutterstock)
如果誤點釣魚網站,被名為「社交工程」的詐騙手法所欺,很可能洩漏個資,甚至連臉書、LINE帳號都被盜。(photo by Shutterstock)

【台灣醒報記者祝潤霖台北報導】「如果不慎點到釣魚網站,很可能洩漏個資,甚至連臉書、LINE帳號都被盜!」科技立委高虹安受訪指出,受害者輕則社群網站帳號被盜,嚴重者連銀行密碼都有洩漏風險,點擊網頁前最好認明SSL安全憑證。資安專家黃啟誠也提醒,遊戲透過臉書帳號方便登入,其實是資安漏洞。

認明SSL安全憑證

「用禮物吸引你點進網頁,並要求你輸入如臉書帳號密碼等,然後對方就可以竊取你的帳號密碼。」高虹安表示,前些日子她幫同黨立委邱臣遠阻止了帳號被盜,他說臉書專頁被檢舉侵權,要他趕快點下連結救回他的臉書,「這就是『社交工程』詐騙,讓你以為是臉書官方。」吳念真導演就是這樣被盜走臉書帳號的。

「現在粉絲專頁也可以算是有價資產了。」高虹安說,當對方盜取帳號、改掉密碼後,可直接把專頁轉成想要的用途。「更可怕的是,一般人使用的密碼就是固定幾組,它可以用這組密碼去推估你的銀行密碼。」社群網站密碼可能跟網銀或電子支付密碼近似,一開始只是臉書被盜,後來可能連電郵跟網銀都被盜用。

高虹安強調,關鍵在於網頁有沒有「SSL數位憑證」,網址前的http後面如果有加s的話,那個s是secure安全憑證的意思,網址列前面也會有一個綠色的鎖頭,表示網頁是被保護的,可以防止第三方的攔截,「當我看到那個網址,既不是臉書官方,也沒有SSL數位憑證,會覺得可疑性很高,就會避免去點擊它。」

社群平台不重資安

博斯資訊安全創始人黃啟誠也指出,一般使用者玩遊戲,逛購物網站、影音網站或交友網站,最常用的登入方式就是臉書、Google或LINE,直接就可登入。「為什麼要這樣子?因為方便嘛!」因為用戶方便,服務的提供商也方便,在大家都方便的情況下,因不需要再做一些個人化認證,「其實就是資安最大的漏洞!」

「服務提供商讓你進來,也只是跟臉書做一個簡單的API串接。」黃啟誠說,「但只要駭客竊取到臉書帳號,很簡單就可以用你的名義登入到這些網站。」現在大家對於登入保護的觀念太薄弱了,只要「我想玩」就好,很多遊戲連臉書帳號都不用,只要點擊就能進去玩,因為它要的就是用戶來體驗,沒有想到資安問題。

「等到它的遊戲很火了,像天堂一樣很多人在玩,才回頭來想到資安的問題,已經來不及了!」黃啟誠強調,常見的臉書、LINE盜帳號,也跟社群網站平台的資安沒有做好有關,都是使用一些很簡單的認證方式,只要被駭客攻入,就是整個帳號密碼都被偷走,玩家不可不慎。
cari