如果有朋友跟你說你一直寄奇怪的電子郵件給他們或在他們 facebook 等社群帳號的塗鴉牆上貼你不太可能貼的垃圾訊息,你大概已經知道發生了什麼事:你的電子郵件帳號被駭了。這時請冷靜下來,照下列簡單的四步驟進行:
駭客不一定會更改你的帳號密碼。所以你仍可能登入你的帳號來防止遭受進一步的攻擊。要變更密碼只需利用登入頁面的「忘記密碼」連結。記得替所有裝置上的帳號都這樣做。
請記住:
[延伸閱讀:InfoSec指南:減輕電子郵件威脅]
掃描你的帳號設定並檢查是否出現任何可疑的異動。駭客可能設定將你的電子郵件轉寄給他們,讓他們能夠接收登入資訊並取得聯絡人的電子郵件地址。如果你有用電子郵件簽名,也請檢查是否出現可疑的變動。
請記住: 繼續閱讀
☝Google帳號及Apple ID的設定
開啟智慧型手機電源,完成語言及Wi-Fi等的設定後,在Android裝置上會被要求輸入Google帳號,iPhone手機則是必須輸入登錄Apple ID帳號以便確認。使用Google帳號及Apple ID帳號時,Google及Apple為了提供消費者各項的服務會要求輸入帳號及密碼。
已持有Google帳號及Apple ID帳號的用戶,可延續使用此帳號,但在此為防止帳號被不肖第三方盜用,設定密碼是很重要的。使用社群網站服務時,必須使用經過本人認證的帳號及密碼來進行登錄,一旦在多數的社群網站服務上使用同一組密碼或易被猜測的傻瓜密碼,被破解的危險性增高。在裝置上使用帳號來登錄時,請務必設定一組讓難以推測的密碼。
☝社群網站隱私設定
一旦拿到智慧型手機,每位用戶幾乎都會迫不及待地想使用Facebook Instagram、Twitter、LINE等SNS的社群網站。開始使用社群網站時必須留意的就是隱私權的設定了。為了不被其他不肖人士窺探個資請進行適當的隱私權設定,及限制個人自我簡介及貼文的公開對象。 繼續閱讀
趨勢科技部落格曾在“關於密碼千萬不要做的四件事與密碼設定小秘訣”這篇文章中提到:密碼就跟你的牙刷一樣,不要跟任何人共用。但英國國會議員似乎不這麼認為….去年 12 月媒體揭露英國國會議員與他人共用帳密是常態!事件導因於貝德福郡議員Nadine Dorries 在 Twitter上承認讓助理或實習生用她的電腦來幫她管理電子郵件。經過 Twitter用戶和新聞評論員的反應之後,其他國會議員也相繼回覆她的留言。一名議員說自己經常忘記密碼而必須問他的工作人員,另一位則說會讓電腦保持在不上鎖的狀態,並且與辦公室主管共用密碼。除了議員,前員工也參加了討論。一位前研究員說當自己為一名議員工作時,他會定期登入並使用老闆的電腦。
近日又爆出 26% 的澳洲政府官員都使用個資外洩事件中經常被揭露的傻瓜密碼,比如 17個政府機構的 23 萬 4000個密碼中,超過5000個密碼包含 password字母, 7000個密碼包含123,1464人設置的密碼為 Password123;813人設置的密碼為 password1;近200人直接設置密碼為password,而且從未更新。
「password」「123456」資料外洩事件被盜密碼常客
趨勢科技曾多次提到密碼管理的文章,「password」總是蟬聯資料外洩事件中被盜密碼榜首,傻瓜密碼常客還包含數字系列,如:「123456」和「12345678」;鍵盤方向順位組合,如: !@#$,123456!@#;abc 系列”如:abc,abc123;admin 系列,如:adm1n.admin!@#123;單字系列,如:baseball,batman;上帝系列,如:god,godblessyou。
根據歷年駭客公布重大帳密被盜事件分析出的全球最駭密碼,「password」蟬聯榜首,緊隨其後的是「123456」和「12345678」。
LINE公布「七大不安全登入密碼」,你中了幾個 ?
先前LINE公布「七大不安全登入密碼」,快來檢查看看這些是不是你常用的密碼設定習慣:
1.一組密碼走天下
2.生日
3.純數字
4.密碼太短
5.跟帳號一樣
6.常見單字
7.連續字母
Google:“寵物名字”是最爛的密碼
與名字相關的統計還包含寵物名字、孩子名字 、家人名字,根據「時代雜誌」(Time)網站報導,Google 訪問2000名民眾選擇帳號密碼的方式。發現”寵物名字”是最爛的密碼。“大部分民眾依據手邊的資訊選擇密碼”研究結果凸顯了這項令人憂心的事實,駭客只要動動手指頭,使用搜尋引擎,查一下 facebook 個人資料,就能輕易找到寵物名字,紀念日,就讀學校等資料,進而能入侵多數帳號。
根據Google 分析,用戶最常使用的密碼如下:
1、寵物名字
2、大日子,如結婚紀念日
3、家人生日
4、孩子的名字
5、家庭成員名字
6、出生地
7、最愛的節日
8、最愛的運動團隊
9、重要人士的名字
10、直接用「password」當密碼
報告也顯示,48%民眾會讓別人知道自己的密碼,3%的人還會將密碼記在便利貼上。
刑事局曾破獲歹徒將生日、電話等個資,破解數百名 Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站
您是否也是只用一組帳號/密碼行遍網路各項服務的用戶呢?如果您習慣使用同一組帳號/密碼,那當您的帳號/密碼被盜的時候,駭客可藉機入侵多數的網路服務(應用程式)帳號。刑事局曾破獲歹徒將生日、電話等個資,破解數百名 Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。為了防止帳號不再被盜,每次註冊新程式時,最好設定不同的帳號╱密碼!
保護電子郵件帳號的六個基本技巧
保護密碼是保護系統的最基本步驟之一。共用密碼會造成組織網路的脆弱環節,讓攻擊者輕易地進入系統。而被入侵的電子郵件就可能帶來許多不同的攻擊,甚至可以利用這些帳號密碼來取得對網路更深入的存取權限。
隨著資料外洩等網路安全事件變得越來越普遍,加強電子郵件和網路帳號的安全防護也是所有使用者的首要任務。以下是如何保護電子郵件帳號的一些基本技巧,也可以讓其他人安全地存取你的電子郵件:
關於密碼千萬不要做的四件事 :
不要字典裡選字
不要使用姓名、出生日期、年齡、電話號碼、寵物名字、球隊或任何跟你有關的東西
不要在不同用途的地方都使用相同的密碼
不要跟別人共用你的密碼,絕對!!!
延伸閱讀:跟另一半共用帳號嗎?(信件被偷窺導致失去孩子監護權真實案例)
🔴 PC-cillin 雲端版內建密碼管理通,再複雜的密碼都不會忘記 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位 ➔ 即刻免費下載
當人們想到竊聽,腦海裡浮現的可能是個黑衣人躲在角落裡偷聽別人的談話。不過隨著VoIP語音電話的出現,企業開始認識到會影響公司商業電話的數位竊聽。
而到了今日,對竊聽的擔憂已經轉去擔心最新的網路犯罪手法。而實際上,駭客們並沒有忘記傳統的攻擊方式,有證據顯示這類攻擊在今日仍被使用著。
這會造成一種危險的情況,企業專注在新興的威脅,而放鬆了對舊駭客攻擊手法的防禦。在今日的威脅形勢,網路犯罪分子會利用各種可用的新舊攻擊策略,企業必須部署各式防禦措施來保護自己的資產。
VoIP受到攻擊?
在過去,竊聽主要是針對SIP連線及VoIP電話,讓企業特別的關注。這很容易理解,特別是想到這些一對一談話或電話會議裡會討論的敏感資訊時。
根據EdgeWater Networks的報告,雖然這種攻擊手法並不新(自21世紀初就有針對SIP協定的竊聽出現),駭客最近一直在重新審視竊聽和竊取資料的方法。由於許多企業SIP協定並沒有足夠的安全性,因此網路犯罪分子很輕易地就可以利用這些弱點上手。
“SIP現在是VoIP協定的首選目標,佔51%的攻擊。”
EdgeWater Networks的撰稿者Rosa Lear寫道:“現實是,SIP協定和一般公司保護它的方式並不需要用到高深的駭客技術去進行攻擊。”
更重要的是,IBM管理服務的資料顯示SIP目前是VoIP協定的首選目標,佔2016年攻擊的51%。
超越 VoIP:WiFi 竊聽
雖然SIP攻擊仍在發生(通常是因為缺乏適當的安全防護和弱密碼),但這並非數位竊聽的唯一問題。
正如趨勢科技網路威脅研究員Jindrich Karasek所指出,WiFi網路無法防止被竊聽。因為有越來越多的裝置連接,讓駭客可以找到大量可用的端點。
「暴露在網路上的每一台裝置都可能成為攻擊者的進入點。例如當監控攝影機在連接WiFi網路時沒有對流量加密,攻擊者就可以窺視特定環境內的鏡頭,」Karasek寫道。 「無線網路可以說天生就不安全,可能會讓陌生人未經授權就進行存取,而這些陌生人可能會竊聽傳輸的資料。雖然已經有許多安全協定被開發來保護無線網路,但這些年來這些協定本身的弱點也已經出現。」
跟SIP弱點會讓駭客竊聽VoIP系統相似,包括WEP加密協定在內的WiFi協定也出現了漏洞。在2001年,研究人員Scott Fluhrer、Itsik Mantin和Adi Shamir展示了如何利用WEP來讓駭客監視和存取網路流量。這種方法後來被稱為FMS攻擊。
WiFi竊聽:對駭客來說並無難度
雪上加霜的是這些攻擊對於今日的駭客來說肯定沒有問題。網路犯罪份子所需要的只是一台無線裝置裝上具備特定開放原始碼或可公開取得的工具,再加上足夠的網路流量。
正如Fluhrer,Martin和Shamir所說,透過對WEP流量的監視,駭客可以用明碼查看大多數封包的前幾個字元。這樣一來可以讓他們取得足夠多的封包來找到密碼,並利用這些密碼來發動進一步的攻擊。
“密碼越短,解密過程就越快,”Karasek指出。“例如,像’hackm’這樣的短密碼只需要四分鐘就可以解碼。”
對惡意竊聽敞開大門的情境
要如何得知自己的組織可能面臨此類攻擊的風險?在某些情況下,只要條件符合就可以讓駭客利用來進行這類惡意活動:
“攻擊者可以假裝坐在大廳等人,享受咖啡,打發時間或只是站在附近看手機,”Karasek說。“攝影監視並無濟於事,因為看起來只像是在正常瀏覽,或者設備可能藏在包包中或在整個攻擊過程中被遮蓋著。”
雖然這個人看起來可能就像是個普通的路人,但實際上他是在竊聽網路活動,努力破解弱密碼或監控其他流量。
防止竊聽
由於竊聽在傳統SIP連線仍然存在,新的WiFi及其他網路協議也一樣,因此確保所有端點及進入網路的入口通道都是安全的非常重要。
這包括了使用更強的密碼,而不是弱、簡單密碼和預設設定。此外,應該適時地建立防火牆和使用虛擬專用網路(VPN)。
進階的解決方案,如趨勢科技Deep Security可以提供深度封包檢測和入侵防護,還有趨勢科技OfficeScan的端點保護,可以幫助對未經授權的活動提供強大的安全保護。
@原文出處:Why Enterprises Still Have to Worry about Eavesdropping
