一朝外洩,終生駭怕 -社群貼文曝光的臉部、虹膜、聲音,恐出賣你

社群媒體上的生物辨識特徵如何影響您的未來?

化妝教學影片、高解析度專業攝影照片、參與不眨眼挑戰,這些在社群網站曝光的貼文,會有哪些資安風險?
生物辨識技術被某些人推崇為比密碼辨識還安全且更容易使用的替代方案。然而,在我們身上的生物特徵卻不像密碼那樣可以輕易變更,因此若萬一遭到外洩,將有很大的可能對使用者帶來深遠影響。
你有想過你在網路上發布的照片、影片和音訊,可能會洩露出敏感的生物辨識特徵,成為網路駭客利用的目標?這些特徵幾乎終生不變,不僅可以在現今的攻擊中使用,也能在未來對你構成威脅。

⭕️ 下載報告「 一朝外洩,一輩子蒙受其害:社群媒體生物特徵資料如何影響未來生活」(Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect Your Future)


內容創作者一般都使用最頂級的相機及燈光設備來拍攝影片,許多時尚與美容專業人士有時還會用到近拍特寫,像這樣的影片會暴露許多他們的生物辨識特徵。

那麼,駭客可以拿您臉部的高解析度影片來做些什麼?

  • 利用Deepfake(深偽技術)使用您的臉部和聲音特徵製作虛擬角色。
  • 盜取使用語音驗證的帳號 (例如,念出清單中的某個片語,或唸出某個隨機產生的片語來通過認證)。
  • 盜取使用臉部辨識驗證的帳號。

高畫質的照片會讓駭客更容易取得生物辨識特徵,進而用於驗證或識別用途。

駭客能局部放大高解析度照片 (例如一些專業活動所用的那種) 來取得可用的生物辨識資料。比方說,我們可以在範例照片中清楚看到模特兒的指紋。另一個例子是耳朵的形狀,耳朵形狀儘管不能用於認證,但卻可以用來比對監視錄影畫面中的人物。

如果是專業影像,影像中的 Metadata 還可提供更多有關被拍攝者的資訊,進一步提高了駭客攻擊的成功率。除了社群媒體之外,企業入口網站或新聞也會經常用到一些照片,這些照片也會含有一些關於個人的細節。

今日,生物辨識技術在認證上扮演著比 10 年前更重要的角色,許多裝置和網路帳號現在都透過臉部辨識或掃描眼睛來認證。

從社群媒體上取得照片之後,駭客就能做到以下事情:

  • 使用生物辨識認證來進入偷到的裝置。
  • 在使用生物辨識進行認證的平台上,以某人的名義建立帳號。
  • 假扮成某人並使用他們的個人或企業帳號。

不論是手機的相機或手持式影音部落格攝影機,目前都在快速演進和進步,而且 HD 或 4K 影片已經是社群媒體貼文的標準。不幸地,有些人的裝置已經強到可以讓歹徒擷取到有用的指紋資料。

這之所以特別危險,是因為指紋已經成為許多裝置 (從智慧型手機到公司筆電) 以及帳號預設的認證機制。在某些國家,您甚至可以使用指紋來購買商品或服務。

這項個人資料變得可以公開取得,而且在許多情況下,甚至是被積極推廣的,目的就是希望讓更多人看到這些影片。如果是一些名人和專業人士,可能有數百萬人會看到他們的影片和照片。但他們卻很難控制這些生物辨識特徵資料不被流傳,他們甚至不曉得誰能取得這些資料、內容如何被使用,以及這些資料將被保存多久。

長久以來,生物辨識資料一直被應用於資安、犯罪調查、鑑識分析,以及大樓門禁。但現在,生物辨識資料已經成為主流,有數千萬人每天都在使用臉部辨識和指紋辨識系統。這意味著,假使處理這類生物辨識特徵資料的技術和流程出現了漏洞或弱點,那麼這數千萬人將立即受到影響。除了前述的情境之外,經由社群媒體暴露的生物辨識資料還有以下風險:

  • 訊息與身分冒用詐騙。有了社群媒體上暴露的生物辨識資料和資訊,駭客就能聯繫和詐騙受害者的親朋好友。
  • 變臉詐騙。駭客可在電話當中使用Deepfake(深偽技術)來假扮成您的同事或業務合作夥伴,騙他們執行匯款。
     趨勢科技AI 防詐達人App加入防堵以深偽 (deepfake)形成的換臉詐騙行為,可即時識別以人工智慧變更換臉的影片或直播畫面,藉此避免惡意人士以名人臉譜、熟識面孔進行詐騙。
    ☞ Android用戶請立即免費下載 ☞ iOS用戶請立即免費下載


  • 建立新的帳號。駭客可使用網路上暴露的資料來騙過身分認證服務,進而在銀行或金融機構 (甚至是政府機關) 建立新的帳號,然後將這些帳號用於惡意活動。
  • 恐嚇。使用社群媒體上暴露的生物辨識資料,駭客就能製作更有效的恐嚇材料。
  • 假訊息。駭客可能假扮成名人來操弄大眾輿論,這樣的手法肯定會造成金融、政治,甚至聲譽上的後果。
  • 接管裝置。駭客可能竊取或掌控物聯網裝置或其他使用語音或臉部辨識的裝置。

除了生物辨識特徵之外,還有一些「非」生物辨識特徵可能被用來識別或分析個人,包括:無法去除 (或幾乎無法去除) 的特徵,例如胎記或刺青,以及可去除的特徵 (如衣服和配件)。這些特徵可用來分析一個人的社會地位、種族、年齡等等。此外,駭客也可能利用社群媒體上暴露的名牌服裝、太陽眼鏡、帽子、包包等等來決定其攻擊和犯罪的優先對象。


◎瞭解更多 趨勢科技AI 防詐達人
Android用戶請立即免費下載iOS用戶請立即免費下載

哪裡可以看到這類生物辨識特徵?

許多平台及許多類型的媒體,都可以看到這類暴露在外的生物辨識特徵。比方說,即時通訊軟體 (如 Telegram 群組聊天)、 社群媒體平台、政府與企業入口網站,以及各大新聞媒體。

我們可以做些什麼?

生物辨識資料的一項問題就是:它不像密碼,一旦洩露之後,幾乎不可能變更。我們怎樣才能更換一副新的虹膜或指紋呢?它就像您一輩子無法變更的密碼,一旦遭到公開,不論 5 年、10 年之後都還是能夠使用。所以您很重要必須知道的就是,您到底有哪些個人生物辨識資訊已經被公開,這些資訊的曝光將對您造成什麼影響。

對一般使用者來說,我們建議您使用一些較不容易被曝光的生物辨識特徵 (如指紋) 來進行認證或驗證敏感的帳號。最好可以降低網路影像的畫質,甚至將某些特徵模糊掉。對於正在使用生物辨識特徵的企業來說,最基本的應該要有三項認證因子:❶使用者擁有的東西、❷使用者知道的東西,以及❸代表使用者本人的東西。當三者結合起來,再搭配每個帳號專屬的某些東西時,就能構成非常有效的認證或驗證機制。最後,任何需要處理敏感資料和資訊的企業都應該標準採用多重認證 (MFA)。

欲了解有關這項威脅的更多資訊以及如何防範攻擊,請閱讀我們的報告「 一朝外洩,一輩子蒙受其害:社群媒體生物特徵資料如何影響未來生活」(Leaked Today, Exploited for Life: How Social Media Biometric Patterns Affect Your Future)。

⏬ 下載研究報告

⏬ 下載單頁摘要


⭕️ AI 防詐防毒

趨勢科技PC-cillin雲端版 運用最新 AI 防毒防詐技術,全面保護您的身分隱私,讓您享受上網安心點。

不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用




✅ 獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握
✅社群帳號盜用警示 在災害擴大前,搶先一步做好防範
✅全球個資外洩追蹤 24小時為您監測守護
✅跨平台密碼安全管理讓 您安心儲存所有網路帳密

IG

⟪資安漫畫⟫毛孩爸媽必知!社群分享萌寵照的三個 NG 行為

曬毛孩萌寵照前,先來看看這3個小提醒吧!

隨著社群媒體的盛行,分享萌寵照片已成為許多毛孩爸媽的日常。看著毛孩們可愛逗趣的模樣,確實讓人心花怒放。然而,在享受分享的同時,我們也必須注意一些隱私問題。以下將分享三個在社群上分享萌寵照時常見的NG行為,提醒各位汪星人/喵星人爸媽在分享毛孩的同時,也能保護自己的隱私。
✳︎ 特別提醒:許多人喜歡及時發布天氣或自然現況,如「地震」‼️、「有彩虹」或是告知某某列車延誤的交通狀況,為什麼不建議這麼做呢?請看內文。

首先考驗一下你的眼力,請找出這張圖片有哪三個不該曝光的犯規動作。

繼續閱讀

TikTok Shop三種常見詐騙手法!在您購物之前應該知道的事

TikTok Shop 合法嗎?在您購物之前應該知道的事

TikTok Shop 是直接在 TikTok (抖音) 內購買商品的一種全新購物方式。不過,在您購買任何東西之前,您很重要的是要了解它到底安不安全?能不能信任?

本文帶您了解 TikTok Shop 是否合法,並分享一些協助您安全購物的必要祕訣。

TikTok Shop 是什麼?


TikTok Shop 是 TikTok 程式裡面的一個電子商務功能,提供了各式各樣的產品:從時尚、化妝,到科技與家庭用品應有盡有,可說是一個很方便讓賣家觸及 TikTok 受眾的方式。

繼續閱讀

IG帳號被盜怎麼辦?三個步驟找回來

IG大量盜用事件發生中,小心好友傳的可疑連結 !!

小心近期大量民眾 IG 被盜,瘋狂向好友發送「限時秒殺,幫忙砍價格」和「幫忙輔助驗證」的訊息。注意!就算是好友傳的連結也不要輕易相信,背後可能是詐騙集團。
小心近期大量民眾 IG 被盜,瘋狂向好友發送「限時秒殺,幫忙砍價格」和「幫忙輔助驗證」的訊息。注意!就算是好友傳的連結也不要輕易相信,背後可能是詐騙集團。

駭客如果能夠登入你的社群帳號肯定不是件令人愉快的事情。如果不阻止,他們就可能會冒用你的名義發文,冒充你發訊息給你的朋友,甚至會刪除你的帳號。

懷疑你的Instagram帳號可能被盜了嗎?本文會介紹一三個讓你能取回帳號控制權的作法。


繼續閱讀

Facebook詐騙警報:「無法相信他已經走了」

有一種社交工程(social engineering )陷阱詐騙叫做「無法相信他已經走了」,專門在社群媒體上利用人們的情感 (尤其是同理心與好奇心) 來誘騙受害者點選惡意連結。

Facebook 時常會出現這類詐騙,尤其是一些被盜的帳號。其目的是要利用人們的同情心,刻意捏造令人震驚的內容,如假新聞事件,然後再配上一個影片連結。然而,不知情的使用者一旦點選了這類連結就會被帶往有害的網站,而非合法的新聞來源。

圖片來源:Pexels

「無法相信他已經走了」這類的詐騙如何運作?

這種網路釣魚技巧在 Facebook 上已存在多年,它們會不斷更換新的話語和連結來躲避偵測。詐騙集團會不斷更新詐騙貼文的範本,但所利用的情緒是相同的,而且這樣的手法至今仍然有效。

繼續閱讀