□你用公司的電子郵件帳號註冊社群網站嗎?
□為何一個帳密被盜,其他帳密也連鎖整串失守?
□你有定期檢查你的對帳單嗎?
許多人會用公司電子郵件地址註冊LinkedIn,Facebook和Adobe等網站,被竊的憑證可能讓攻擊者進入公司內部網路。
攻擊者假設使用者會在多個網站上重複使用密碼,因此請確保為不同的帳號使用高強度和個別的密碼。刑事局曾破獲歹徒將生日、電話等個資,破解數百名 Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。為了防止帳號不再被盜,每次註冊新程式時,最好設定不同的帳號/密碼!
下文將告訴你一旦駭客拿到你帳號密碼,可能發生的七件事和如何保護你的帳號密碼。包含為何要定期檢查你的信用卡或金融簽帳卡。
大量資料外洩事件連環爆,你必須懂的帳密被竊七個流向與七個保護密訣
從買衣服和付帳單到溝通和求職,人們越來越常使用這些讓生活更加方便的網站和線上服務。網路娛樂的使用度也在成長,人們放棄了傳統電視而轉向訂閱隨選服務,像是Netflix、Hulu和Amazon。甚至音樂也來自線上服務,如Spotify和Apple Music。雖然這些服務的價格合理且方便,但在消費者使用前必需給出一定的資料 – 至少需要電子郵件地址或電話號碼,以及信用卡資料和付費帳單地址。
這些服務都是為了方便、快速而設計,安全性可能就沒有列在優先考慮之中。最近大量的大規模資料外洩事件顯示多麼容易就能夠在網路上竊得個人資料。就在上個月,雅虎證實約有5億筆帳號被竊,讓5億人蒙受一連串可能的安全問題。在地下市場可以輕易地找到Netflix密碼,還有PayPal、Ebay、Dropbox和其他熱門網站的用戶憑證。網路犯罪分子取得帳戶資料並打包銷售。
他們可以得到什麼?純粹的利益。你可以到這裡計算網路犯罪分子可以從各種不同網站憑證中賺得多少。
用竊來的使用者名稱和密碼破解其他網站上的帳號
憑證填充(Credential stuffing)或者說用竊來的使用者名稱和密碼,破解其他網站上的帳號,是使用這些遭竊憑證的方法之一。顯然地,許多使用者會重複使用密碼,這說明了為什麼這種作法被證實很容易成功。外洩的電子郵件地址還會給受害者帶來許多其他風險。個人電子郵件帳號常用來驗證其他網路帳號,這讓網路犯罪分子可以用一組憑證來存取其他網站。
大量暫存資料是比個人帳號更有利可圖的目標,這也是為什麼網路犯罪分子會將目標放在擁有大型資料庫的網站。除了雅虎外,LinkedIn和MySpace的外洩事件也洩漏了數以百萬計的網路帳號。因為這些熱門網站大規模資料外洩事件所影響的大量用戶也迫使許多組織建立自己的防禦措施,並促使立法單位去討論關於資料外洩更加強勢的立法。
身份竊盜和帳號詐騙並不全是網站資料外洩所造成,使用者也要負責
身份竊盜和帳號詐騙並不全是網站資料外洩所造成。有時資料的遺失也可歸責於個人。儘管使用者意識和敏感度日益提升,還是有許多人會成為傳統網路釣魚(Phishing)詐騙的受害者,可能是經由電子郵件和惡意網站等各種不同手法。這並不能全怪使用者 – 因為攻擊者也越來越精細。
本落格曾報導過刑事局警告:假 Gmail異常登入通知,真騙密碼!駭客善於利用竊來的帳號資料來進行所謂的網路釣魚(Phishing)攻擊,偽裝成Yahoo或其他公司來寄送電子郵件給目標。詳細的資料可以用來讓電子郵件看起來更真實。
他們可能會要求受害者點入連結來確認帳號或是類似的手法。這樣做的目的是為了得到更多使用者的敏感資訊,通常跟財務有關。或甚至利用資料竊取惡意軟體來加以感染。
網路釣魚詐騙手法推陳出新,詐騙者通常會假冒合法公司,並要求登錄詳細資料或帳戶憑證。也有假網站會要求使用者先登錄詳細資料才能看到某些內容 – 這是一些合法網站也常做的事情。當使用者破解了舊手法,詐騙份子就會推出新的。
⊙延伸閱讀:網路釣魚如何盜帳號,冒用身分? 辨認網路釣魚四個小秘訣!
一旦駭客拿到你帳號密碼,可能發生的七件事
1.到地下市場兜售:網路犯罪分子可以將你的資料賣給其他犯罪團體,讓他們在其他攻擊計畫裡使用你的資料。例如,根據一個地下市場的研究,你寶貴的登錄憑證可以在地下市場賣到一至五美金。
2.使用線上服務,你買單 – 除了拿你的電子郵件地址和個人資料可以用來註冊其他網站外,犯罪份子在用戶不知道的情況下,還可以免費使用竊來的Netflix、Amazon和Uber等專業服務。
3.進行非法交易: 利用你的密碼進行未經授權的交易,比如取得網路銀行憑證,進行非法金融交易。
4.藉以進入企業網路 –許多人會用公司電子郵件地址註冊LinkedIn和Adobe等網站,被竊的憑證可能讓攻擊者進入公司內部網路。
5.一組帳密被盜,其他帳密連鎖失守-刑事局曾破獲歹徒將生日、電話等個資,破解數百名 Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。為了防止帳號不再被盜,每次註冊新程式時,最好設定不同的帳號/密碼!
*憑證填充(Credential Stuffing) – 這是指攻擊者嘗試用來自外洩事件的被竊憑證來進入其他網站。攻擊者最愛這些在多個網站上重複使用相同帳號名稱和密碼的萬年密碼使用者,這讓他們只需吹灰之力就可得到覬覦的目標。
6.發動網路攻擊:攻擊者可以用你的電子郵件寄送網路釣魚郵件或成為DDoS攻擊的一部分。
7.勒索被駭人 – 在某些情況中,受害者的電子郵件或網路帳戶含有敏感資料,可能被用來勒索。
七個保護帳號小秘訣:
1.點擊連結前,滑鼠先 hold 一下。在你點開未知來源的電子郵件前,在你將任何社群媒體帳號連結到新遊戲或應用程式前,甚至在你登錄任何新網站前,請先確保它是合法的。
⊙延伸閱讀::10 個誤點率高的網路釣魚類型,每天有100 次掉進駭客陷阱的風險!
2.保持更新。更新你的作業系統並確保自己安裝了最新的安全修補程式。
3.使用雙因子認證 Two-Factor Authentication (2FA)。我們從雅虎、LinkedIn和Dropbox等網站的外洩事件中學到什麼?網路犯罪分子已經成功地從熱門網站獲取數以百萬計的使用者名稱和密碼。保護你帳戶的方法之一是啟用雙因子身份認證,這是許多熱門網站和服務都提供的功能。此功能要求對你的網路帳戶進行兩種類型的身份驗證,例如密碼和經由行動設備發送的代碼,讓未授權方想使用被竊憑證登錄變得非常困難。
4.定期檢查你的對帳單。了解你的信用卡或金融簽帳卡是否被盜用。如果你發現任何可疑活動,請密切注意你的帳戶並迅速通知你的銀行。
5.在不同的網站使用不同的密碼。這種做法可以消除竊自一個帳號的憑證會用來進入你其他帳號的風險。今年早些時候,一家網路備份公司被攻擊者利用從另一個網站所竊取的憑證進行攻擊。攻擊者假設使用者會在多個網站上重複使用密碼,因此請確保為不同的帳號使用高強度和個別的密碼。
6.不同用途使用不同的電子郵件信箱。使用不同的電子郵件信箱進行個人通訊、工作和網路娛樂。這樣一來,如果一個電子郵件信箱遭受入侵,攻擊者也無法存取敏感資料和其他帳號。
7.取得完整的保護。有效而全面性的安全解決方案可以協助你安全地享受數位生活。趨勢科技PC-cillin雲端版可以防護多個設備,協助管理密碼和防範常見的網路威脅。
@原文出處:National Cybersecurity Awareness Month: Protecting Your Online Accounts
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。