當您的姓名、出生年月日、照片、聯絡方式、信用卡號、銀行帳戶資料,以及用於各種網路服務認證上的帳號與密碼在網路上外洩,會發生什麼事呢?
如果這些資訊落到惡意的第三方手中,可能會發生隱私受到侵害、財物損失、被他人假冒、被跟蹤或脅迫等情況。因此,我們必須在平時就小心運用及管理自己和家人朋友的個人資料。
BBC 報導指出一個叫做「Maktub」的勒索病毒 在 2016 年大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊,要求他們點郵件中的連結列印發票,而這個連結會讓電腦感染勒索軟體。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。值得注意的一點是,網路釣魚(Phishing)郵件內容當中不僅寫出了收件人的姓名,還附上了受害人的地址。包含 BBC 的工作人員在內,都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。
[延伸閱讀]
- 勒索病毒竟知道你家地址?
- ” 詐騙集團為何知道我的名字 ? “一旦個資外洩,就等於是開放給所有的網路詐騙集團
- 您的個人資料值多少?(資料圖表)
- 點選熱門新聞也出事?五個意想不到信用卡遭盜刷原因
「3分鐘被盜刷35萬」「我又沒訂!外送平台綁信用卡,遭盜刷3-4萬」 這些新聞讓大家看得心驚膽跳。在線上購物或建立帳號時所輸入的付款資訊,或是在實體店頭刷卡消費,隨後被彙整到線上的刷卡資料,這些資料是犯罪集團目前鎖定的重大目標。信用卡遭盜刷的原因,除了網路釣魚外,還有哪些意想不到的原因 ?
犯罪分子可能會拿你的個資做的八件事
一旦你的個人身份資訊(PII)被盜,通常會在暗網上賣給那些會將其用於惡意用途的人。它可以被用來:
- 破解其他使用相同帳密的帳號(透過憑據填充)。2018年有300億次這樣的攻擊。
- 登入你的網路銀行帳號來取走資金。
- 以你的名義辦理銀行帳號/信用貸款(這可能會影響你的信用評等)。
- 以你的名義訂手機或將你的SIM卡轉到新裝置(每月影響7,000名美國行動網路運營商Verizon客戶)。
- 以你的名義購買昂貴物品(如新手錶或電視機)用於犯罪轉賣。這通常是透過劫持你在電子零售商的網路帳號進行。據說電子商務詐騙每年大約造成約120億美元的損失。
- 提交虛假的退稅單,以你的名義收取退稅。
(美國曾發生駭客蒐集民眾個資騙過了稅單申請服務的身份驗證程序,盜領退稅恐達15億的事件) - 利用你的保險詳細資料進行醫療服務。
- 可能會入侵工作帳號來攻擊你的雇主。
七個造成資料外洩的原因
我們在日常生活中使用電腦或智慧型手機時,個人資料究竟是如何外洩出去的呢?我們一起來確認其主要外洩途徑和原因。
1.網路釣魚攻擊
盜取網路使用者個資的手法中,最具代表性的方式就是網路釣魚(Phishing)詐騙。舉例來說,其手法之一就是以釣魚郵件將使用者引導至偽裝成真實購物網站、銀行、信用卡公司或網路服務等之合法登入頁面的假網站(釣魚網站),藉以竊取使用者在該網站所輸入的個資。除了引導至釣魚網站外,其他還有各種形式的巧妙手法,例如誘導使用者安裝惡意應用程式或要求回覆釣魚郵件。
從你購物的網站偷偷收集信用卡資訊。因為新冠狀病毒(COVID-19,俗稱武漢肺炎)封城期間有更多使用者湧向電子商務網站,使得網頁卡號側錄相關的事件在三月增加了26%。
2.盜用帳號:
當Apple ID或Google帳號、Amazon或樂天等購物網站、Facebook或LINE等社群網站的帳號被盜用時,可能導致資料外洩,或是盜用帳號者假冒您的身分竊取資訊之風險。
Apple ID或Google、Amazon帳號等可連動多數網站服務的帳號在遭到盜用時,其受害情況很可能會擴及其他的網路服務。並且,帳號中所登記的信用卡資訊或姓名、住址等個人資料、雲端上的郵件或備份資料等私密資訊都可能會被盜取。如果您在其他的網路服務上重複使用相同帳號與密碼,相繼被盜用的風險就會升高。
除了假冒合法網路服務的網路釣魚詐騙之外,我們還必須留意假冒熟人身分的電子郵件或貼文。應避免輕易回傳郵件或開啟連結。
[延伸閱讀] 「 Apple ID 帳號復原通知」有可能是網路釣魚?! 「LINE滿八歲8種貼圖免費抽?」不只誘加詐騙 LINE帳號,還覬覦 Facebook 或 Google 的開放授權認證 「你的IG 帳號出現非法登入活動」一點選帳號就被盜! |
3.惡意軟體或惡意應用程式的未授權操作
病毒等惡意軟體或惡意應用程式的未授權操作,也是讓個資外洩的原因之一。透過電腦或智慧型手機之未授權操作,可能會導致儲存資訊或輸入內容被監視,或裝置上的相機及麥克風等功能被用來竊取資訊。因此,不只是電腦,在智慧型手機上也需要安全防護對策。
趨勢科技全球技術支援與研發中心表示,使用者在安裝手機APP和提供個人資料前,應先仔細考慮三件事:
第一、是否真的有必要提供這些資料?
有些開發廠商會向使用者索取與遊戲無關的資料,例如要求使用者連結他們的社群網路帳號,好將相關動態資訊分享給他們的朋友。但使用者應該注意,一旦給了應用程式越多資訊,出事的後果也會越嚴重。
第二、可能會有其他第三方公司能存取這些資訊
因為有些手機APP的開發者會將部分服務外包,因此能獲取使用者個資的公司可能將不只一間。
第三、如果對提供敏感個資有疑慮的話,就不要使用
[ 延伸閱讀] 如何辨識手機內假應用程式?安裝 APP 前後須留意的事項 |
4.終端裝置遭竊或遺失
有歹徒專門竊取裝置或在公共場所找尋別人遺失/亂放的裝置。
在電腦或智慧型手機中經常儲存了大量的資訊,例如聯絡方式、照片或影片、文件檔案、網站瀏覽器中儲存的各種網路服務的帳號與密碼,以及社群網站上的動態等。萬一終端裝置因遭竊或遺失落入惡意的第三方手中,可能會發生未授權操作而導致這些個資發生外洩。
5.在社群網站上過度公開資訊
如果你過度分享,哪怕是無害的個人資料(寵物名字,出生日期等),都可能被詐騙份子用來入侵你的帳號。
當使用Facebook、Instagram、Twitter或LINE等社群網站時,您可能會誤以為只有在朋友間分享,而導致過度公開個人資料。但是,您在網路上公開的個資可能被不特定多數的外人瀏覽。您不知道是什麼人以何種目的在瀏覽您的資料。這些人之中也存在專門收集資訊的第三方,會將資料用於犯罪用途,或賣給惡質的個資名單業者。
6.公共Wi-Fi 分享無線網路
當你在使用的時候,壞人可能也在使用。
分享無線網路使用上雖然很方便,如果沒有採取適當的安全防護對策,很容易就會發生通訊內容被監視的風險。此外,也有創造與公共Wi-Fi相似名稱的假熱點,讓您在不知情下登入以竊取個資的犯罪手法。
7.服務業者的過失或網路攻擊
使用網路上的服務一定會伴隨個資外洩風險。截至目前為止發生的使用者相關資料外流事件,都是因為服務業者在安全防護上的過失或內部犯罪,還有網路攻擊的非法存取等原因所導致。
新冠狀病毒帶來的個資外洩挑戰
出售肺炎相關醫療產品,收集信用卡資料
疫情爆發期間駭客用COVID-19威脅作為誘餌,利用上述的網路釣魚策略來感染你的電腦或竊取身份資料。他們經常會冒充成值得信賴的機構/官員,電子郵件內可能聲稱有關於疫情或疫苗的新資訊。點開或洩露你的個人資料將給你帶來麻煩。其他詐騙手法包括出售假冒或不存在的抵抗感染用醫療或其他產品,並在過程中收集你的信用卡資訊。今年三月,國際刑警組織查獲了34,000件偽造的COVID產品,如口罩和價值1400萬美元的潛在危險藥品。
利用受害人名義申請政府緊急紓困資金
利用電話的攻擊也在增加,特別是冒充成政府官員的攻擊。目的是為了竊取你的身份資料,並用你的名義申請政府緊急紓困資金。在2020年第二季向美國聯邦貿易委員會(FTC)提交的349,641份身份竊盜報告中,有77,684份屬於政府文件或福利詐騙。
如何防止資料外洩?
1.請密切注意自己的銀行帳號/信用卡是否有異常的支出活動。
2.如果你懷疑資料被濫用,請立即凍結信用。
3.使用網路服務前要三思, 不要在社群媒體上過度分享。
4.如果廠商告知你的資料可能已經外洩,請立即變更密碼。
所有的帳號都使用強且唯一的長密碼
*密碼太多記不住?可免費下載試用趨勢科技PC-cillin,內建的密碼管理工具進行管理。
5.請記住,如果在網路上看到東西好的太不真實,那通常就是假的。
6.在外時如果沒有VPN就不要使用公共無線網路,尤其是要登入敏感網站時。
7.不要點開不請自來郵件內的連結或附件檔。
8.只從官方應用商店下載應用程式。
9.為所有的電腦和行動裝置安裝知名廠商的防毒軟體,如趨勢科技PC-cillin。
10.確保所有的作業系統和應用程式都保持在最新版本(即經常更新修補程式)。
延伸閱讀:防止資料外洩的5大基本對策