點數或道具都不見了?7 招防帳號遭盜用

趨勢科技 TrendMicro 帳號被盜, 資安/3C小百科

共用點數、社群網站或線上遊戲等網站帳號遭盜用的威脅日益嚴峻。網路犯罪者的主要目的之一為獲取金錢,或可換取金錢的個資。以下為您介紹防範帳號遭盜用的7個重點。


易遭攻擊的帳號特徵:有利可圖


很多人都習慣使用點數服務。這類服務的機制為購物或搭乘交通工具時所得到的點數,可於下次消費時折抵款項、兌換商品或商品券,以及其他公司的點數或電子貨幣等。可跨越各種業別的實體店鋪或網路平台服務使用的共用點數服務也已經開始普及。


在這類點數服務日益普及的同時,遭到惡意的第三方盜用帳號竊取點數的受害報導時有所聞,可見這類點數容易成為犯罪者的下手目標。
那麼,自己所累積的點數為何會被惡意盜取呢?舉例來說,其手法之一就是透過非法取得的帳號與密碼破解點數服務平台的認證。惡意的第三方使用某種方法得到點數服務的帳號與密碼,並可能會非法登入帳號擅自兌換點數或將其轉移到其他帳號。


盜用帳號的攻擊對象,並不僅限於點數服務。也發生過非法使用社群網站或線上遊戲的帳號以假冒身分、偷窺個資,或盜取遊戲內的道具或貨幣的受害情況。另外,可使用多個網路服務的多重服務帳號,例如Apple ID、Yahoo!、Google帳號或Amazon帳號等,也是犯罪者偏好下手的目標。這是因為最容易被網路犯罪者鎖定的目標,就是可換取金錢的道具、點數,及信用卡等具有金錢相關資訊,且使用者眾多的網路服務。


那麼,網路使用者的何種行為容易使帳號遭竊的風險升高呢?


3 種行為易使帳號遭竊的風險升高


1.輕易在電子郵件、社群網站或簡訊所導引的網頁中輸入認證資訊


網路使用者必須留意網路釣魚(Phishing)詐騙。這類手法是將使用者引導至偽裝成真實金融機構或各種網路服務之合法登入頁面的假網站(釣魚網站),藉以盜取使用者在該網站所輸入的個人資料、信用卡資料或認證資訊(帳號與密碼)等。


在網路釣魚詐騙中,經常可見到利用人類心理弱點的社交工程攻擊。其典型攻擊手法為假冒知名企業的名義發送「密碼的使用期限將至」或「發現未授權存取動作,請登入並修改密碼」的郵件,讓收件人感到不安並開啟URL連結。使用者若沒有發現被引導至釣魚網站,輸入的資料就會落入網路犯罪者的手中。

[延伸閱讀]
被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票


2.於多種服務中重複使用帳號與密碼

網路犯罪者會透過網路釣魚詐騙或對網路服務業者進行網路攻擊等非法手段取得認證資訊,或在黑市中購買外洩的資料,並將其製成清單,試圖用來登入各種網路服務。因此,如果在多個網路服務重複使用相同密碼,帳號相繼被盜用的風險就會隨之升高。


[延伸閱讀]
別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全


3.未使用多重認證等密碼之外的安全防護對策


為保護使用者的帳號安全,在提供與個資或金錢相關服務的網站中,可能會提供密碼以外的認證(登入)步驟。若無使用這類的認證方法,只要設定的密碼遭破解,帳號就會被盜用。


防範帳號遭盜用的 7 項重點


1.了解犯罪者的手法或攻擊目標


了解犯罪者的手法或攻擊目標,是最基本的自保方式。平時就應瀏覽資安公司或相關團體等公開發表的提醒資訊,如資安趨勢部落格,趨勢科技臉書粉專IG帳號


2.不輕信好康話術或提供優惠相關資訊


不輕信中獎、限定優惠等話術,請勿隨便開啟文章內的連結或附件檔案。應先確認事實,例如閱讀該公司的官方網站上刊載的提醒資訊,或以電話等方式直接詢問。在線上遊戲的報導案例中,有在遊戲內的聊天室提出條件誘人的網路交易,再引導使用者前往釣魚網站的手法。與遊戲中的玩家進行道具交易時,請使用遊戲業者所提供的官方交易服務。

另外,在其他報導案例中也有宣稱能讓玩家更順利進行遊戲,誘使玩家下載未授權檔案導致感染惡意程式(病毒)的手法。不管在現實環境或網路世界都應小心過於輕鬆獲利的話術。


3.謹慎地在網路上輸入資料


由電子郵件、社群網站、網路廣告或相關資訊等處連結到的網站可能是假網站。必須特別小心要求登入或輸入資訊的網站。在要求網路使用者輸入資訊的網站中,應確認其是否有支援最基本的SSL(以加密方式傳送資訊,避免第三方竊取通訊內容的機制)功能。支援SSL的網站,其網址列的URL開頭為「https://」,並顯示「鎖頭標誌」。

但由於有些假網站也支援SSL,應充分確認其是否為合法網站之後再使用。預先將經常使用服務的合法URL儲存於書籤中,避免經由連結等存取網站也是一種對策。


延伸閱讀:
神偽裝! APWG報告:近六成網路釣魚網站,使用 HTTPS 協定


4.謹慎管理帳號


為各種網路服務設定不同的密碼,若帳號可變更,則將其設定為自己特有的帳號。另外,如果可設定雙重認證或多重認證等帳號與密碼以外的認證步驟,請務必開啟此功能。雙重認證(有時也稱為兩步驟驗證)的機制可防範未授權存取帳戶,例如在登入服務時不僅需要帳號與密碼,還必須搭配輸入以簡訊或專屬應用程式所提供的認證碼。


延伸閱讀:
雙重驗證/兩步驟驗證是什麼?對於網路安全的重要性為何?


5.定期確認卡片或點數的使用紀錄


應經常檢查信用卡或點數的使用紀錄,確認是否發生未授權使用的跡象。萬一發現沒有印象的使用紀錄,應立刻聯絡信用卡公司或點數發行平台,將損失降至最低。然後視受害情況向警察機關等單位報案。


隨時留意信用卡帳單上是否出現一些小額的可疑交易,因為可能是歹徒在測試您的卡號。


延伸閱讀:
「CheckerCC」:青少年經營的信用卡驗證服務,專門檢查竊來的信用卡是否有效


6.刪除不使用的帳戶


如果將不再使用的帳戶放著不管,即使您的帳戶意外被盜用也很難注意到,將使個資被竊取或濫用的風險升高。不使用的帳戶應刪除註冊資訊,並辦理退出程序。


延伸閱讀:


延伸閱讀:
數位生活也該除舊佈新了:別再囤積過多帳號和APP了!


7.於電腦或智慧型手機使用安全防護軟體或應用程式


安全防護軟體或應用程式會針對可疑URL提出警告,協助防範釣魚網站或假網站的存取動作。為防範日新月異的新型態威脅,應使資安軟體或應用程式經常保持最新狀態。

PC-cillin雲端版先進的網路釣魚防範技術協助您避免掉入詐騙陷阱

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FB IG Youtube LINE 官網

相關文章:

《看漫畫談資安 》「 Apple ID 帳號復原通知」有可能是網路釣魚?!
《看漫畫談資安》在家遠端工作應注意的資安重點
還在用「Facebook 登入」各種網站和應用程式?
駭客如何利用員工的社群網站 、電子郵件入侵公司?-維護職場網路安全四要點