「有人已取得您的帳戶密碼,請登入gmail重設密碼」真的?假的?5招防帳密遭駭

隨著在家工作(Work-From-Home,WFH)遠端工作逐漸普及,人們也越常接觸各種網路服務,如網頁電子郵件、雲端儲存空間、Microsoft 365(原為Office 365)等。然而,使用者不可忽視一個問題,就是自己的帳號可能遭非法登入。接下來將介紹其手法及案例。

本文重點預覽:

🔻「你的帳號出現非法登入活動」你害怕,駭客就成功了一半!
🔻各種簡訊網路釣魚:「貨到通知」、「包裹無人簽收通知」、「網銀帳戶凍結通知」
🔻社群網站與Microsoft 365的帳號也是目標之一
🔻六招防範帳號遭駭


「你的帳號出現非法登入活動」你害怕,駭客就成功了一半!

遭非法登入而導致損害的事件層出不窮,網路犯罪者會竊取或四處查找他人的帳號及密碼,試圖登入受害者的帳號,以取得資訊或金錢。

但是有些網路釣魚會利用這種受駭人擔心帳號被駭的社交工程(social engineering) 操作手法,讓更多人上當,比如:


收到這類個通知,請務必冷靜,別急著點選連結。建議大家使用在接觸到可疑詐騙網址前可搶先攔阻的防毒軟體,比如跨平台的PC-cillin  雲端版,透過最新網頁偵測技術,自動封鎖惡意網頁及詐騙網址,在接觸到可疑詐騙網址前搶先攔阻,大幅減少個資外洩及錢財損失的風險! 即刻免費下載試用

網路釣魚(Phishing)詐騙會引導網路使用者進入冒牌網站(釣魚網站),用偽裝成官方服務的登入頁面等騙取使用者輸入的帳號資料(使用者名稱及密碼之類)、個人資料、信用卡資料等。

各種簡訊網路釣魚:「貨到通知」、「包裹無人簽收通知」、「網銀帳戶凍結通知」


網路犯罪者主要使用電子郵件、簡訊或社群網站將目標引導至釣魚網站。對方會假冒企業或個人,傳送看似合理的訊息,並企圖使收件人開啟惡意網址連結。典型案例是會假冒實際存在的物流業者,傳送假的不在府通知,聲稱「因為你不在家,我們已將包裹收回,請確認」等。

某公司的員工遇上假冒物流業者的簡訊網路釣魚(使用簡訊進行的網路釣魚),導致第三者得以瀏覽該名員工私人雲端儲存空間,其中儲有名單等個人資料,該公司公布了此事件也已為此道歉。這是擅自在工作單位使用個人雲端儲存空間所導致的問題案例。

🔻延伸閱讀:
【簡訊詐騙警訊】詐騙集團假冒中國信託/國泰世華/台新銀行通知「您網銀帳戶異常,即將凍結」當心存款人間蒸發!《資安漫畫》「貨到通知」「網銀通知」詐騙簡訊防不勝防,搶先攔截是關鍵

部分上班族未經工作單位同意,就與客戶使用私人網頁電子郵件、雲端儲存空間互相傳送文件檔案,也有人將工作資料帶出公司。但是,請注意上述行為可能會對你的工作單位帶來嚴重風險,因為使用網路服務時,隨時都有遭到非法登入而導致資料外洩的風險。此外,資料外洩的原因不只有「受到網路釣魚詐騙而輸入了帳號資訊」,也有可能是因為使用者未充分確認使用條款、設定錯誤等過失,或是服務業者的人為疏失,甚至是遭受網路攻擊等,都會導致使用者資料外流。

萬一因違反工作單位規定而導致工作資料外洩,而造成工作單位形象毀損、失去社會大眾的信任。工作單位可能需要賠償受害者的損害,而造成資料外洩的人也必須承擔相關責任。

社群網站與Microsoft 365的帳號也是目標之一


如前述以社群網站帳號為目標的攻擊也屢見不鮮。已知曾在Facebook上發生的案例,會貼文聲稱可以「確認誰查看過你的個人檔案」,將使用者引導至偽裝成Facebook官方登入頁面的釣魚網站。若在冒牌網頁輸入你的帳號及密碼,你的Facebook帳號可能會遭非法登入。此手法的棘手之處在於,網路犯罪者會事先以網路釣魚詐騙等手法盜用他人的Facebook帳號,假冒帳號使用者本人貼文。因此,朋友或同事等追蹤者往往不疑有他,認為是帳號使用者本人所發布的貼文,而不小心打開惡意網址連結。

🔻延伸閱讀: 臉書個人檔案檢視器(Facebook Profile Viewer)?是詐騙! 

另外,還會假冒成Microsoft 365傳送電子郵件,表示「你的密碼已過期,必須變更密碼或延長期限」,藉此將收件人引導至釣魚網站。如果你點選連結,網路犯罪者可能會非法登入你的Microsoft 365帳號,監視你的工作相關資訊或散布惡意電子郵件。

🔻延伸閱讀:企業高層帳號賣家以「Office 365密碼過期」釣魚信,鎖定全球 CEO等高階主管!

聽到企業的工作系統遭非法登入時,一般是不是都會認為是來自外部的網路攻擊呢?但是其中也有許多屬於內部人員犯下的罪行。例如在日本發生一起某地方政府員工以其職權獲得的資訊,猜測出人事部門專用工作系統的帳號及密碼。他惡意入侵了人事部門員工專用入口網站,偷看人事部門管轄的資料,並將一部分資料儲存進自己工作用的電腦。最後,該地方政府公開道歉,並宣布已懲處該員工。

六招防範帳號遭駭

該如何防範網路服務的帳號因非法登入所帶來的危害?請記得以下重點。

1.📍不隨意開啟電子郵件、簡訊或社群網站當中的網址連結


電子郵件、簡訊或社群網站的貼文及私人訊息,都可能成為釣魚網站的入口。即使訊息來自知名公司、朋友或家人,如果有任何內容企圖引導你開啟網址連結,都應合理懷疑該連結可能為網路釣魚。請務必從儲存於書籤中的官方網站,或是組織內入口網站登入工作系統等帳號。

2📍.謹慎管理帳號:重複使用密碼是幫了網路犯罪份子大忙


為防止你的帳戶遭非法登入,記得「將每個服務分別使用不同的帳號密碼組合」,以及「盡可能將密碼設定得又長又複雜,讓第三者難以推測」,這兩點相當重要。理想的密碼應將可使用的英文字母大小寫、數字、符號等字元隨機排列組合,且長度在15個字元以上。如果除了一般密碼認證,還能設定雙重驗證/兩步驟驗證 (2FA),建議務必啟用。密碼管理工具也相當方便,若你的工作單位允許的話,也建議使用。

趨勢科技密碼管理通免費下載試用

此外,請勿將密碼放在他人垂手可得的地方,例如以便條紙書寫密碼貼於裝置上。寫在紙上管理時,請存放在可上鎖的抽屜等處,並稍微調整書寫的資訊,避免讓第三者可直接加以應用,例如可將腦海中記住的部分留空。

◼延伸閱讀:別和 Facebook 創辦人一樣用萬用密碼!五招讓帳密更安全

3.📍避免在社群網站上透露工作相關資訊: 你絕不會在大街上公開信用卡號,但卻在無意間分享個資給全世界

 

請避免在社群網站上透露不必要的個人資料、工作單位名稱、職位、工作電子郵件地址、工作單位內部資訊等。因為犯罪者在準備網路釣魚詐騙等網路攻擊時,都會透過社群網站蒐集資訊。有些案例的密碼是從公開在網路上的出生年月日、家人或寵物的名字中被推測出來的。

網路犯罪者在蒐集目標企業的資訊、選擇攻擊目標時,會以社群網站使用者公開的個人檔案資訊、工作相關的貼文為基礎,接著根據上述資訊傳送看似合理的電子郵件,誘騙員工點選惡意網址連結。使用社群網站時,應確認並遵照工作單位所訂定的指南及政策。

🔻延伸閱讀:
「你明天不用來了!」為何一則推文,竟讓她還沒上工就秒被解雇?
你絕不會在大街上公開信用卡號,但卻在無意間分享個資給全世界
密碼安全提示問題竟讓小廣吃味了! 
五種被駭人,常見的社群網站使用行為

 4.📍不得擅自使用私人裝置或網路服務工作 未經工作單位允許,不得擅自使用你的私人裝置或網路服務工作。

如果因違反公司規定而導致工作單位或客戶等遭受損害,不但會受到懲處,還可能會被要求賠償損失。即使獲得工作單位的許可,也千萬不可大意。使用私人裝置時,請務必遵守以下四點:
-安裝安全應用程式並使用最新版本
-正確更新作業系統和應用程式
-採取措施以防失竊或遺失
-使用完工作系統後要登出



5.📍取消訂閱不再使用的服務 將不再使用的服務放著不管,只會留下遭盜用和資料外洩的風險。

為了安全起見,取消訂閱服務之前,應先刪除已註冊的個人資料等,或填寫假訊息覆蓋。若為已安裝之應用程式,請先進行取消訂閱的相關手續再解除安裝。

🔻延伸閱讀:別再囤積過多帳號和APP了!

6.📍使用在接觸到可疑詐騙網址前可搶先攔阻的防毒軟體

跨平台的PC-cillin  雲端版,透過最新網頁偵測技術,自動封鎖惡意網頁及詐騙網址,在接觸到可疑詐騙網址前搶先攔阻,大幅減少個資外洩及錢財損失的風險! >> 即刻免費下載試用

※     本篇報導係依撰文當時的資訊製作而成。

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用 ,
FBIGYoutubeLINE官網