隱私 - 資安趨勢部落格

允許了各種應用程式存取權限，之後才擔心「不知道資料會不會外洩？」

2021 年 10 月 13 日2021 年 10 月 28 日趨勢科技 TrendMicro

日本獨立行政法人資訊處理推進機構（IPA）近日再次針對「應用程式(APP)存取權限」提出呼籲，此項呼籲對於安全地使用智慧型手機相當重要。
安裝及使用智慧型手機的應用程式(APP )時，有時會彈出畫面，要求允許「應用程式存取權限」。很多人沒看清楚條款就允許了各種應用程式存取權限，之後才擔心「不知道資料會不會外洩？」。

由於智慧型手機處理的資料包含許多隱私相關資訊，因此會讓使用者選擇是否同意「應用程式存取權限」，並確認每個應用程式可使用的資料及該功能範圍。例如，「可拍照的應用程式」就會要求「使用手機相機的權限」、「將拍攝之照片存成檔案的權限」、「記錄影片聲音所需的麥克風使用權限」以及「記錄拍攝地點所需的位置資訊存取權限」等。

讓我們來一個個檢視每一個同意條款吧！

當你同意了「應用程式存取權限」 ,會發生什麼事呢?以下簡單舉幾個例子:

1. 同意APP取得相簿中的相片–你的私人生活照可能在你不知情的狀況下被他人存取。
2. 同意麥克風收音–他人可監聽你在視訊或通話時曾經說過的話。
3. 同意 GPS 定位–他人可以輕易得知你目前所在位置、你曾經到訪的地方、你的生活圈以及生活習慣。

很可怕嗎？但其實想想，手機裡有多少APP曾經向你要求過權限呢？這些APP日積月累地記錄你的生活點滴，也同時讓你的生活在網路另一端過度曝光。

繼續閱讀

2020 要留意的五大資安威脅

2020 年 01 月 31 日2020 年 01 月 22 日趨勢科技 TrendMicro

過去 12 個月，對於一般數位科技使用者日常生活所遭遇的網路犯罪來說，可說又是蓬勃發展的一年，趨勢科技光 2019 上半年就偵測到 268 億次這類日常威脅。但不幸的是，網路上還有更多威脅等著竊取您的個人資料以便冒用您的身分、進入您的銀行帳戶、挾持您的電腦或透過其他方式來向您勒索。

為了協助您在未來一年能隨時保持安全，我們整理了 2019 年最大的一些威脅與趨勢，讓大家在邁入全新十年之際能夠特別加以留意。您將發現，未來許多最危險的攻擊都會和我們 2019 年所見的極為相似。

隨著時序邁入 2020 年，過去的原則依然適用：保持警戒、抱持懷疑、做好防護，就能讓您確保安全。

2019 年五大威脅

網路犯罪是一個混亂又詭譎多變的領域，為了從過去 12 個月的狂亂中理出頭緒，以下我們整理了消費者曾經遭遇的五種主要威脅類型：

家庭網路威脅：我們的家庭越來越仰賴網路科技，有超過三分之二 (69%) 的美國家庭至少擁有一項智慧裝置：從具備語音助理功能的智慧喇叭、家庭保全系統到連網嬰兒監視器等等。然而安全上的漏洞，卻可能讓這些裝置成為駭客的鎖定目標，特別是擔任家庭網路進出閘道的路由器更是面臨重大危險。令人擔憂的是，83% 的路由器都含有可攻擊的資安漏洞。根據統計，光 2019 上半年就出現了大約 1.05 億次針對智慧家庭的攻擊。
端點威脅：這是直接針對使用者而來的威脅，通常經由電子郵件散布。2019 上半年，趨勢科技偵測並攔截了超過 260 億次這類電子郵件威脅，約占所有網路威脅的 91%，這包括專為誘騙您點選惡意連結以竊取您個人資料或帳號登入憑證或者下載勒索病毒的網路釣魚攻擊。還有一些是透過幾可亂真的冒牌網站來誘騙您提供自己的個人資料。端點威脅有時也會使用社群媒體網路釣魚訊息，甚至是經由一些已經遭駭客植入惡意程式的正常網站來發動攻擊。
行動裝置威脅：駭客也會攻擊智慧型手機和平板，而且甚至更為積極。行動裝置使用者通常是在不知情的狀況下下載到惡意程式，因為它們會暗藏在一些看似正常的 Android 應用程式內，例如在全球感染超過 2,500 萬台手機的 Agent Smith 廣告程式。使用者除了超級容易遭到社群媒體攻擊之外，那些使用無安全性公共 Wi-Fi 網路上網的裝置也特別危險。不管駭客的手段為何，其目標就是為了賺錢：不論是竊取您的個人資料和登入憑證、大量顯示廣告、植入勒索病毒，或是強迫裝置撥打歹徒經營的高費率付費電話號碼等等。
網路帳戶已成為攻擊目標：近來有越來越多駭客開始盯上使用者的帳號登入憑證，因為這是進入使用者數位生活的虛擬鑰匙。從 Netflix 到 Uber，從網頁郵件到網路銀行，這些帳號的登入憑證都能拿到黑暗網路地下市場上販售，或者用來蒐集個人身分資料。而針對個人的網路釣魚攻擊是取得這類帳號登入憑證的方式之一，不過 2019 年逐漸興起了另一種方式，那就是使用自動化工具來嘗試數萬筆帳號登入憑證是否套用到您的帳戶上。從 2017 年 11 月至 2019 年 3 月底為止，這類攻擊的偵測數量高達 550 億次。
資料外洩無所不在：能讓詐騙集團進入您網路帳號並且從事身分冒用詐騙所需的材料，都儲存在您網路帳號所屬的企業內。不幸的是，2019 年一再發生企業資料外洩的事件。截至 2019 年 11 月為止，美國有超過 1,200 起資料外洩事件，外洩的客戶資料筆數更高達 1.63 億。更糟糕的是，駭客現在還會竊取信用卡資料，他們會利用所謂的「數位盜卡」惡意程式，趁您在購物網站上輸入信用卡資料時直接加以盜取。

[延伸閱讀：就像在ATM 上安裝盜卡裝置一樣, 「Magecart」專偷線上刷卡資料 ]

2020 年有哪些需要注意的事項?

智慧家庭已成為攻擊目標：
當我們投資更多錢為家中添購更多智慧裝置時，請記住駭客也正加倍努力發動網路攻擊。因為有一項豐厚的報酬在向他們招手，那就是：利用某個暴露在外的智慧端點裝置入侵您的家用網路，進而蒐集您的個人資料和網路帳戶。或者，他們也可入侵您的保全攝影機來監控您家中情況，了解闖空門的最佳時機。此外，您被駭的裝置甚至可能被收編至殭屍網路當中，成為駭客攻擊他人的幫兇。
網路與電話社交工程攻擊：
專門利用使用者心理弱點的攻擊，一直以來都相當有效。相信 2020 年這類攻擊也不會缺席，不論是傳統的網路釣魚電子郵件，或是與日俱增的電話詐騙。美國民眾每天都會接到 2 億通「自動語音電話」，其中約 30% 是疑似詐騙電話。而且有時候電話詐騙也可能一轉眼就變成網路詐騙，例如那些刻意讓使用者以為自己的電腦出現問題的技術支援詐騙就是很好的例子。除此之外，歹徒也會利用社交工程技巧來詐騙錢財，例如，性愛勒索集團會宣稱他們手上握有受害者的性愛影片，並威脅要公開這些影片來要脅受害者。根據趨勢科技的偵測資料，這類攻擊從 2018 下半年至 2019 上半年成長了 319%。
行動裝置威脅：
2020 年須小心行動裝置威脅將越來越猖狂。這當中有許多會來自於缺乏安全性的公共 Wi-Fi 網路，這類網路可讓駭客輕易暗中監視您上網的一舉一動並竊取您的身分資料和登入憑證。甚至一些公共的充電站都有可能遭人預先植入惡意程式，美國洛杉磯郡最近即發出這樣的警告。除此之外，別忘了還有惡意行動應用程式所帶來的威脅。
所有網路帳號都可能成為攻擊目標：
請注意，您今日開設並儲存了個人資料的任何網路帳號，明日都可能成為駭客攻擊的目標。當然，這意味著 2020 年您必須特別留意您的網路銀行帳號。此外，您還要小心針對遊戲帳號的攻擊。讓歹徒垂涎的不光只有您的個資和登入憑證而已，遊戲內的虛擬代幣也是歹徒豐厚獲利的來源。在所有偵測到的 550 億次登入憑證填充 (credential stuffing) 攻擊當中，有 120 億次鎖定的正是遊戲產業。
蠕蟲捲土重來：
電腦蠕蟲之所以危險，在於它們會不斷自我繁殖，這讓駭客不需自己動手，攻擊就能不斷擴大。2017 年 WannaCry 勒索病毒攻擊的情況就是如此。2020 年，一個外界稱為「BlueKeep」的 Microsoft 漏洞很可能會讓同樣的情況再度重演，而且未來可能還有更多像這樣的未爆彈。

[延伸閱讀：搜尋「Amazon」第一個連結竟連向詐騙網頁!]

如何維護安全?

由於 2020 年電腦使用者可能遭遇的網路威脅相當廣泛，因此您的防護必須面面俱到才能確保系統與資料的安全，包括：

保護智慧家庭：
部署網路監控機制、定期檢查裝置與路由器是否有安全更新、將出廠預設密碼換成高強度的密碼、將所有裝置集中在一個訪客網路上。
對付資料竊取惡意程式、勒索病毒與其他蠕蟲式威脅：
採用一套強大又信譽可靠的資安產品、定期修補電腦/行動裝置、強化密碼安全。
保護行動裝置安全：
當連上公共 Wi-Fi 網路時務必使用 VPN、在裝置上安裝一套資安軟體、僅造訪官方應用程式商店、確保裝置作業系統版本隨時保持更新、避免使用公共的充電站。
保護帳號安全：
使用一套密碼管理員來產生及保管高強度的密碼、盡可能啟用雙重認證，如此就能防範登入憑證填充攻擊，以避免他人偷偷登入您的帳號。此外，切勿在公用電腦上登入自己的網頁郵件或其他帳號。
小心社交工程攻擊：
對於不請自來的電子郵件、簡訊或社群媒體訊息，切勿輕易點選其中的連結或開啟附件檔案，千萬別在電話上提供個人資訊。

趨勢科技能提供什麼協助

所幸，趨勢科技全盤掌握了現代威脅的各種來源，提供完整的資安產品線來保護您數位生活的所有層面，從智慧家庭、家用電腦、行動裝置，到電子郵件與社群媒體等網路帳號，以及上網瀏覽。

趨勢科技 Home Network Security：為所有連上家用網路的裝置提供資安防護，防止網路入侵、路由器駭入、網站威脅、危險檔案下載，以及身份冒用。
趨勢科技PC-cillin雲端版:保護您的 PC 和 Mac 電腦，防範網站威脅、網路釣魚、社群網站威脅、資料竊盜、網路銀行威脅、數位盜卡、勒索病毒，以及其他惡意程式。除此之外，還能避免您在社群媒體上分享過多資訊。
趨勢科技行動安全防護：防範惡意應用程式下載、勒索病毒、危險網站，以及不安全的 Wi-Fi 網路。
「趨勢科技密碼管理通」：提供一個讓您安心儲存、管理及更新密碼的地方，幫您記住您的登入憑證，針對您需要登入的每一個網站和應用程式建立較長、安全、且非重複的密碼。
趨勢科技 WiFi Protection：在您連上無安全性的公共 WiFi 網路時提供虛擬私人網路 (VPN)，將您的流量加密以防範中間人 (MITM) 攻擊。
趨勢科技 ID Security (Android和 iOS)：隨時監控網路犯罪地下市集，檢查您的個人資訊是否在黑暗網路上流通，並且在發現該狀況時立即通知您。

原文出處： The Everyday Cyber Threat Landscape: Trends from 2019 to 2020

PC-cillin2020 不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

加入趨勢科技 IG 帳號, 3C 冷知識/ 3C Fun 新聞不定時 Fun 映
▎每月7 日下午 4 點 , Fun 送粉絲獨享禮 ▎
本月送出威秀電影票十組(每組 2 張) 快進來看看

企業管理數位足跡和資料隱私的六個祕訣

2019 年 02 月 26 日2020 年 02 月 06 日趨勢科技 TrendMicro

新的一年一開始就出現了關於超過20億筆來自過去多年資料外洩事件的大規模使用者帳密資料流出的報告。這份資料（稱為「Collection #1」）包括了純文字格式的使用者帳密及敏感文件，全部為87GB。據報在12月的最後一周就可以下載，在駭客論壇上被積極地交流著。某些報告指出將會有更多資料包在網路上公布和販賣，每份都有比第一份更多的個人帳密和敏感資料。Collection #1已經被拿掉，但對許多資料被流出的人來說，造成的影響才正要開始。

[延伸閱讀：資料外洩101：它如何發生，被偷了什麼及會流到哪裡去]

Collection #1包含了超過7億筆不重複的電子郵件地址和超過2,100萬筆的明文密碼。有了這些資料，線上惡意活動可能會跨界成線下的犯罪活動。如果使用者在不同網站使用了相同帳密，那Collection #1將會造成很大的傷害。從社交工程social engineering ）攻擊（如網路釣魚(Phishing)和詐騙）到身份竊盜和勒索郵件，個人甚至於企業的損失都會呈等比級數增加。發生資料外洩事件的企業不僅可能因GDPR或其他法規而被罰款，還可能會失去客戶的信任、收益和商譽。個人也會成為詐騙和網路攻擊的目標，且因為不安全感而讓自己在網路上的活動受限。

現在越來越多的新科技讓人們可以無時無刻的保持連線，也因此製造了大量的數位足跡和資料儲存，網路犯罪分子的攻擊媒介也在增加。這代表使用者和企業都必須優先考慮網路隱私和資料安全。

[延伸閱讀：2018年的三大資安故事]

企業的積極保護措施

企業仍是網路犯罪份子想獲取最大利潤的首選目標。一次成功的企業系統入侵事件就讓駭客有可能存取到資料的寶庫：內部伺服器、專有資料、公司資產、第三方供應商和客戶記錄。以下是企業保護資料及使用者和客戶隱私的六個做法和原則：

繼續閱讀

社群媒體時代,父母如何與孩子一起安心 Fun 暑假?

2018 年 07 月 25 日2018 年 07 月 30 日趨勢科技 TrendMicro

教育孩子上網風險就像教他們安全過馬路一樣重要

這個夏天，當你出去旅遊隨手自拍並分享時，記得提醒你的孩子們（和你自己）確保他們分享出去的資料是安全的。社群媒體將我們和家人朋友連結在一起，但這也提升了線上詐騙、隱私外洩、身份竊盜等各種問題。為了解大家對社群媒體安全的觀念，趨勢科技發起了一項推特的投票調查，超過三萬三千個使用者回覆這個問題：“當你在使用社群媒體時你會擔心你的資料安全嗎？”

收集到的答案如下：