十個臉書,LINE 等社交網路安全使用守則

這個部落格的許多讀者也都是 Facebook 和 Twitter 的固定用戶,在這裡分享一下十個臉書,LINE 等社交網路安全使用守則。

手機 社群 FB 行動 Mobiel Social media

1  熟悉社交網站的隱私權設定與安全政策
如果你不滿意他們的作法,請立即停止使用其服務。

2012年Instagram 一度宣布改變其隱私權政策使用條款協議,讓他們自己有權利去分享使用者在任何目的下所公開發表的任何照片。Instagram可以有權力去從出售這些照片中獲利,而且很清楚的說明原本的擁有者將不會有任何補償。他們更進一步說明,他們對於你所提供的任何內容都沒有保密義務。
「Instagram對你所有的內容都沒有保密義務,Instagram也不會對任何你所提供的內容被使用或披露負任何責任」

請參考這篇文章 Instagram有權力出售你的照片?!
推薦閱讀:
防臉書帳號密碼被盜,必學Facebook隱私設定大全
 噓~下班後,不能在臉書說的話(多則先烈案例)~抱怨文”好友限定”設定只要一下指

隱私 個資外洩 FB

2 千萬不要照實填寫全部填寫所有的欄位
當你在建立個人網頁時,請仔細考慮你所提供的每一項資訊是否都絕對必要,是否與該網站相關。例如,你是否真的需要提供電話號碼,或許你的手機就能接收電子郵件或即時通訊,所以就不需提供電話號碼。考慮是否有實際上的必要,千萬不要只因為表格上有這些欄位就盲目填寫
再次提醒您,不管你在哪裡貼文,進行之前先問問自己:“如果有個陌生人打電話跟我索取這資料,我會很樂意地提供出去嗎?”如果你的答案是“不”,那就離你的滑鼠遠一點。

隱私 公開秘密 大聲公

推薦閱讀:

450萬名Snapchat用戶的使用者名稱和電話號碼被曝光
六個常在 Facebook上犯下的錯誤與案例(詳盡案例說明)

3回應別人的文章時,你發表的內容是公開的
當你在發表文章、聊天、寫信、回應別人的文章,或者在別人的個人網頁發表意見時,要記住你所發表的內容將完全沒有私密性。即使你已經開啟所有可用的隱私權設定,你還是無法保證你的內容不會遭到複製、轉貼、下載或透過其他方式分享至其他你所不知道的地方。

4重設密碼要小心你的「安全提示問題」

曾為美國副總統參選人的Sarah Palin莎拉裴林的案例, 2008 年駭客使用教科書中最老舊的手法之一 – 利用密碼重設功能 – 入侵了美國副總統候選人莎拉裴琳(Sarah Palin)的 Yahoo! 個人帳號(請參考:Sarah Palin’s E-Mail Hacked),還把他入侵成功的證據公諸於世。據新聞報導指出,駭客在 Yahoo! 的身分確認問題清單中正確地選擇了「你在何處遇見未來的另一半?」這個問題,然後試過一些 “Wasilla High School” 的不同表示方式之後,最後成功猜出 “Wasilla high” 這個答案。

隱私 公開秘密 密碼 帳號

大多數的網站都會提供一種方式讓你在忘記密碼時重設密碼。但這也是最常見的帳號入侵方式之一。如果你要設定所謂的「安全提示問題」來保護你的帳號,請確定這些問題是否真的安全。所謂的安全是指只有你自己才知道問題的答案。如果可以的話,請自行建立你自己的安全提示問題。如果問題是「你寵物的名字?」,並不表示答案不能設定為「我是大美女」

如果你被迫使用一些標準問題,例如:「第一個學校」或「第一隻寵物」,請記得,你不需據實回答,只要填上你可以記住的答案就行。:你所選擇的問題,必須讓駭客無法藉由在線上搜尋你的背景資料而猜出答案,此外你還必須確定他人無法透過公開的來源取得太多關於你個人的資訊。人們現在不需花費太多功夫即可取得經常用於識別身分的資料,例如郵遞區號、就讀的高中、你的愛犬等等。
試想,你曾不曾在Facebook 張貼你寵物的名字?你就讀的學校是不是在你的個人檔案一目了然?

密碼提示問題1.:我寵物的名字? 設定的答案1:現在是下午5:00

密碼提示問題2.:我就讀的高中? 設定的答案2:今年冬天會很冷

粉絲建議:

「你母親的姓氏?」我覺得還不錯啊…但我設定的答案是…”卡好”。
「我寵物的名字?」我都寫 我老婆英文名字。

推薦閱讀:
1位副總統候選人,2位總統 , 3位大明星,猜猜哪位用 12345 當密碼?

 

5 切勿在不同的網站使用相同的密碼

萬一有某個帳號遭到入侵,你才不必擔心其他帳號的安全問題。建立複雜的密碼,混合使用大小寫、數字和特殊字元,如:$%&!。想辦法區分你每個網站所用的密碼,例如,將網站名稱的第一個和最後一個字母分別加在密碼的開頭和結尾。
(秘訣:許多自動化暴力破解工具都沒有將 £ 符號列入清單當中,因此這是一個不錯的選擇。要在非英國鍵盤上打出這個符號,可以按住 Alt 鍵然後再輸入 0163)。

alt0613  £ 符號 密碼

推薦閱讀:
密碼別再12345,521314(我愛你一生一世)了~PE_MUSTAN.A 病毒鎖定 246 組弱密碼刪除檔案
密碼管理 e 指通,再多的密碼也不用記小抄(含七個密碼帳號管理小秘訣)

6 如果你收到不認識的人所發的請求,請先直接和那個人連絡,再決定要不要將該人加入你的好友圈。

高雄一名清秀女大生,接受陌生女子邀請加入朋友,結果身份、照片遭到盜用,對方就把姓名、照片都改得和她一樣,發送不堪入目的色情照片以及援交訊息,讓他被親朋好友誤會,女大生不堪其擾只好報警處理。報導指稱因為陌生人是表哥共同好友,不疑有他接受確認邀請,卻展開了一場惡夢,對方拷貝盜用她照片和個資,在交友網站留言,還邀請女大生朋友加她為好友,之後亂標記朋友在不堪入目的照片裡。

警方推測可能是色情業者假冒李同學的身分在臉書上公然攬客。

網路危機女主角名字春光乍洩防毒廣告隱私妹白歆

提醒大家若收到交友邀請,勿貿然加入,問問他如何知道你的聯絡資料,看看是否有詐。這不僅是為了保護你自己的隱私,也是保護你朋友。 繼續閱讀

趨勢科技協助日本警方打擊網路金融犯罪,獲頒感謝狀

4月28日,趨勢科技獲頒日本警視廳所授予的感謝狀。表彰趨勢科技在日本打擊網路金融竊取活動時所提供的有用資料。

能夠輕鬆地賺錢還是當前網路犯罪的最大動機。網路犯罪份子會去竊取資料的主要目的就是可以賺錢。像是網路銀行資料,一旦竊得,就可以利用這些資料來從受害者帳戶中非法轉移金錢。

2020

在2013年,在日本透過這方法所被竊取的金錢總額到達了14億日元。這是有史以來最大的金額。而2014年也似乎正在大步地迎頭趕上,根據日本國家警察廳(NPA)所公布的資料,已經有6億日元被竊取。我們有理由相信這數字還會繼續攀升,如何一勞永逸的制止網路犯罪成為了一項挑戰。

做為我們阻止網路犯罪的努力,我們研究團隊內的專門小組 – 前瞻性威脅研究團隊 Forward-looking Threat Research(FTR)一直在研究如何防範網路犯罪份子竊盜網路帳戶所造成的金融損失。我們已經確認了一些用來追踪和識別這些網路犯罪分子的方法,像是命令與控制(C&C)伺服器的分析,分析被竊資料和惡意軟體分析。

比方說,最近流行的銀行木馬程式 – Citadel(TSPY_ZBOT)背後的網路犯罪份子利用WebInjects來顯示網路銀行登錄資料竊取所需的假畫面。透過分析WebInject模組,可以找出被竊取資料發送到的伺服器的相關資訊。

因為受害者輸入到假畫面的資料會儲存在伺服器上,所以透過監控伺服器上儲存的資料,趨勢科技可以馬上確認受害者的存在。因此,可以快速地透過被動方式來阻止實際的財務損失,像是在錢被惡意轉走前先凍結受害銀行帳戶。

 

圖一、Webinject銀行木馬程式感染鏈

 

當然,這種作法不能僅透過安全廠商像趨勢科技來進行。必須跟相關機構如警察和涉及銀行合作。趨勢科技TM- SIRT團隊是日本資安相關活動的合作聯絡窗口,提供有關組織來自趨勢科技內部研究小組如FTR -Forward-looking Threat Research(前瞻性威脅研究)團隊所提供的資料,以協助打擊這類網路犯罪竊取活動。 繼續閱讀

餅乾怪獸和APT攻擊

正如我的母親未能發現和防止餅乾竊賊,因為她只監視廚房椅子、衣櫃門或烤箱門的開啟。建立起有效防禦目標攻擊APT攻擊的重點之一就是必須監控廣泛的攻擊表面。就是這麼簡單,餅乾竊賊有著貪婪的慾望和頑強的堅持,那些想入侵你的網路並竊取你資料的人也是,你只要那邊不注意,那麼「餅乾」就會從那裡消失。

作者:Bob Corson

 

 

最近有個想法閃過我的腦中,我小時候常有過的回憶和現在的目標攻擊APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)有許多相似之處。這是個遲來的懺悔,不過當我還是小孩子的時候,我常會去偷吃媽媽剛烤好的餅乾。<希望我的母親不會看到這一篇>

回想起來,我記得我有著瘋狗般的毅力驅動著我,想要一嚐新鮮的花生醬、巧克力片或燕麥餅乾來滿足我的味蕾。也因此,我想到許多方法來拿到餅乾。我不會在這列出所有的方法,因為我太太也是個烘焙高手,所以我可不希望她知道我所有的招數。但說回我的童年,這裡是一些孩子們會嘗試和真正可以拿到餅乾的方式:

  •  站在廚房的椅子上好拿到被禁止的餅乾罐
  • 用掃帚或拖把桿來將餅乾罐移到櫥櫃邊緣…將它弄倒…拿出幾塊餅乾…將罐子推正,然後用相同的掃帚或拖把桿將它弄回原處(來自經驗的警告聲音:記得要弄掉從罐子掉到櫥櫃上的任何碎屑…還有地板上的)
  • 偷偷去拿剛烤好,等著放冷的餅乾
  • l   還有很多…很多…很多。

現在回歸正題,這跟目標攻擊APT攻擊有何關係?嗯,讓我驚訝的是,我的母親變得對監控聲響非常熟練 – 移動廚房椅子的聲音,我用掃帚柄打開櫥櫃門時的吱吱作響,當我試著偷偷去拿還溫熱餅乾時的烤箱門開啟聲。此外,她善於監測曾出現過的「餅乾攻擊手法」 – 當我想用不同的路線來偷拿餅乾時。而且有著獵犬般的警覺性,可以看出當我想用「社交工程陷阱( Social Engineering)」手法,一邊用著「我愛你媽媽」的熱情擁抱,同時伸出一隻手在她背後去偷拿餅乾。

繼續閱讀

Heartbleed 心淌血漏洞:一個和孩子談論保護線上個人資料的機會

已經有許多的新聞圍繞著最近所發現的Heartbleed心淌血漏洞。這裡不提太多的技術細節,基本上它會讓許多網站有可能去洩漏出人們提交給這些網站的個人資料。這包括了購物網站、社群網路、電子郵件服務、音樂串流媒體服務以及遊戲網站,因為這世上有許多網站都同樣的使用被影響的技術。

iskf

 每當有這樣的事件發生,都是個機會教育來和你的孩子談論如何分享和守護線上個人資料。首先要自己找出更多的相關訊息。然後和孩子分享你所知道的資訊。並且提醒他們,當我們在網上分享資訊時,總會有落入他人手裡的風險,有可能是因為他們做了什麼,或沒有盡可能地保護好它。

 一些事實

我們所知道的是,這個漏洞已經存在了至少兩年,有66%的網站都使用了會受此漏洞影響的技術。但到2014年4月8日為止,根據我們的研究人員,並非所有網站都會受此漏洞影響。許多組織已經在檢查建置自己網站的伺服器是否會受此漏洞影響,並且嘗試加以修復。我們也知道,如果你使用的是已修復的網站,那應該就沒有問題。

我們所不知道是,某一特定網站可能已經曝露個人資料有多久了,像是使用者名稱、密碼、信用卡、電話號碼和家裡住址。我們也不知道有多少不良意圖的人,在出現漏洞的這段期間內拿走了那些資料。

第一起因為Heartbleed心淌血漏洞被補的案件出現在加拿大。一人被捕並被指控駭客攻擊政府國稅局網站,竊取了900個社會保險號碼。這可能只是我們探索Heartbleed漏洞影響有多深遠的開始。

 孩子的良好習慣

底下是一些可以幫你孩子培養的良好上網習慣:

  1. 只上少數的網站,這樣就可以好好管理並更常地加以檢查。過多網站意味著他們的電子郵件地址、密碼和其他個人資料會出現在網路上的太多地方。 繼續閱讀

<更新版>第一個 Windows XP 系統終止支援後出現的重大IE漏洞

 此篇文章的原始版本裡提到Windows XP不會有針對此弱點的修補程式。不過微軟已經發佈了針對此弱點的安全更新(MS14-021),其中也包含了Windows XP。本文也隨之更動相應段落。

 

 漏洞 弱點攻擊

在上週末,微軟發布了安全通報2963983,內容描述一個Internet Explorer的新零時差漏洞。(它被分配CVE編號為CVE-2014-1776)。

 

這個遠端執行程式碼漏洞讓攻擊者可以在受害者系統內執行程式碼,如果該使用者連上了攻擊者所控制的網站。雖然已知的攻擊針對了三個版本的IE(IE9到IE11),但是它相關的漏洞存在於今日還在使用中的所有IE瀏覽器版本(從IE6一直到IE11)。

這樣一個嚴重的漏洞並不完全只有壞消息。首先,該漏洞只會用系統登入使用者的相同權限來執行程式碼。因此,如果使用者帳號沒有系統管理者權限,惡意程式碼就不會以系統管理者權限執行,這部分地降低了風險。(當然,這僅僅是當使用者帳號沒有被設定為系統管理者時才成立。)

其次,一些解決方法已經被提供在微軟的通報內;其中以啟用增強地受保護模式(一個只存在於IE10和IE11的功能)最容易做到。漏洞攻擊碼需要使用Adobe Flash才能執行,因此停用或移除IE瀏覽器的Flash Player也會降低此漏洞的威脅。

更新於2014年4月28日,美西時間中午12:30

Windows XP

這是第一個會影響Windows XP而不會被修補的漏洞。停止了對軟體和作業系統的支援,讓使用者和和組織更容易受到威脅。不過,也有一些解決方案可以幫助解決或減輕此一困境。虛擬修補可以補足傳統的修補程式管理策略,因為它可以在實際修補程式可用前,先「虛擬修補」受影響的系統。另一個好處是,它可以「虛擬修補」支援終止的應用程式。例如,趨勢科技Deep Security就一直在支援Windows 2000上的漏洞問題,甚至在此作業系統支援終止之後。 繼續閱讀