阿波羅新聞網新聞 > 科教 > 正文

比監視器更可怕 誰在偷看你的個資

剛剛才搜尋飛往南韓的機票,沒過多久,Facebook便出現南韓住宿廣告;剛走進連鎖品牌買了一雙新鞋,才過一會,滑Instagram就看到該品牌廣告,令人好奇,為什麼它們那麼懂你?

好友傳來好康訊息,只要在貼文下留言、分享,就能獲得免費咖啡券。幾天後才知道,這個好康訊息是假的,在貼文下方互動,個資就被有心人士竊取。

隨着"滑世代"來臨,智慧手機讓生活更加便利,但在此同時,個人資訊在網路上的流動更為快速、生活細節更加赤裸,有心人士更多出許多管道能竊取消費者個資。

當生活已離不開智慧手機,我們該怎麼做,才能避免手機使用情形被追蹤,並預防個資落入有心人士手中?

你的一舉一動都是寶貴個資

不只在手機上滑網頁、逛網拍會透露使用習慣,有時候走進實體店面消費,這些社交軟體彷彿有"特異功能",沒過多久就投放相關產品的廣告到消費者眼前。仔細檢視,位置資訊、在店家消費時填寫的會員資料、刷的QRcode,都可能是平台商掌握你的依據。

以FB為例,熟悉社群操作的QSearch共同創辦人暨商務總監蔡汶成指出,為提供使用者打卡功能,臉書會詢問使用者是否同意授權臉書取得位置資訊的權限,只要在購物過程中使用APP、打卡,位置資訊就會被蒐集,可以依照使用者所在地推薦周圍店家的消費資訊。

會員資料也可能是讓社群軟體得知使用者消費行為的管道。若使用者在申請某家商店的會員資格時,使用的e-mail等相關資料與社群軟體連動,對社群軟體而言,也是一筆更了解使用者的珍貴資訊。

每個用戶在使用臉書時都會留下很多行為,這些行為都可以被紀錄

— QSearch共同創辦人暨商務總監蔡汶成

蔡汶成表示,以FB來說,不論是點擊的貼文、好友名單,或是曾在臉書搜尋的字詞和姓名,都會被紀錄,臉書再對這些資料進行使用行為分析,使用者每做一件事,都像被貼上一個新的"標籤",這些標籤能讓廣告商投放廣告時更精準。

台灣人愛用的FB去年接連爆出個資外流、恣意分享給第三方等負面新聞,蔡汶成指出,一般來說FB不會未經用戶同意,恣意將用戶資料販賣給廣告商,"FB在販賣的不是個資本身,而是媒合機制。"

蔡汶成表示,FB記錄使用者的每個行為、個人資料,廣告商得依賴這些資料來在社群上投放廣告,"FB不會傻到把資料都提供給別人,因為它就是要讓你上來買廣告。"廣告商投放廣告都得透過FB平台,過程中並不會得知個別使用者e-mail、手機號碼等識別化個資。

不過蔡汶成提醒,使用者需小心透過FB使用其他應用程式時,下意識同意授權資料給其餘應用程式。因FB並未設計嚴謹門檻來擋此類應用程式取得授權,例如先前引發爭議的測驗遊戲Vonvon、OMG等,都在使用者不知不覺中取得大量個資。

隱私和數位經濟發展常位於天秤兩端

— KPMG安侯企管副總經理謝昀澤

謝昀澤表示,個資在應用程式(APP)間互通的情形常引發爭議,不過若過度強調隱私,商家則無法利用取得的數位資訊,為消費者帶來更大價值。以記帳APP為例,消費者目前得一筆一筆輸入記帳資訊,但許多消費者現已用電子支付、行動支付消費,若記帳APP能與支付APP相連,交易資料便能直接轉移到記帳APP,活用消費者的數位資料。

網路無國界駭客的手法與時俱進

當在各個APP里流通的個人資訊量愈來愈大,這些手機APP儼然成為駭客眼中的肥羊,去年(2018年)FB爆發個資外洩風暴,讓FB面臨平台創辦以來最大危機,個資保護議題備受關注。

聯合報》採訪專家,歸納出在智慧型手機普及的時代,駭客常用的幾種新興手法:

手法一:為什麼沒有上奇怪的網站,手機也會中毒?

駭客最常透過在APP或網頁嵌入惡意程式、惡意廣告,取得消費者個資。作業系統是手機最主要的安全防線,除了對手機弱點進行更新,也會對上架的APP實施審查、權限控管等把關措施,若消費者未將手機作業系統及APP更新到最新版本,手機便可能出現安全漏洞,就算只是在滑手機時看到惡意廣告、沒有刻意點擊廣告,手機也會中毒。

手法二:陌生人加你好友?其實是要盜你帳號

社交工程是詐騙集團常用的詐騙手法。詐騙集團先透過社群及聊天軟體把被害人加入好友或群組,以取得被害人的照片和名字,只要掌握這兩項資訊,詐騙集團便能假冒被害人帳號,傳送含有釣魚網址的訊息給被害人好友。

趨勢科技資深技術顧問簡勝財表示,詐騙集團會利用好康訊息、清涼影片等吸引人的資訊,騙取被害人好友點擊訊息中的釣魚網址,點擊網址後,釣魚網站會進一步要求輸入帳號、密碼等個資,或得先安裝某個惡意程式,若掉入這些陷阱,個資便會流入詐騙集團手中。

手法三:公共WiFi好方便?被駭風險也很高

公共場所的WiFi是常被忽略的資安弱點,由於每個人都可以為自己提供的WiFi命名,駭客因此能輕易假冒咖啡廳、飯店等店家提供的WiFi,甚至還會將假WiFi加密,讓消費者更容易卸下心房。

簡勝財指出,有心人士會藉由提供假WiFi,取得被害人傳輸的資料,或透過改掉被害人的網域名稱系統(DNS),引導被害人連上釣魚網站,進而取得被害人個資。

手法四:手機簡訊也有風險?駭客掌控銀行帳戶的最後一步

許多線上交易或網路銀行會透過手機簡訊傳送雙重認證碼,手機簡訊因此也成為駭客的下手目標。

簡勝財以國外案例為例,駭客先在被害人電腦植入惡意程式,被害人連上網路銀行時,就會被導到駭客建的釣魚網站,"這個釣魚網站長得跟網路銀行一模一樣,你根本看不出來,"釣魚網站要求被害人輸入網路銀行的帳號、密碼,還指示被害人須在手機安裝APP才能進行後續交易,藉此取得被害人的手機雙重認證簡訊,以完全掌控其銀行帳戶。

謝昀澤指出,對駭客來說,醫療、財務交易、稅務交易以及銀行資料均是值錢的資料類型,駭客取得被害人資料後,可以透過恐嚇當事人、威脅資料外洩的平台而從中獲利。此外,駭客還能進行財務操作,先放空遭駭公司的股票,再發佈這間公司資料外洩消息,讓公司股價下跌,利用股價價差再賺一筆。

政府推動APP資安檢測卻難以落實

為強化行動資安防護,避免消費者個資因APP的安全漏洞而流出,經濟部工業局已於103年起推動"行動應用APP基本資安規範",APP開發商能透過基本資安檢測,自主改善旗下APP的安全防護能力,但謝昀澤和交通大學資訊工程學系副教授黃俊穎均表示,政府推動的"行動應用APP基本資安自主檢測"缺乏強制力。

謝昀澤指出,經濟部的APP基本資安檢測標準在全世界很先進,卻難以真正落實。除了政府推廣不足外,也很難要求APP每次改版後,都要再檢測一次。

此外,APP基本資安檢測也無法檢測智慧手機預先安裝的APP。謝昀澤表示,一般的APP要使用特定權限時,都須取得用戶同意,但一拿到手機就已安裝在裏面的預載APP,卻能在未經用戶同意下,取得許多權限,"預載的APP是最大問題,而且你還刪不掉。"

黃俊穎表示,目前接受檢測的APP多是應主管機關要求,確保政府推出的APP沒有問題,但不是每個產業都能強制所屬的APP進行檢測。

使用智慧手機該注意什麼?專家這麼說

當智慧手機和APP已成為駭客的攻擊目標,而政府又無法強制要求所有APP進行資安檢測,我們在使用智慧手機時應怎麼做,才能避免被駭客盯上?

《聯合報》整理出資安專家提出的智慧手機使用建議:

定期更新手機作業系統和APP,隨時防護手機弱點。

只從APP Store和Google Play安裝APP。安裝APP前,應查看APP所須的權限、用戶評價、開發商等資訊。安裝APP後,建議將麥克風等平常不會用到的權限關掉。

不要點選、掃描來源不明的訊息、QRcode和e-mail,不明網址可能會激活惡意程式。

若社群網站等服務有提供雙重認證安全防護機制,一定要將此安全防護機制開啟。

不要使用公共場所的免費WiFi,駭客能輕易仿冒公共WiFi,消費者無從判斷連上的是真WiFi還是假WiFi。

資安專家也提醒,即便安裝手機防毒軟體,也須做到以上幾點,並盡量使用防毒軟體廠商開發的安全瀏覽器瀏覽網頁,利用安全瀏覽器的資料庫識別惡意網址,降低個資落入駭客手中的風險。

阿波羅網責任編輯:zhongkang 來源:聯合新聞網 轉載請註明作者、出處並保持完整。

科教熱門

相關新聞

➕ 更多同類相關新聞