比監視器更可怕誰在偷看你的個資＊阿波羅新聞網

剛剛才搜尋飛往南韓的機票，沒過多久，Facebook便出現南韓住宿廣告；剛走進連鎖品牌買了一雙新鞋，才過一會，滑Instagram就看到該品牌廣告，令人好奇，為什麼它們那麼懂你？

好友傳來好康訊息，只要在貼文下留言、分享，就能獲得免費咖啡券。幾天後才知道，這個好康訊息是假的，在貼文下方互動，個資就被有心人士竊取。

隨着"滑世代"來臨，智慧手機讓生活更加便利，但在此同時，個人資訊在網路上的流動更為快速、生活細節更加赤裸，有心人士更多出許多管道能竊取消費者個資。

當生活已離不開智慧手機，我們該怎麼做，才能避免手機使用情形被追蹤，並預防個資落入有心人士手中？

你的一舉一動都是寶貴個資

不只在手機上滑網頁、逛網拍會透露使用習慣，有時候走進實體店面消費，這些社交軟體彷彿有"特異功能"，沒過多久就投放相關產品的廣告到消費者眼前。仔細檢視，位置資訊、在店家消費時填寫的會員資料、刷的QRcode，都可能是平台商掌握你的依據。

以FB為例，熟悉社群操作的QSearch共同創辦人暨商務總監蔡汶成指出，為提供使用者打卡功能，臉書會詢問使用者是否同意授權臉書取得位置資訊的權限，只要在購物過程中使用APP、打卡，位置資訊就會被蒐集，可以依照使用者所在地推薦周圍店家的消費資訊。

會員資料也可能是讓社群軟體得知使用者消費行為的管道。若使用者在申請某家商店的會員資格時，使用的e-mail等相關資料與社群軟體連動，對社群軟體而言，也是一筆更了解使用者的珍貴資訊。

每個用戶在使用臉書時都會留下很多行為，這些行為都可以被紀錄

— QSearch共同創辦人暨商務總監蔡汶成

蔡汶成表示，以FB來說，不論是點擊的貼文、好友名單，或是曾在臉書搜尋的字詞和姓名，都會被紀錄，臉書再對這些資料進行使用行為分析，使用者每做一件事，都像被貼上一個新的"標籤"，這些標籤能讓廣告商投放廣告時更精準。

台灣人愛用的FB去年接連爆出個資外流、恣意分享給第三方等負面新聞，蔡汶成指出，一般來說FB不會未經用戶同意，恣意將用戶資料販賣給廣告商，"FB在販賣的不是個資本身，而是媒合機制。"

蔡汶成表示，FB記錄使用者的每個行為、個人資料，廣告商得依賴這些資料來在社群上投放廣告，"FB不會傻到把資料都提供給別人，因為它就是要讓你上來買廣告。"廣告商投放廣告都得透過FB平台，過程中並不會得知個別使用者e-mail、手機號碼等識別化個資。

不過蔡汶成提醒，使用者需小心透過FB使用其他應用程式時，下意識同意授權資料給其餘應用程式。因FB並未設計嚴謹門檻來擋此類應用程式取得授權，例如先前引發爭議的測驗遊戲Vonvon、OMG等，都在使用者不知不覺中取得大量個資。

私隱和數位經濟發展常位於天秤兩端

— KPMG安侯企管副總經理謝昀澤

謝昀澤表示，個資在應用程式（APP）間互通的情形常引發爭議，不過若過度強調私隱，商家則無法利用取得的數位資訊，為消費者帶來更大價值。以記帳APP為例，消費者目前得一筆一筆輸入記帳資訊，但許多消費者現已用電子支付、行動支付消費，若記帳APP能與支付APP相連，交易資料便能直接轉移到記帳APP，活用消費者的數位資料。

網路無國界駭客的手法與時俱進

當在各個APP里流通的個人資訊量愈來愈大，這些手機APP儼然成為駭客眼中的肥羊，去年（2018年）FB爆發個資外洩風暴，讓FB面臨平台創辦以來最大危機，個資保護議題備受關注。

《聯合報》採訪專家，歸納出在智能手機普及的時代，駭客常用的幾種新興手法：

手法一：為什麼沒有上奇怪的網站，手機也會中毒？

駭客最常透過在APP或網頁嵌入惡意程式、惡意廣告，取得消費者個資。作業系統是手機最主要的安全防線，除了對手機弱點進行更新，也會對上架的APP實施審查、權限控管等把關措施，若消費者未將手機作業系統及APP更新到最新版本，手機便可能出現安全漏洞，就算只是在滑手機時看到惡意廣告、沒有刻意點擊廣告，手機也會中毒。

手法二：陌生人加你好友？其實是要盜你帳號

社交工程是詐騙集團常用的詐騙手法。詐騙集團先透過社群及聊天軟體把被害人加入好友或群組，以取得被害人的照片和名字，只要掌握這兩項資訊，詐騙集團便能假冒被害人帳號，傳送含有釣魚網址的訊息給被害人好友。

趨勢科技資深技術顧問簡勝財表示，詐騙集團會利用好康訊息、清涼影片等吸引人的資訊，騙取被害人好友點擊訊息中的釣魚網址，點擊網址後，釣魚網站會進一步要求輸入帳號、密碼等個資，或得先安裝某個惡意程式，若掉入這些陷阱，個資便會流入詐騙集團手中。

手法三：公共WiFi好方便？被駭風險也很高

公共場所的WiFi是常被忽略的資安弱點，由於每個人都可以為自己提供的WiFi命名，駭客因此能輕易假冒咖啡廳、飯店等店家提供的WiFi，甚至還會將假WiFi加密，讓消費者更容易卸下心房。

簡勝財指出，有心人士會藉由提供假WiFi，取得被害人傳輸的資料，或透過改掉被害人的網域名稱系統（DNS），引導被害人連上釣魚網站，進而取得被害人個資。

手法四：手機簡訊也有風險？駭客掌控銀行帳戶的最後一步

許多線上交易或網路銀行會透過手機簡訊傳送雙重認證碼，手機簡訊因此也成為駭客的下手目標。

簡勝財以國外案例為例，駭客先在被害人電腦植入惡意程式，被害人連上網路銀行時，就會被導到駭客建的釣魚網站，"這個釣魚網站長得跟網路銀行一模一樣，你根本看不出來，"釣魚網站要求被害人輸入網路銀行的帳號、密碼，還指示被害人須在手機安裝APP才能進行後續交易，藉此取得被害人的手機雙重認證簡訊，以完全掌控其銀行帳戶。

謝昀澤指出，對駭客來說，醫療、財務交易、稅務交易以及銀行資料均是值錢的資料類型，駭客取得被害人資料後，可以透過恐嚇當事人、威脅資料外洩的平台而從中獲利。此外，駭客還能進行財務操作，先放空遭駭公司的股票，再發佈這間公司資料外洩消息，讓公司股價下跌，利用股價價差再賺一筆。

政府推動APP資安檢測卻難以落實

為強化行動資安防護，避免消費者個資因APP的安全漏洞而流出，經濟部工業局已於103年起推動"行動應用APP基本資安規範"，APP開發商能透過基本資安檢測，自主改善旗下APP的安全防護能力，但謝昀澤和交通大學資訊工程學系副教授黃俊穎均表示，政府推動的"行動應用APP基本資安自主檢測"缺乏強制力。

謝昀澤指出，經濟部的APP基本資安檢測標準在全世界很先進，卻難以真正落實。除了政府推廣不足外，也很難要求APP每次改版後，都要再檢測一次。

此外，APP基本資安檢測也無法檢測智慧手機預先安裝的APP。謝昀澤表示，一般的APP要使用特定權限時，都須取得用戶同意，但一拿到手機就已安裝在裏面的預載APP，卻能在未經用戶同意下，取得許多權限，"預載的APP是最大問題，而且你還刪不掉。"

黃俊穎表示，目前接受檢測的APP多是應主管機關要求，確保政府推出的APP沒有問題，但不是每個產業都能強制所屬的APP進行檢測。

使用智慧手機該注意什麼？專家這麼說

當智慧手機和APP已成為駭客的攻擊目標，而政府又無法強制要求所有APP進行資安檢測，我們在使用智慧手機時應怎麼做，才能避免被駭客盯上？

《聯合報》整理出資安專家提出的智慧手機使用建議：

定期更新手機作業系統和APP，隨時防護手機弱點。

只從APP Store和Google Play安裝APP。安裝APP前，應查看APP所須的權限、用戶評價、開發商等資訊。安裝APP後，建議將麥克風等平常不會用到的權限關掉。

不要點選、掃描來源不明的訊息、QRcode和e-mail，不明網址可能會激活惡意程式。