專題特輯

2020.11.18 | 3398次觀看

10 個自我保護、避免駭侵攻擊的方法(下篇)

文/施典志 Tenz 原文出處

上一篇文章,我們分享了十個資安自保技巧的頭五個;這篇再來分享另外五個也很重要的技巧。

如果你還沒看過那篇,可以先把這篇讀完,再去點文末的文章連結,把上一篇也讀完吧。

6. 遇到不明連結或 Email,務必仔細檢查,寧可不點

現在許多駭侵攻擊,都是透過「惡意連結」來進行的。不小心點了這樣的惡意連結,你的瀏覽器就會被帶去駭客用來發動攻擊的頁面;這種頁面要嘛是長得很像真網站,但卻是用來騙取帳密或個資的假網頁,要嘛內部直接含有攻擊用的惡意程式碼。

用來傳遞這些惡意連結的管道非常多元。像釣魚郵件是透過 Email 寄送假連結、也可以透過社群服務(粉絲團、社團)來大量分享惡意連結;最近也常出現透過簡訊或即時傳訊來傳遞惡意連結,用很誇張的好康(例如一折破盤價買設計師款名牌包),或是警告訊息(你的信用卡被盜刷啦、你的貼文違反使用條款等等),誘使大家去點。

釣魚郵件長這樣

下圖就是一個釣魚郵件的例子。畫面中這封 Email 假裝是美國銀行寄來的通知信,騙你說偵測到你的信用卡有異常消費,然後給你一個假裝成美國銀行官網的連結叫你登入;如圖所示,假連結指向的真正 URL 根本就不是美國銀行的網站,而是一個不明網站。

另外,如果把這封 Email 的 header 打開來看,寄件人的名稱雖然是 Bank of America,但發信地址卻是來自 comcast.net 這個很多用戶的 ISP;這也是警訊。

為了卸除大家的心防,惡意連結往往也會經過一些偽裝,例如用個非常像的網址(例如 faceb00k.com 或 Goog1e.com,你看得出哪裡怪怪的嗎?),或是乾脆用一些公用縮址服務,把網址包裝起來。

小心假連結

怎麼辨認這些藏了假網址的連結?其實是有點麻煩又反人性的。例如當你用電腦的瀏覽器,看到假網址時,先把滑鼠指標移到連結上,別按下去;趕快看一下視窗底部狀態列上顯示的網址,有沒有怪怪的。如果看起來不像官方網站應有的 URL,或根本是個縮址,就要特別小心。

手機或平板的瀏覽器,多半也沒有那條狀態列可看,怎麼辦?這時有個更麻煩的方法,就是在手機或平板上長按那個連結,多半會出現功能選單,這時可以把連結複製貼上到這個「網站安全檢查器」中,看看檢查結果。

因為這樣做實在太麻煩了,所以大家常用的瀏覽器,如 Google Chrome、Firefox、Safari 等,也都內建了網址檢查機制,在遇到已知的假網站時會跳出警示畫面。

遇到未知的假網站時,瀏覽器可能會偵測不到;但如果電腦上如果有裝防毒防駭軟體,也能充當第二條防線。

許多大型 Email 服務也會檢查 Email 內容,偵測出可能是釣魚信時也會先擋一輪。但像 LINE 或 SMS 簡訊,就沒有這種偵測機制了,只能靠自己。

所以當你看到有怪怪的連結,特別是訊息中的好康或警告看起來有點誇張可疑時,不要點,就對了。

7. 下載 App 前先看評價和留言

常看資安消息的話,你就會發現,很多駭侵攻擊是透過手機 App 來進行的;我說的不是那支 App 被駭,而是你安裝的 App 本身就是駭客寫的,或是因為用了被駭過的開發工具,導致 App 裡頭含有駭侵程式碼。

惡意 App 會怎麼搞你?除了偷竊個資之外,還有以下你可能不知道的幾種常見類型:

  • 在背景中執行詐騙廣告點擊:這種 App 會在背景拚命開啟廣告大量進行點擊,開發者就能賺到巨額廣告分潤;你什麼都看不到,但是會發現網路連線用量暴增,如果使用的不是上網吃到飽的門號,接下來就會收到嚇死人的連線費用帳單,或是莫名其妙被降速。
  • 在背景挖礦:這種 App 會在背景執行非常耗電的挖礦程式,讓你的手機 24 小時幫駭客賺錢。你只會發現手機突然變慢之外,還變得特別耗電,甚至還會發燙。長期過度操勞,手機也可能提早報廢。
  • 偷偷幫你訂閱高價服務或課金:國外有很多這樣的案例,安裝了惡意 App 後就莫名其妙成為一些從沒聽過、貴死人服務的訂戶,或是在不知不覺中被某些貴死人的 App 課金。同樣的,駭侵者可以賺到推薦分潤,你負責買單。
  • 變成日後駭侵攻擊的跳板:很多駭客駭你不是為了錢,而是利用你的手機,當成「僵屍網路」的一部分;等駭客一聲令下,所有被駭的手機,就會同時對駭客指定的目標發動攻擊,而你完全被蒙在鼓裡。

Android 的惡意 App 特別多

這裡要再次提醒 Android 用戶,一定要特別留意你下載安裝的 App。Android 除了官方的 Google Play Store 外,還有很多第三方的 App Store。這些 App Store 包括 Google 自己的在內,App 要上架幾乎都不需經過嚴格的程式碼審查機制,所以惡意 App 相當多。

相對的,iOS App 因為上架審查機制比較嚴格,所以能成功上架的惡意 App 幾乎沒有,比較安全一些。

不過,如果你的 iPhone 或 iPad 越獄過,自己還從其他管道下載安裝越獄後專用的 App ,那也就難以避免惡意 App 了。

同理,Root 過的 Android 裝置,如果去裝要 Root 後才能用的 App,下到駭侵 App 的風險就更高了。

有一個技巧可以多少讓你避開惡意 App,那就是下載前先看一下這支 App 的評價和留言。如果有很多留言說這支 App 怪怪的,像是功能名不符實、會閃退、會要太多不需要的權限、甚至有人被駭,那你就要特別提高警覺。

這支 App 就是暗藏了惡意軟體,很多人裝了中鏢後回來留負評。花點時間看一下評價和留言,多少可以避免踩雷。

另外,盡量避免從官方 App Store 之外的地方下載安裝 App,也是很重要的自保技巧。

8. 不讓不明硬體插上電腦或手機

前一陣子有條新聞:美國洛杉磯郡的地方檢察署發出警告:隨處可見的公眾 USB 充電服務站,可能會被駭客利用來放置惡意軟體;手機一旦插上這類看似無害的 USB 充電線,就可能被立即植入惡意程式。

事實上,硬體植入是最厲害的駭侵手段。不論是盜取資料、植入惡意軟體等,若是直接利用硬體連線來進行,會比透過網路或軟體方式快速有效,而且更加難以阻擋。

如果各位記憶猶新,應該會記得過去有很多 Windows 病毒,都是透過中毒的 USB 隨身碟來傳輸的;很多國家的情治單位,在遇到可疑分子時,也會要求直接取得手機或電腦,拿去插上特製機器,直接快速取得他們想要的情資。

所以,千萬別讓你不信任的硬體裝置,有機會插上你的手機或電腦。別人的 USB 隨身碟、不明 USB 裝置、公用充電服務等,最好都能避免。經常有充電需求的話,就辛苦一點,自備行動電源吧。

同樣的,要傳檔案,請盡量透過雲端服務,用網路來傳,盡可能避免透過危險的隨身碟來傳;同樣是 Mac 的話,用更快速好用的 AirDrop 就好了。

9. 不要使用不明的網路連線服務

在各種駭侵攻擊中,有一種很常見的攻擊手法,就是駭客先駭入某個內部網路中比較容易攻擊得手的目標,例如沒更新的電腦或連網裝置,然後掃瞄內部網路中其他目標,鎖定含有重要資料的主機來進行攻擊,或是持續感染其他有漏洞的裝置。

因此,如果想要避免這類透過內部網路的攻擊,一來一定要啟用自己裝置上的防火牆或防毒防駭軟體,二來就是要避免使用不明的網路連線服務。

沒有加密的公眾無線網路,可以說是最危險的一種;攻擊者很容易在這樣的網路中散布惡意軟體,然後又可以接觸到大量的目標。

但即使用密碼上鎖的公眾無線網路,也未必會比較安全;像是飯店等公共場所的無線網路,密碼根本就寫在 Menu 或掛在牆上,甚至還有很多都是用電話等萬年不變的密碼。這種密碼根本等於沒有,駭客可以輕鬆在這樣的內部網路裡散播惡意軟體。

所以,你的手機或電腦中,如果真的有很敏感的資料,記得防火牆開好開滿,同時盡量用自己手機的熱點分享網路給自己用,少用別人分享的網路,也不要分享給別人用,免得後門洞開。

10. 可上網的裝置,務必避免中國品牌,也避免使用中國網路服務

最後一個技巧是我個人多年來的堅持:可以上網的各種資通訊裝置,我絕不買中國品牌的產品。至於像微信、抖音等中國網路服務,我也盡可能不用。

很多人讀到這裡,可能會覺得這裡有什麼政治偏見(對,我個人的政治立場十分明顯)。你要這麼說也行,但我有我的理由;想了解的話,就請你繼續讀下去。

為什麼要避開中國品牌的資通訊產品,而美國或其他國家的就比較不用避?並不是因為中國品牌就一定不安全,其他國家的就一定安全。完全不是這個邏輯。

公開透明,才是安全的保障

即使是美國品牌的資通產品,也是一天到晚被發現漏洞;但「被發現漏洞」這件事本身就是一種安全的保障。資訊自由的民主國家,有各種能夠發現問題、解決問題的機制,也有一堆資安專家和資安媒體當做守門員;如果有廠商膽敢在產品中放後門,很快就會被揭穿幹爆。

像中國這種極權國家則不然。一方面中國社會不民主不透明,缺少這種第三方的自清機制,另一方面,很多重要資通訊產品的生產者和網路服務商,背後都有中國政府和共產黨的勢力;黨和政府要他們做什麼,他們只能唯命是從。

從風險控管的角度來看,明知中國製產品的資安風險極高,卻因為便宜或其他理由而冒這個險,在我看來,根本就是開門揖盜。

所以,如果可以的話,建議大家,能上網的任何東西,都不要採用中國品牌。至於中國網路服務,能不用就別用;非用不可的話,盡量使用比較安全的裝置和作業系統(例如 iPhone)來用這些中國服務。

當然,信不信由你。你的資安,你自己負全責。

以上介紹的是十個資安自保技巧的第六個到第十個。如果你還想看前五個技巧,請由此去


推薦閱讀: