https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

安全上網-虛擬世界,真實威脅

2007 / 05 / 07
洪誌謙
安全上網-虛擬世界,真實威脅

新服務新威脅
WWW的崛起創造出一個新名詞「Internet Surfing」,包羅萬象的資訊瞬間吸引了眾多使用者的目光,隨著寬頻網路成為趨勢以及Web應用程式技術的發展,更多的服務透過Web應用呈現在使用者面前,政府單位、企業組織、團體以及個人,無不積極建置自己的Web服務,做為資訊交流、服務提供的平台,人們可以在網路上處理事務、進行線上交易、購物等。而電子郵件和即時通訊的應用也改變了現代人的聯絡方式,可以說是行動電話/電話之外,現代人互相聯絡的最重要管道,舉凡公務、私人訊息、聊天、資訊分享,透過E-mail、Instant Message都可以立刻傳送給對方。因為Web、E-mail、即時通訊等Internet服務如此普遍及廣泛的在各方面被應用,因此也被駭客做為入侵及竊取資料的管道,利用釣魚信件、垃圾郵件、病毒、木馬程式等工具進行惡意行為,而瀏覽器的安全漏洞、Web應用程式撰寫的安全缺失以及釣魚網站等安全問題,使得使用者在上網時面臨更多的威脅。
「網路釣魚」是網路犯罪集團慣用的手法,通常冒用知名的銀行、交易網站之名,傳遞假造的訊息,利用電子郵件、即時通訊等社交工程,誘騙使用者連結到假造的網站填寫資料以詐取個人資料或帳號密碼。對於釣魚網站,各單位無不極力防堵,例如信用卡發卡組織與安全公司合作的「防止網路釣魚計畫」,透過持續不斷的監控信用卡資料交易網站、釣魚行為以遏阻網路釣魚詐騙,但是面對釣魚網站快速的成長速度,使用者仍需提高警覺小心受騙。

為了能夠安心使用Internet服務,建議使用者注意下列事項:
●更新瀏覽器,定期修補瀏覽器安全漏洞。
●不要隨意開啟即時通訊傳送的檔案,最好和對方確認後再動作,因為檔案可能是對方受到病毒或惡意程式感染後所自動傳送。
●刪除可疑電子郵件,防止網路釣魚、病毒、木馬程式。
●選擇有SSL認證的交易網站,防止釣魚網站詐騙。
●對於不熟識的網友保持警戒心。
●不要轉寄垃圾郵件。
●小心瀏覽語音分享的網站。
●若一定要經由網路交易,建議使用的信用卡額度不要太高。
●為避免遭溢波攔截,網路交易時最好避免使用無線上網。
●使用的電腦一定要定期檢查防毒防火牆等軟體,將風險降至最低。


網路銀行安全面面觀
網路銀行的出現提供使用者一個新的管道,可以更方便的使用金融服務,而各家銀行也發現到網路銀行所帶來的好處,並積極的開發及利用這個管道,提高客戶使用滿意度、滿足客戶需求,並透過網路銀行來降低營運成本。
滙豐銀行Direct Banking資深副總裁陳民康表示,網路銀行提供了隨時隨地24小時的金融服務,解決了許多人因事務繁忙而無法臨櫃處理的困擾,目前台灣約440萬人使用網路銀行,使用人口在過去幾年中呈倍數成長,雖然ATM的設置已甚為普遍,但是網路銀行提供了更便捷的服務,讓銀行客戶可以從家中、辦公室就可以使用金融服務。對銀行而言,網路銀行可以擴大客戶群,並且透過流程自動化為銀行節省營運成本,而銀行也可將節省的成本支出回饋到客戶,客戶和銀行都能利益均霑。
但在網路銀行為銀行和客戶帶來好處的同時,也存在著安全威脅,滙豐銀行 Direct Banking副總裁鍾宜蓉表示,目前網路銀行使用上的安全威脅,對使用的客戶而言,必須擔心是否連結到一個真正的銀行網站,而不是釣魚網站,這也是目前網路銀行最常見的安全威脅之一,而個人資訊在傳遞的過程中是否受到保護,包括銀行是否有善盡保護客戶資料的義務?是否提供足夠的交易安全機制?都是網路銀行使用者關切的重點,而使用者本身的不良網路使用習慣,在不自覺中洩漏個人的重要資訊,也是網路銀行在使用上的安全缺口。
對銀行的客戶而言,最關心的是個人資訊和財產是否受到妥善的保護,延伸到網路銀行的使用上,同樣面臨相同的問題,因此銀行在如何認證使用者,並且將嚴謹的安全機制以及預警監控機制應用在網路銀行,都是和實體銀行同等的重要,而滙豐銀行Direct Banking也在安全和方便取得平衡,透過雙重保護提供客戶一個安全的交易環境。


贏家?輸家?
隨著寬頻用戶數量持續成長,以及線上遊戲引人入勝的劇情、畫面和遊戲內容,線上遊戲成為時下熱門的一項休閒娛樂,網路遊戲人口也不斷成長,也因為線上遊戲吸引眾多玩家的投入,遊戲中所產生的虛擬貨幣、寶物在現實世界中成為具有價值的商品,也衍生出外掛、盜取帳號、寶物及詐欺等犯罪行為,對玩家造成威脅。
代理國內多項熱門線上遊戲的智冠科技表示,整個遊戲產業普遍遇到的資安問題可歸納為兩個部份,對於業者可管轄的部份,為了遊戲的公平性與玩家的安全性,除了委請國內知名安全公司協助規劃整體資安解決方案,並配合公司資安部門的政策與行動方針,執行各項安全措施,包括定期執行弱點稽核掃描及滲透測試,隨時更新防毒程式與主機修補更新,佈署入侵防護系統阻擋駭客攻擊,建置Web Firewall阻擋網站攻擊,委託7×24的SOC中心監看所有資安設備與通訊,安排公司資安小組人員接受資安技能訓練,主動蒐集及分析外掛程式,並通知玩家外掛內隱藏的後門警訊與解法,主動要求玩家定期更新密碼並注意相關資安警訊等,並且和資訊安全軟體公司CA合作推出反間諜程式防護軟體,目的就在提供玩家一個安全的遊戲環境。
而在遊戲玩家部份,常見的資安威脅包括使用外掛程式導致帳號密碼被竊,駭客利用監視器側錄被害者輸入之帳號密碼,瀏覽器未即時更新導致被植入後門木馬,或是帳號密碼直接寫在電腦中而被駭客發現並竊取,與他人共用角色或帳號,或是被惡意人士以社交工程或惡意行為所詐騙。

對於外掛程式, 智冠科技表示,遊戲業者都採取禁止使用的態度,除了外掛本身破壞了遊戲的公平性之外,使用外掛雖圖得一時的方便,然而對於個人自身使用的電腦安全危害卻是無窮,因此呼籲所有接觸線上遊戲的玩家,切勿使用非官方程式進行遊戲,才是對於自身電腦資訊安全最大的防護。

而針對線上遊戲所衍生的線上交易行為,對會員反應帳號被盜或舉發各類不法之情事,都會對其電磁記錄進行清查追蹤,若經查證會員帳號內電磁記錄涉及收受贓物或造成他人損失,將會暫停使用者的帳號使用權並回收遭不當轉移之電磁記錄,以及蒐證資料並分析帳號狀況,對於善意購得該電磁記錄者,會進行案情了解及處理;而針對惡意危害遊戲中平衡之玩家,則將蒐證資料送交檢警單位以追究刑責,玩家切勿因貪小便宜而誤觸法網。對於遊戲世界中虛擬貨幣、寶物在現實世界的交易行為,遊戲業者大都採取禁止的態度,並有相關規則予以規範。


網路拍賣已成詐騙新戰場
網路拍賣已成為一個蓬勃的交易市場,從原本只是二手貨、個人物品交易的平台,成為現今商品交易的一個虛擬市場,吸引消費者到此尋寶,也吸引人們在網路拍賣上尋求商機及致富的機會。隨著網拍交易愈來愈熱絡,相關交易制度也被建立起來,但在網路拍賣交易也隱藏著交易安全的威脅。

Yahoo!奇摩電子商務服務事業部社群與會員關係發展經理李全興表示,之前在網路拍賣所碰到的安全威脅問題主要都是詐騙事件,也就是所謂的收款不出貨,而隨著網拍交易愈來愈蓬勃,很多新型的詐騙並不在拍賣平台上發生,而是歹徒把使用者當成詐騙的目標,例如劫標性的案例,歹徒會觀察買賣家的行為,然後假冒賣家對得標者發出信件,通常內容以近日要出國等理由,要求買家先行匯款,並且可以給予折扣,利用人性貪圖小利的心態,誘使買家上當匯款,對此Yahoo!奇摩也有提供新的功能去防堵此類的詐騙,如使用買賣留言版,透過這個需要買賣雙方登入才能留言的管道,可以防止交易被第三者介入,在經過Yahoo!奇摩的宣導及買家警覺性提高之後,此類事件已經減少,但是歹徒仍積極尋找新的詐騙管道,例如利用買賣雙方議價時,買家所留下的聯絡方式便讓歹徒有可趁之機,歹徒假稱為其他的賣家,以提供更具折扣的價格誘使買家上當。

其他的安全威脅,雖然不是發生在網拍的交易平台,但也會對使用者造成危害,例如利用網路釣魚、木馬程式竊取帳號及密碼。目前發生於平台的詐騙雖比較有方法去控制,但隨著平台被使用及使用者愈來愈廣泛的情況下,網路拍賣仍會是歹徒覬覦的目標,並且透過各種管道翻新詐騙手法。

Yahoo!奇摩除了持續在網頁上宣導,也透過拍賣的社群關係,結合賣家共同宣導網拍交易的安全事項,除了以往所宣導的網路拍賣安全,也開始教導使用者如何安全使用網路,提醒使用者必須小心處理自己的網路行為以及使用者的責任,以賣家為例,賣家的帳號可能比自己所認知的更有價值,因為其帳號內的資訊可能包含了所有的交易資料、買方的聯絡資料或帳戶記錄,若被竊取將會對其他使用者造成危害。
社交工程是網路拍賣交易中最常見的陷阱,對此Yahoo!奇摩公關主任吳苑如補充道,使用者必須提高對個人資料的警覺性,包括姓名、身分證字號、帳號密碼、金融卡及信用卡號碼、地址、聯絡電話等,一旦洩露出去,除了成為被詐騙的對象,也可能成為被歹徒利用的犯罪工具,因此使用者必須培養良好的網路使用習慣。


反求諸己 
使用者的安全責任
身處在資訊網路的時代,使用者必須體認到一個事實,網路世界就如同真實世界一般,一樣有詐騙、陷阱和不懷好意的人,使用者在要求業者提供更安全的服務和網路使用環境的同時,也要反求諸己。真實世界裡,安居樂業的人民除了仰賴警察、法律、鄰里守望相助等提供人身財產的保護,大家也都知道要隨時警覺、注意財不露白、小心門戶的道理。面對網路世界的安全威脅,對大多數的使用者而言,在便利的網路使用環境和安全的網路使用環境存在著一道艱澀難懂的技術門檻,要求使用者對安全負起責任似乎是強人所難,但是不代表使用者就可以把所有責任都歸咎於廠商、業者不夠盡心盡力於保護客戶的資料及財產。撇開過於技術性的問題不說,一般使用者可以從些小地方做起,避免一些網路安全上的威脅。

強化個人電腦安全防護
卡內基美隆大學電腦危機處理中心(CERT, Computer Emergency Response Team)針對個人電腦的使用提供下列的安全建議:
叮嚀1:安裝和使用防毒程式
叮嚀2:更新系統修補程式
叮嚀3:讀取電子郵件及附檔時必須提高警覺
叮嚀4:安裝和使用防火牆軟體
叮嚀5:備份重要的檔案和目錄
叮嚀6:使用強健的密碼
叮嚀7:下載和安裝程式時必須小心謹慎
叮嚀8:安裝和使用防火牆設備
叮嚀9: 安裝和使用檔案加密程式以及做好存取控制
小心謹慎,趨吉避凶。資訊安全與方便之間的拉鋸,似乎很難找到平衡點,對於一些資訊安全的要求,不論是不瞭解或是覺得太過煩瑣而刻意忽略,可能為自己帶來風險。使用者在進行網路行為時,必須時刻小心網路釣魚及社交工程的詐騙、注意即時通訊及點對點檔案分享軟體使用上的安全威脅、不下載非法的影音檔案、妥善保管個人資料及不輕易洩露身分資料,多一份注意能讓您在上網的同時多一份安全保障。

資訊安全威脅不斷演進,資訊安全防護技術也與時俱進,使用者必須跟上腳步,瞭解最新的威脅和詐騙手法,主動採取防護措施,養成良好上網行為,在外在威脅環伺的情況下,為自己的上網安全築下一道防火牆。