https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

當你個資外洩時會發生什麼事?

2021 / 04 / 19
趨勢科技部落格 (本文為合作企劃文章)
當你個資外洩時會發生什麼事?
當您的姓名、出生年月日、照片、聯絡方式、信用卡號、銀行帳戶資料,以及用於各種網路服務認證上的帳號與密碼在網路上外洩,會發生什麼事呢?
 
如果這些資訊落到惡意的第三方手中,可能會發生隱私受到侵害、財物損失、被他人假冒、被跟蹤或脅迫等情況。因此,我們必須在平時就小心運用及管理自己和家人朋友的個人資料。

BBC 報導指出一個叫做「Maktub」的勒索病毒 在 2016 年大量散發網路釣魚郵件,警告收件人積欠某企業機構數百英鎊,要求他們點郵件中的連結列印發票,而這個連結會讓電腦感染勒索軟體。有些網路釣魚郵件還冒名專門輔導更生人或監獄受刑人的慈善機構。值得注意的一點是,網路釣魚(Phishing)郵件內容當中不僅寫出了收件人的姓名,還附上了受害人的地址。包含 BBC 的工作人員在內,都發現這些地址的正確性頗高。據推測這些資料很可能來自一些外洩事件中失竊的資料庫。

犯罪分子可能會拿你的個資做的八件事

一旦你的個人身份資訊(PII)被盜,通常會在暗網上賣給那些會將其用於惡意用途的人。它可以被用來:
  1. 破解其他使用相同帳密的帳號(透過憑據填充)。2018年有300億次這樣的攻擊。
  2. 登入你的網路銀行帳號來取走資金。
  3. 以你的名義辦理銀行帳號/信用貸款(這可能會影響你的信用評等)。
  4. 以你的名義訂手機或將你的SIM卡轉到新裝置(這每月影響7,000名美國行動網路運營商Verizon客戶)。
  5. 以你的名義購買昂貴物品(如新手錶或電視機)用於犯罪轉賣。這通常是透過劫持你在電子零售商的網路帳號進行。據說電子商務詐騙每年大約造成約120億美元的損失。
  6. 提交虛假的退稅單,以你的名義收取退稅。(美國曾發生駭客蒐集民眾個資騙過了稅單申請服務的身份驗證程序,盜領退稅恐達15億的事件)
  7. 利用你的保險詳細資料進行醫療服務。
  8. 可能會入侵工作帳號來攻擊你的雇主。

七個造成資料外洩的原因

我們在日常生活中使用電腦或智慧型手機時,個人資料究竟是如何外洩出去的呢?我們一起來確認其主要外洩途徑和原因。
  1. 網路釣魚攻擊
    盜取網路使用者個資的手法中,最具代表性的方式就是網路釣魚(Phishing)詐騙。舉例來說,其手法之一就是以釣魚郵件將使用者引導至偽裝成真實購物網站、銀行、信用卡公司或網路服務等之合法登入頁面的假網站(釣魚網站),藉以竊取使用者在該網站所輸入的個資。除了引導至釣魚網站外,其他還有各種形式的巧妙手法,例如誘導使用者安裝惡意應用程式或要求回覆釣魚郵件。

    從你購物的網站偷偷收集信用卡資訊。因為新冠狀病毒(COVID-19,俗稱武漢肺炎)封城期間有更多使用者湧向電子商務網站,使得網頁卡號側錄相關的事件在三月增加了26%。
     
  2. 盜用帳號:
    當Apple ID或Google帳號、Amazon或樂天等購物網站、Facebook或LINE等社群網站的帳號被盜用時,可能導致資料外洩,或是盜用帳號者假冒您的身分竊取資訊之風險。

    Apple ID或Google、Amazon帳號等可連動多數網站服務的帳號在遭到盜用時,其受害情況很可能會擴及其他的網路服務。並且,帳號中所登記的信用卡資訊或姓名、住址等個人資料、雲端上的郵件或備份資料等私密資訊都可能會被盜取。如果您在其他的網路服務上重複使用相同帳號與密碼,相繼被盜用的風險就會升高。

    除了假冒合法網路服務的網路釣魚詐騙之外,我們還必須留意假冒熟人身分的電子郵件或貼文。應避免輕易回傳郵件或開啟連結。
     
  3. 惡意軟體或惡意應用程式的未授權操作
    病毒等惡意軟體或惡意應用程式的未授權操作,也是讓個資外洩的原因之一。透過電腦或智慧型手機之未授權操作,可能會導致儲存資訊或輸入內容被監視,或裝置上的相機及麥克風等功能被用來竊取資訊。因此,不只是電腦,在智慧型手機上也需要安全防護對策。

    趨勢科技全球技術支援與研發中心表示,使用者在安裝手機APP和提供個人資料前,應先仔細考慮三件事:
    第一、是否真的有必要提供這些資料?
    有些開發廠商會向使用者索取與遊戲無關的資料,例如要求使用者連結他們的社群網路帳號,好將相關動態資訊分享給他們的朋友。但使用者應該注意,一旦給了應用程式越多資訊,出事的後果也會越嚴重。
    第二、可能會有其他第三方公司能存取這些資訊
    因為有些手機APP的開發者會將部分服務外包,因此能獲取使用者個資的公司可能將不只一間。
    第三、如果對提供敏感個資有疑慮的話,就不要使用
     
  4. 終端裝置遭竊或遺失
    有歹徒專門竊取裝置或在公共場所找尋別人遺失/亂放的裝置。

    在電腦或智慧型手機中經常儲存了大量的資訊,例如聯絡方式、照片或影片、文件檔案、網站瀏覽器中儲存的各種網路服務的帳號與密碼,以及社群網站上的動態等。萬一終端裝置因遭竊或遺失落入惡意的第三方手中,可能會發生未授權操作而導致這些個資發生外洩。
     
  5. 在社群網站上過度公開資訊
    如果你過度分享,哪怕是無害的個人資料(寵物名字,出生日期等),都可能被詐騙份子用來入侵你的帳號。

    當使用Facebook、Instagram、Twitter或LINE等社群網站時,您可能會誤以為只有在朋友間分享,而導致過度公開個人資料。但是,您在網路上公開的個資可能被不特定多數的外人瀏覽。您不知道是什麼人以何種目的在瀏覽您的資料。這些人之中也存在專門收集資訊的第三方,會將資料用於犯罪用途,或賣給惡質的個資名單業者。
     
  6. 公共Wi-Fi 分享無線網路
    當你在使用的時候,壞人可能也在使用。

    分享無線網路使用上雖然很方便,如果沒有採取適當的安全防護對策,很容易就會發生通訊內容被監視的風險。此外,也有創造與公共Wi-Fi相似名稱的假熱點,讓您在不知情下登入以竊取個資的犯罪手法。
     
  7. 服務業者的過失或網路攻擊
    使用網路上的服務一定會伴隨個資外洩風險。截至目前為止發生的使用者相關資料外流事件,都是因為服務業者在安全防護上的過失或內部犯罪,還有網路攻擊的非法存取等原因所導致。

如何防止資料外洩?

  1. 請密切注意自己的銀行帳號/信用卡是否有異常的支出活動。
  2. 如果你懷疑資料被濫用,請立即凍結信用。
  3. 使用網路服務前要三思, 不要在社群媒體上過度分享。
  4. 如果廠商告知你的資料可能已經外洩,請立即變更密碼。
    所有的帳號都使用強且唯一的長密碼
  5. 請記住,如果在網路上看到東西好的太不真實,那通常就是假的。
  6. 在外時如果沒有VPN就不要使用公共無線網路,尤其是要登入敏感網站時。
  7. 不要點開不請自來郵件內的連結或附件檔。
  8. 只從官方應用商店下載應用程式。
  9. 為所有的電腦和行動裝置安裝知名廠商的防毒軟體,如趨勢科技PC-cillin。
  10. 確保所有的作業系統和應用程式都保持在最新版本(即經常更新修補程式)。

原文出處:資安趨勢部落格