(2015-10-30)回到社群網路,專家們要大家特別提高警覺,除了使用複雜的密碼而且經常更換之外,在分享給別人的資訊之前,要想一想是否對駭客有價值,同時要掌控分享資訊的隱密性。

(Brain 2015-10-30)根據資料安全研究機構 Ponemon Institute,網路犯罪日益猖獗,對全球的商業造成巨大損失。
 
因為駭客的攻擊,美國每家公司平均每年損失 190 萬美元,一年前僅有 150 萬美元,大型公司每年更花費 1500 萬美元與駭客對抗。
 
大賣場或網路商店一旦被駭客入侵,竊取數以萬計的客戶信用資料,損失的層面更延伸到客戶個人。
 
更進一步,駭客從社群網路竊取數以百萬的個人資料,用作敲詐,或用作製造假身份作非法的掩護。
 

(圖片取自網路)
 
再看幾個驚人的數字。2014 年有 10 億筆資料被駭客竊取,比 2013 年增加了 70%。在 2014 年,有 47% 美國成年人的個人資料呈現在駭客面前。
 
美國公司在 2014 年的駭客損失,約在 37.5 億到 57.5 億美元之間。在 2013 年,消費者每人平損失約 3,300 美元。駭客 (Hacker) 又稱為「黑客」,是有些道理,因為駭客也有地下黑市,據 Juniper Networks 的研究,在黑市一個推特 (Twitter) 的密碼,價值高過一個信用卡的資料。
 
那是什麼原因造成網路資料的被竊甚至非法濫用?駭客當然是主要原因,但專家說另一個主要原因正是你、我,是我們自己把自己的資料暴露,放到社群網路與朋友分享,當然也同時與駭客分享。
 
資訊技術不斷的進步,讓我們的工作與生活更方便、更有趣,只是別忘了駭客的技術也同步進展。有人戲言駭客與你我的不同,我們每天工作 8、10、12 甚至 16 小時,駭客每天工作 24 小時。
 
社群網路用戶可能自動提供與人分享的資料包括:身份(姓名、出生、照片、特徵),聯絡人(電話、電子郵件),地理位置(自行註明的、通訊標記的),收費資訊(住址、信用卡),就業(以前雇主、現在雇主)。
 
另外還有非用戶自動提供、但可運用技巧取得的個人資料:GPS(WiFi、藍芽),電話(電信公司、語言、時區、電話廠牌與型號、電池用量、操作系統),社群網路使用習慣(使用頻率、喜好興趣、互動方式如文字照片語音等、進入廣告網站)。
 
上面這些資料,即使讓駭客知道一小部份,就足以進行下一步動作,像是現在盛行的「魚叉式釣魚」(Spear Phishing)。用魚竿釣魚,或用網網魚,都不知道釣上來或網上來的是什麼魚,拿一個魚叉子叉魚,是先看到一條魚才出手。
 
網路叉魚,正是先找到對象,駭客才下手,關鍵就在個人化的巧用與迷失。駭客以親戚朋友或同事老闆的名義發一封郵件,請求幫忙,親暱的稱呼,又說出一些自己私事,很容易讓人信以為真,就「幫忙」把密碼、信用卡、銀行資訊告訴他們。
 
有了密碼與銀行資訊,當然就進入銀行帳戶竊取資料,用信用卡消費自不待言,但駭客還有下一步動作,用你的電子郵件與個人資料當作魚叉,來釣你的親友同事。另外如果發現個人資料裡有不願人知的照片或對話,則鎖住檔案,要求付費「贖回」。當然最嚴重的,就是用你的銀行帳戶重開一個新帳戶,假冒你的身份作為非法的事。
 
以上不過是網路資安專家簡單的描述,實際上魚叉釣魚的範圍既深又廣,INFOSEC Institute 形容是網路恐怖的新武器,收集個人資料竊得利益僅是一小部份,以資訊技術為主幹的機構如果遭受攻擊,就會是提款機提不出錢,通訊當機網路不通,甚至電力中斷。一年前北韓「和平守衛」要求索尼影片收回「刺殺金正恩」,否則公開索尼內部機密資料,大家記憶猶新。
 
回到社群網路,專家們要大家特別提高警覺,除了使用複雜的密碼而且經常更換之外,在分享給別人的資訊之前,要想一想是否對駭客有價值,同時要掌控分享資訊的隱密性,更不能把財務、商業機密一類的敏感資訊與人分享,最保守的方式,就是僅與熟識、且在實際生活裡相信的人,才在網上連接。
 
走過的路必留痕跡,網上的腳印幾乎不能完全抹擦,即使刪除社群網路的個人資料,並不保證不在別處再出現。USA Network 2015 年的社群網路調查,55% 的年輕人說,如果能從頭再來一次,他們不會加入社群網路。
 
*本文取材自2015年10月26日「那福忠週一論壇:教人害怕的社群網路資安」。
對本文有任何看法,歡迎 eMail:frank.na@gmail.com 給作者,分享您對本文的看法。